Shadow-TLS: различия между версиями
| Строка 6: | Строка 6: | ||
Брандмауэр, контролирующий переписку, увидит настоящее [[TLS#хэндшейк|хэндшейка TLS]] с действительным [[Сертификат TLS|сертификатом]], который, будет выбран при настройке ПО. | Брандмауэр, контролирующий переписку, увидит настоящее [[TLS#хэндшейк|хэндшейка TLS]] с действительным [[Сертификат TLS|сертификатом]], который, будет выбран при настройке ПО. | ||
| + | |||
| + | Существуют 3 версии протокола. | ||
| + | |||
| + | Первая, по собственному признанию автора, оказалась малополезной. Вторая включала механизмы защиты от активного зондирования со стороны промежуточных узлов, в том числе процедуру проверки личности клиента путем запроса-ответа и инкапсуляция данных приложения для лучшей маскировки трафика. | ||
| + | |||
| + | В третью версию протокола включены усовершенствования против анализа всего массива трафика путём его перехвата. Работа с ней требует обязательного использования strict mode TLS 1.3. | ||
== Ссылки == | == Ссылки == | ||
Версия от 01:51, 15 августа 2023
Shadow-TLS — это семейство сетевых протоколов, реализованных в одноимённом ПО с открытым исходным кодом, который используется для обхода интернет-цензуры, как правило, в комплекте с таким программным обеспечением как Shadowsocks.
ПО Shadow-TLS - это прокси-сервер для предоставления реального хэндшейка TLS брандмауэру.
Он работает способом анлогичным способу, которым реализует эту задачу trojan, но не требует сертификата подписи.
Брандмауэр, контролирующий переписку, увидит настоящее хэндшейка TLS с действительным сертификатом, который, будет выбран при настройке ПО.
Существуют 3 версии протокола.
Первая, по собственному признанию автора, оказалась малополезной. Вторая включала механизмы защиты от активного зондирования со стороны промежуточных узлов, в том числе процедуру проверки личности клиента путем запроса-ответа и инкапсуляция данных приложения для лучшей маскировки трафика.
В третью версию протокола включены усовершенствования против анализа всего массива трафика путём его перехвата. Работа с ней требует обязательного использования strict mode TLS 1.3.