关于国内挂VPN推特发布反动言论被抓的一些技术分析
有些VPN走的是https加密,但是https流量虽然是加密传输的,但是SSL证书是明文传输的,GFW网络长城有SSL证书劫持的功能,可以从传输的https数据中透过SSL证书劫持解密https的传输数据,再过滤出敏感词来。因为这时你的https已经是裸奔状态了,所以进而追查到你的IP也并不是难事。
47 个评论
_ _ 因共匪產的軟件和 APP 集中在 M$ 和 Android 領域這倆平臺可視爲攻擊面大, 除非有危險證書或使用了危險節點是難以被網絡技偵的, 我倒是覺得推特等需要電話號碼並收信注冊威脅不可忽視, 共匪利用基站和設備 IMEI 碼對應電話號抓人也不是地一次了, 香港和白紙都有過.
_ _ 商業公司難免有内鬼, 開源項目也難防住一位對項目多有貢獻 APT 臥底特工以調試為名義索要根密鑰. 所以 Tor 一定要上, 不怕被抓同時要盡量拉高惡人的成本應是匪患區網絡發聲者應有的覺悟吧.
_ _ 商業公司難免有内鬼, 開源項目也難防住一位對項目多有貢獻 APT 臥底特工以調試為名義索要根密鑰. 所以 Tor 一定要上, 不怕被抓同時要盡量拉高惡人的成本應是匪患區網絡發聲者應有的覺悟吧.
那么这个问题怎么解决呢
真想发表,买一套别人的身份证手机号加二手手机就好了
如果是技术大佬当我没说
如果是技术大佬当我没说
大哥。劫持证书是有警告的,https流量就是无法侦听
建议加强学习,私钥不会被任何人知道,谢谢
已隐藏
>>你国内的数据要经过共产党的防火墙设备,防火墙设备是可以解开你的证书看到https里面的讯息有没有敏感...
解开什么啊,只有私钥能解密,共产党哪来的别人的私钥
你八成不是搞技术的吧。。。
中间人攻击只有在安装了不可信的证书时才可能出现,这种行业,信用问题被抓到一次证书就没法发了。
中间人攻击只有在安装了不可信的证书时才可能出现,这种行业,信用问题被抓到一次证书就没法发了。
题主的误区在于证书公钥一开始是明文传给浏览器的,所以以为可以把这个公钥换成共产党自己的公钥。
但是问题在于公钥可以推导出是从什么根证书来的,如果共产党换了自己的公钥,浏览器一看签发机构不是预设的几个可信任机构,直接就给你显示警告了
但是问题在于公钥可以推导出是从什么根证书来的,如果共产党换了自己的公钥,浏览器一看签发机构不是预设的几个可信任机构,直接就给你显示警告了
This is nonsense. 你不是搞技术的 !
通过监听流量我觉得是不太可能的,就算能实现成本也极高。GFW每秒的流量有多少你细品吧
土共逮到你:
1. 你在推特或者其他平台不经意间暴露过信息,比如共用一个id或者有关联关系等等,层层查找翻到了你
2. vpn或者机场主被查,供出来你的连接信息
土共逮到你:
1. 你在推特或者其他平台不经意间暴露过信息,比如共用一个id或者有关联关系等等,层层查找翻到了你
2. vpn或者机场主被查,供出来你的连接信息
在外网发反动言论被查到,最大的可能性还是外网这些公司有内鬼,把你的注册邮箱、手机发给了我党网安人员,通过大数据很容易就锁定你了,何必费心费力去搞什么技术破解? 这样的花费反而比找个内鬼高得多好吧。所以墙内的朋友,你们翻墙看看就行了,实在忍不住了,不痛不痒指桑骂槐几句,尽量别指名道姓的。保障自己的安全最重要。
我遇到过这种情况,但是现在也没明白是如何查到的。但是从喝茶情况来看,一开始他们并不知道我说了什么,是通过查手机查到的。他们查到了国内的手机号。因为一个电报帐号没能退出所以就查到了聊天记录。我判断很大原因是以前电报是可以用国内手机接收验证码的,后来是不行了,他们通过电信商那里查到了我手机收过国外验证码。所以就直接上门查了手机。
windXforce
黑名单
用不惯tw fb 只看油管...
