Chinas Große Firewall blockiert nun TLS 1.3 mit ESNI

Chinas Zensoren wollen wissen, was die Chinesen im Internet tun. Zeitgemäße HTTPS-Verbindungen verhindern das aber. Nun werden sie einfach blockiert.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 305 Beiträge

(Bild: rongyiquan/Shutterstock.com)

Von
  • Martin Holland

Chinas "Große Firewall" blockiert nun Verbindungen, die mit dem Verschlüsselungsprotokoll TLS in der aktuellen Version 1.3 geschützt werden. Das haben Forscher ermittelt, die kontinuierlich Chinas Internetzensur analysieren.

Einem Team von der Universität Maryland zufolge wurden die ersten Blockaden am 29. Juli beobachtet und inzwischen sei klarer geworden, wie genau die Zensur im Fall der besonders gut geschützten Verbindungen abläuft. Betroffen ist demnach nur HTTPS-Traffic, der per Encrypted Server Name Indication (ESNI) geschützt wird. Chinas Zensoren können bei diesem nicht mehr erkennen, welche Server kontaktiert werden.

TLS 1.3 ist die aktuelle Version des Verschlüsselungsprotokolls TLS (Transport Layer Security), dem Nachfolger von SSL (Secure Sockets Layer). Entwickelt worden war sie – auch gegen Widerstände – als Konsequenz der Snowden-Enthüllungen mit dem Fokus auf Verschlüsselung so vieler Metadaten der Kommunikation wie möglich. Wenn per ESNI auch der Server-Name verschlüsselt wird, kann durch einen Blick auf den Traffic – etwa durch Chinas Internetzensoren – nicht mehr ermittelt werden, wer überhaupt kontaktiert wird. Bei der Absicherung von HTTPS-Verbindungen gewinnt TLS 1.3 aktuell zunehmend an Verbreitung.

Wie die Analysen der Großen Firewall nun nahelegen, will Chinas Führung diesen blinden Fleck nicht akzeptieren. Bei Verbindungen, bei denen TLS 1.3 und ESNI zum Einsatz kommt, lässt die Firewall Pakete fallen und blockiert so die Verbindungsaufnahme. Das erfolgt demnach in beide Richtungen, sowohl bei Verbindungen aus dem Ausland zu chinesischen Servern als auch aus China zu ausländischen Servern. Ist eine solche Verbindung blockiert, werden alle weiteren Kontaktaufnahmen der Sender-IP zur selben Empfänger-IP und dem Empfänger-Port für zwei oder drei Minuten unterbunden.

Mit Methoden des maschinellen Lernens haben die Forscher nach eigenen Angaben gleich mehrere Möglichkeiten gefunden, die Blockaden mit jeweils 100-prozentiger Erfolgsrate zu umgehen – sowohl server- als auch client-seitig. Wie genau, beschreiben sie in ihrem Artikel. Sie weisen aber auch darauf hin, dass es sich dabei wohl um keine Strategien handelt, denen ein langfristiger Erfolg beschieden sein wird: Das Katz- und Maus-Spiel werde weitergehen.

(mho)