QUIC und HTTP/3: Immer mehr Zensur auf Protokollebene

Ein Report des Open Observatory of Network Interference zeigt Blockaden der Protokolle QUIC und HTTP/3. Besonders die Ergebnisse aus Russland lassen aufhorchen.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 10 Beiträge

(Bild: Olivier Le Moal/Shutterstock.com)

Von
  • Benjamin Pfister

Eine aktuelle Untersuchung des Open Observatory of Network Interference (OONI) zeigt: Zensur des Internets auf der Protokollebene von QUIC und HTTP/3 nimmt zu. Das auf UDP aufbauende Protokoll QUIC wurde vergangenes Jahr in Version 1 veröffentlicht – und das neue Webtransportprotokoll HTTP/3 kam erst vor wenigen Wochen im RFC 9114 als Proposed Standard hinzu.

QUIC sollte von seiner initialen Entwicklung weniger Angriffsfläche für Zensurversuche bieten. Daher bringt QUIC und folglich auch das darauf aufbauende HTTP/3 eine zwingende TLS 1.3 Verschlüsselung mit. Der TLS-Handshake erfolgt dabei direkt im QUIC-Handshake. Neben dem Inhalt selbst sind Teile der Metadaten verschlüsselt.

Große Content Delivery Networks wie Cloudflare erkennen eine steigende Nutzung von HTTP/3. Somit steigt die Relevanz für eine mögliche Zensur staatlicher Akteure. Die Forscherin Kathrin Elmenhorst untersuchte daher in einem Forschungspapier für das OONI die QUIC- und HTTP/3-Zensur. Darin stellt sie die Eigenschaften von QUIC zur Zensurabwehr, sowie eine Übersicht der QUIC-Blockaden in unterschiedlichen Ländern dar.

Traditionell erfolgt die Blockade von TLS-Verbindungen auf Basis des Hostnamens in der SNI-Erweiterung (Server Name Indicator). Die Übertragung dieses SNIs findet im Client Hello des TLS-Handshakes statt.

Grundsätzlich schützt QUIC im Vergleich zu TCP und TLS einen größeren Anteil des Traffics. Selbst die sogenannten Initial Packets sind bereits verschlüsselt, wobei diese Schlüssel einem Akteur im Transportweg der Verbindung jedoch noch bekannt sind (Ableitung von der Ziel Connection ID). Dies steigert jedoch bereits die Hürden, die Informationen zu entpacken, um darauf basierend Zensurentscheidungen zu treffen. Auch die integrierte Authentifizierung und Verschlüsselung lässt QUIC als weniger anfällig für Reset-Attacken erscheinen. Ein sicherer Weg, QUIC Connections zu blockieren, ist also lediglich, die Verbindung in einen Timeout laufen zu lassen, beispielsweise durch ein Null-Routing. Dies erfordert durch Paketwiederholungen in QUIC jedoch mehr Ressourcen für den potenziellen Zensierenden.

Zusätzlich wird eine Zensur durch den Einsatz sogenannter Connection IDs, also das Entkoppeln von IP- und Port-Paar erschwert. Diese können nämlich während der bestehenden Verbindung gewechselt werden.

Grundlage der Messungen waren zwei Tools: urlgetter und quicping. Ersteres ist ein experimentelles Werkzeug zur Erreichbarkeitsprüfung, bei dem man HTTP/3 als Transport definieren kann. quicping ist ein von Kathrin Elmenhorst entwickeltes Tool, das QUIC-Initial-Pakete ohne validen TLS Payload aussendet und so eine sofortige Antwort des QUIC-Servers verlangt. Kommt keine Antwort, ist davon auszugehen, dass die QUIC-Connection geblockt wurde.

Die Forscherin untersuchte autonome Systeme großer Provider in den Ländern China, Indien, Iran, Kazakhstan, Russland, Uganda und Venezuela. In den meisten genannten Ländern gab es Beeinträchtigungen und Auffälligkeiten. Jedoch variierten die Zensurtechniken.

In Russland, beziehungsweise den dort befindlichen autonomen Systemen AS31213 und AS12389, kam es ab dem vierten März 2022 landesweit zu Blockaden von HTTP/3-Traffic. Jedoch war beispielsweise das russische soziale Netzwerk vk.com noch erreichbar. Das Blockadeszenario stellte sich gemäß den Untersuchungen so dar, dass es zwei Filter zu geben scheint: Einer blockt jeglichen internationalen HTTP/3-Traffic, hinzu kommt ein zweiter nationaler Filter, der auf Basis des SNI funktioniert. Steht der FQDN auf der SNI Blacklist, kommt es zur Blockade.

Im indischen AS133694 kommt es zur systematischen Zensur von HTTP/3: Spezifische UDP-Ziele sind komplett unerreichbar. Auch über AS37075 und AS20294 in Uganda kommt es zur Blockade von HTTP/3-Verbindungen zu einzelnen Hosts. Jedoch waren dort wechselnde Ergebnisse an der Tagesordnung.

Im chinesischen AS45090 mit seiner großen chinesischen Firewall gibt es ein zentrales Zensursystem. Viele bereits als geblockt bekannte Webseiten sind auch über das neue Applikationsprotokoll nicht erreichbar, da IP-Blacklisten zum Einsatz kommen. Es scheint hier keine spezifischen QUIC-Blockaden zu geben.

In den autonomen Systemen AS60178, AS58224 und AS197207 – Iran, Kazakhstan und Venezuela – gab es hingegen keinerlei Auffälligkeiten. Insgesamt stellt die Forscherin fest, dass es im Vergleich zu den letztjährigen Erkenntnissen zu vermehrter protokollspezifischer Zensur kommt. Detailliertere Ergebnisse des Reports finden sich auf der Webseite des OONI.

Mehr von iX Magazin Mehr von iX Magazin

(fo)