墙内因推特发言而喝茶的,大部分是因为绑定了+86手机号或者曾今绑定过+86手机号,亦或是用+86手机号接收过验证短信
挂三层VPN,再套一个Tor,党国要想找到你就需要很高的成本了
挂三层VPN,再套一个Tor,党国要想找到你就需要很高的成本了
被抓到一般都是发言透露了什么个人信息被社会工程了,或者用了可以被中共用来追述身份的手机号或邮箱。如果HTTPS那么容易被攻击,全世界的网上银行都不用玩了。
>>共产党没有,但是证书发布公司会和防火墙合作,然后共产党又买了防火墙相当于他们也有解密权限
我想知道证据是什么,有这种事情我直接美股做空能赚傻,根证书签发机构泄露自己私钥这种事情也太大了
你对TLS的了解还是有待提高,密码学没你想的那么肤浅
对第一点的反驳:
主流代理协议有如下几种,一是基于对称密钥加密的Shadowsocks、VMESS等,这种协议历史悠久,至今仍是主流,被大多数机场使用。这种协议下,终端用户连接至代理服务器的流量本身就是加密流量,一般为AES-128-GCM或chacha20-poly1305,除非用量子计算机否则无法破解(除非机场方协助或有安全漏洞),而代理服务器至目标网站的流量就算是明文也无法被GFW监听。第二种是基于非对称密钥加密的TLS based代理,例如VLESS over (X)TLS, Trojan, VLESS over REALITY等,机场少用,多为自建;基于TLS的加密,公钥仅作加密用,只有私钥能解密。私钥储存于服务器上,只有服务器才能解密。一般服务器都会使用可信的证书签发机构(如Let's Encrypt),使用TLS1.3甚至会将证书也加密,目前TLS1.3已成为国外主流。同样一句话,除非代理服务器和目标网站同时不可信,否则解密TLS1.3就是天方夜谭。
另外,这种代理方式又被称作TLS in TLS,也就是你->代理先被TLS加密,代理->网站又被TLS加密,想解密流量得先攻破两道TLS。
第三种是传统VPN,以WireGuard和OpenVPN为代表,例如WireGuard使用x25519进行密钥交换、chacha20进行加密、poly1305进行数据验证,这三种算法都属于state-of-the-art,具备与AES-256-GCM同等的安全等级,截至今日,连量子计算机都无法破解。
因此,问题的前提就是错的。VPN/代理不是https加密,而是TLS加密/对称密钥加密,在此之后再次进行加密,也就是所谓双重加密。TLS1.3流量在外层看来完全一致,GFW连你经由代理访问了什么都无从得知,何谈劫持你的流量?
再假设代理服务器受控,流量不加密,在网站可信的情况下,代理服务器能看见的只有你的IP对目标SNI建立了TLS连接,用人话来说就是只能看到你访问了什么网站。比如你用老王VPN访问品葱,党国就知道你访问了品葱,但你对品葱的连接经由TLS1.3加密,你所看见的证书是公钥,公钥只能用作加密。这种证书人人都能获取到。
浏览器得到证书后,会先进行验证,如果CA不受信任就会TLS Alert,断开连接,此时不会传送任何数据。
如果证书信任,则进行密钥交换,客户端用服务器的公钥随机生成的密钥,并将其发送到服务器,只有服务器才能使用自己的私钥解密。由此可见,证书涉及到的是密钥交换,根本不涉及到解密,如果这个过程被中间人攻击,则会被浏览器直接断连,非对称密钥用于加密临时会话密钥,会话密钥才是真正涉及到流量加解密,这个时候的流量具备前向保密性,因为临时密钥只能在当前会话中解密流量。
对第一点的反驳:
