中国では国内のインターネット通信を監視するために国家規模の検閲システム「グレートファイアウォール(金盾)」が配備されています。グレートファイアウォールの仕組みを調査している「Great Firewall Report」は、2021年から始まった「暗号化された通信を対象とした検閲」の解析結果を分析し、検閲の回避策を編みだしました。
How the Great Firewall of China Detects and Blocks Fully Encrypted Traffic
https://gfw.report/publications/usenixsecurity23/en/
Our joint work at #USENIXSecurity23 exposed & bypassed the Great Firewall of China’s latest censorship weapon that can block fully encrypted traffic in real-time. This impacts popular tools with millions of users like #Shadowsocks, #VMess, and #Obfs4. https://t.co/IXp4fA9gpF https://t.co/iEuUMZn3Gb pic.twitter.com/rusvXoDXWe
— gfw.report (@gfw_report) April 28, 2023
中国国内では、グレートファイアウォールによって、多様なウェブサイトやコンテンツへのアクセスが制限されています。実際に中国でインターネットに接続し、「TwitterやFacebookに接続できない」「天安門事件に関する検索結果が表示されない」といった状況を記録した記事が以下。記事は2012年のものですが、記事作成時点でもグレートファイアウォールは稼働し続けています。
中国では自由なインターネット通信を可能とするためのアプリケーションが人気を集めており、通信内容を暗号化して検閲を回避できる「Shadowsocks」「VMess」「obfs4」などが広く用いられていました。しかし、2021年11月にはグレートファイアウォールによる検閲が「暗号化された通信」にも及んだことが確認され、インターネットの自由な利用がさらに困難な状況となりました。
We confirm that the GFW has now been able to dynamically block any seemingly random traffic in real time. Such capability potentially affects a large set of censorship circumvention protocols, including but not limited to Shadowsocks and VMess. A detailed report is coming soon.
— gfw.report (@gfw_report) November 17, 2021
Great Firewall Reportはグレートファイアウォールが「暗号化された通信」を検閲する仕組みを分析するべく、中国とアメリカの間でデータを送受信し、グレートファイアウォールの反応を確認しました。その結果、グレートファイアウォールは「通信データの先頭部分」を読み取って一定の条件に当てはまらない通信を「Shadowsocks」「VMess」「obfs4」などによって暗号化された通信と判断してブロックしていることが明らかになりました。
国内最大級の品揃え【DMMブックス】ロリポップ!
ファッション雑誌No.1 宝島社公式通販サイト『宝島チャンネル』
具体的には、グレートファイアウォールは以下の条件のいずれも満たさない通信をブロックしているとのこと。
・popcount(pkt)/len(pkt)≦3.4またはpopcount(pkt)/len(pkt)≧4.6
・先頭から6バイトが表示可能なASCII文字
・データの50%以上が表示可能なASCII文字
・表示可能なASCII文字が20文字以上連続する
・TLSまたはHTTPSのプロトコルフィンガープリントが一致する
Great Firewall Reportは上記の条件を「Shadowsocks」「VMess」「obfs4」などの開発チームに通知しており、それらの暗号化アプリケーションではグレートファイアウォールの回避が再度可能になったとのことです。
情報元
https://gigazine.net/news/20230709-china-great-firewall-encrypted-traffic/