米メリーランド大学の研究チームは、中国の検閲システム「グレート・ファイアウォール」に、これまで隠されていたレイヤーを発見しました。
https://geneva.cs.umd.edu/papers/foci21.pdf
90年代後半に導入された「グレート・ファイアウォール(GFW)」は、中国のインターネット中継地点やインターネットサービスプロバイダーに設置されたシステムで、政府がインターネットトラフィックを傍受し、国家が許容しないウェブサイトやサーバーへの接続を遮断することを可能にしています。
中国のグレート・ファイアウォールには、異なるプロトコルに対応したさまざまな検閲機構がありますが、 最も強力で技術的に高度なシステムとしてHTTPS で暗号化されたウェブ・トラフィックに対応するためのものがあります。
現在、この HTTPS の検閲機構には 2 つの独立したシステムがあり、1つ目は最も古くからあるもので、HTTPS 接続を初期段階で傍受し、SNI と呼ばれる接続データ フィールドを調べることで、ユーザーがアクセスしようとしているドメインを明らかにする仕組みです。
中国の検閲官が実際のHTTPS接続の内容を解読できなくても、このSNIフィールドによって、中国政府はユーザーが望ましくないサイトにアクセスできないようにブロックすることができるものとなっています。
昨年導入された2つ目のシステムは、1つ目のシステムと似ていますがSNIフィールドを暗号化する最新のプロトコルを使用するHTTPS接続に対応しています。
このシステムでは、ユーザーがどのドメインにアクセスしようとしているかを見ることができないため、GFWはeSNIフィールドが検出されたすべての接続を単純にブロックするだけで、この検閲メカニズムはより緩いものとなっています。
この2つ目のシステムは、検閲官がまだその機能をテストしている段階であり、そもそもeSNI を使用している HTTPS 接続は非常に少ないため、広く展開されていないようです。
学者が見つけたHTTPS SNIフィルタリングシステムの並列化
しかし、メリーランド大学の研究者の研究論文の中で、第1のHTTPS SNIフィルタリングシステムと並行して動作する第2のHTTPS SNIフィルタリングシステムを発見したことを明らかにしました。
メリーランド大学コンピュータサイエンス学部の博士号候補であるKevin Bock氏は
これは実は偶然の発見で、私たちはGeneva(検閲回避システム)がTLSハンドシェイクの最初の部分(検閲が発生していると理解されている部分)で検閲を回避しても、ハンドシェイクのより深い部分では失敗するという奇妙な事象を発見しました。
当時は完全には理解できませんでしたが、GFWに関するツールと理解が深まり、この奇妙な結果を理解できるようになりました
これが何なのか正確にはわかりませんが、HTTPSに特有の現象のようです。彼らが検閲している他のプロトコルでは同じような動作は見られません
これがテストシステムや開発層であることを示す証拠は何もなく、直感ではおそらくこれは最初のミドルボックスと並行して稼働する2つ目のミドルボックスであり、冗長性として機能しているのだと思います
数年前までは、GFWは一枚岩のように動作するというのが一般的なモデルでした。2020年に発表した論文では、GFWが実際には異なるプロトコルを検閲するために、互いに並行して動作する異なるミドルボックスのセットで構成されているということを発見しました
つまり、GFWのHTTP検閲ミドルボックスは、そのHTTPS検閲とは異なるシステムであり、それぞれに弱点があるということと言われています。
この発見は、GFWがHTTPSを検閲するために、少なくとも3つの異なるミドルボックスを並行して実行していることを意味しています。
Comments