爱机场
9 月 11 日,一份从 GFW 内部流出的文件(见 gfw.report 的报告, 或 TG 推文)颠覆了许多人对代理安全的既有认知:已快进到 通过植入证书来进行 MitM。
1️⃣ 当前主流的 “双层 TLS” 或不再安全
“双层 TLS” 代理思路:将真正想访问的网站流量 (内层 TLS ),用代理工具另套一层加密 (外层 TLS ),然后发往墙外。
❯❯❯ 以期实现,让审查者只能看到 “外层” 目的地,却无法窥探 “内层” 具体内容❓
💡然而,泄露文件 及其讨论 1 、讨论 2 等指出:只要你设备的 “证书” 被污染,无论套多少层加密或隧道技术,对于 #GFW 也不过是👙衣不蔽体🩲。
2️⃣ GFW 新技术:以主动 MitM 来监管流量
对于 TLS 代理,攻击者如何做到这一点?答案是污染上网设备的根证书。
简言之,你的终端设备里本就内置一些《信任白名单》(根证书),用于打开各类网站。而 GFW 的新技术,能通过 蜜汁证书➕MitM 随时监控、解密你的流量 ——只需通过各种手段 [见 4️⃣ 后记],把它的《蜜汁证书》悄悄植入,成为潜伏在你设备里的内鬼,丝滑小连招即成。
💡该思路与 iOS 部分代理 #App 的 MitM 去广告等场景类似。只是在 #去广告 场景中,你是主动安装第三方证书。而在 GFW 新技术场景中,你是被动植入第三方 (投毒) 证书❗️
3️⃣ 今后的安全标准:或不能停留在 “传统加密”
面对 “主动 MitM” 和 “被动解密” 的双重威胁,更安全的代理协议要满足:
➊ 抗证书污染:协议不依赖一个可被轻易污染的客户端证书信任体系。
➋ 客户端配置安全:配置泄露后,不影响过去+未来的流量安全。
➌ 前向安全:服务器密钥泄露后,不影响过去的历史流量安全。
以此为标杆,SS / Trojan / VMess 等协议 (族) 在后两项上几乎 0 分。
截至今日,VLESS 的 #Reality 协议 和 #抗量子加密 (Post-Quantum Encryption, 简称 Encryption) 新特性 都尝试破局。
❯❯❯ 其中,前者在 GFW Pro Max 的新疆,表现与 #HY2 同属遥遥领先的协议;但后者的疗效如何,还有待观察。
💡
━ 据悉,个别 #专线 #中转 机场已经或计划考虑转用 VLESS 及 Encryption。
━ 现仅 ⓵ Xray >= v25.9.5 [9月5日更新]、⓶ Mihomo >= v1.19.13 [8月27日更新] 等极个别核心的新版本支持 Encryption 特性❗️
━ 基于上述核心的 App 名单,见海豚测速-代理工具篇。可利用版本号按图索骥 🔍 协议 / 新特性 支持动向。
4️⃣ 后记
近年来,一些看似孤立的事件似乎正在串联成一条微妙的时间线:
━ 2021 起,具有极高系统权限的 #反诈App 开始大规模推广。
━ 2023 起,运营商通过 TR-069 协议 #远程控制光猫 的传闻甚嚣尘上,甚至部分激进的省市禁止改桥接。国行安卓固件,也据传内置反诈❓
━ 2024 起,小米、一加等安卓厂商终于按捺不住收紧国行 #Root 权限申请;iPhone 国行固件也据传妥协内置反诈❓
━ 2025 起,有无 内置反诈 或已不重要,内置《蜜汁证书》即可……❓
接下来的情况或更加严峻,#代理协议 开发者与 GFW 免不了新一轮的斗智斗勇。明天,你还会翻墙吗?
漫谈 #技术杂谈 #vless #抗量子 #encryption #xray #mihomo