主流代理协议有如下几种,一是基于对称密钥加密的Shadowsocks、VMESS等,这种协议历史悠久,至今仍是主流,被大多数机场使用。这种协议下,终端用户连接至代理服务器的流量本身就是加密流量,一般为AES-128-GCM或chacha20-poly1305,除非用量子计算机否则无法破解(除非机场方协助或有安全漏洞),而代理服务器至目标网站的流量就算是明文也无法被GFW监听。第二种是基于非对称密钥加密的TLS based代理,例如VLESS over (X)TLS, Trojan, VLESS over REALITY等,机场少用,多为自建;基于TLS的加密,公钥仅作加密用,只有私钥能解密。私钥储存于服务器上,只有服务器才能解密。一般服务器都会使用可信的证书签发机构(如Let's Encrypt),使用TLS1.3甚至会将证书也加密,目前TLS1.3已成为国外主流。同样一句话,除非代理服务器和目标网站同时不可信,否则解密TLS1.3就是天方夜谭。
另外,这种代理方式又被称作TLS in TLS,也就是你->代理先被TLS加密,代理->网站又被TLS加密,想解密流量得先攻破两道TLS。
第三种是传统VPN,以WireGuard和OpenVPN为代表,例如WireGuard使用x25519进行密钥交换、chacha20进行加密、poly1305进行数据验证,这三种算法都属于state-of-the-art,具备与AES-256-GCM同等的安全等级,截至今日,连量子计算机都无法破解。
因此,问题的前提就是错的。VPN/代理不是https加密,而是TLS加密/对称密钥加密,在此之后再次进行加密,也就是所谓双重加密。TLS1.3流量在外层看来完全一致,GFW连你经由代理访问了什么都无从得知,何谈劫持你的流量?
再假设代理服务器受控,流量不加密,在网站可信的情况下,代理服务器能看见的只有你的IP对目标SNI建立了TLS连接,用人话来说就是只能看到你访问了什么网站。比如你用老王VPN访问品葱,党国就知道你访问了品葱,但你对品葱的连接经由TLS1.3加密,你所看见的证书是公钥,公钥只能用作加密。这种证书人人都能获取到。
浏览器得到证书后,会先进行验证,如果CA不受信任就会TLS Alert,断开连接,此时不会传送任何数据。
如果证书信任,则进行密钥交换,客户端用服务器的公钥随机生成的密钥,并将其发送到服务器,只有服务器才能使用自己的私钥解密。由此可见,证书涉及到的是密钥交换,根本不涉及到解密,如果这个过程被中间人攻击,则会被浏览器直接断连,非对称密钥用于加密临时会话密钥,会话密钥才是真正涉及到流量加解密,这个时候的流量具备前向保密性,因为临时密钥只能在当前会话中解密流量。
只要CA没被劫持,就不可能破解SSL,楼主密码学有待提高。真正的网安薄弱环节是你用的国产手机,国产浏览器和输入法,终端上被开个后门进程直接给国安的服务器发你的操作记录打字记录,你装啥vpn都不管用
有些VPN走的是https加密
这句话本身就不成立,https是TLS加密之后的http,没听说过代理服务器用这个的
你怕不是共产党派来恐吓敢说真话的人,只要根证书干净,根证书颁发机构不跟共匪合作,那就是安全的,当然你安装国产软件,看到浏览器警告还继续,当我没说。如果觉得windows自带的根证书不干净,可以把除了微软的所有根证书全部删除,从linux的根证书软件包里导入
>>你电报没开隐藏手机号吧?电报是用的gv号,也开了隐藏手机号,但是在这之前,是用国内手机注册过电报,因为收不到验证码了,原来的号也就不能用了,然后又用gv号注册的电报。还有一个情况就是,以前没用推特,一直用电报,也没出问题。在用gv号注册了推特不到一个月就被查了。但是推特号是在一个没有插卡的安卓手机上用的。所以一直没想明白那里出问题,基本可以肯定的是,在查手机之前,他们不知道我在外网说了什么,只知道我这个手机号有上外网行为。
证书(公钥)不用于解密,主要用于加密。因此理论上不存在题主说的问题。但是商用加密密钥有限制,不允许超过256位。因此暴力破解还是有可能。另外,你哪怕用更长的密钥,还是能够破解,只是要的时间更长而已。如果是情报,那么等到破解出来,情报已经过时了,没有用了。如果人不挪窝人,抓人是没问题。
>>我的确不是做技术的,只是工作有涉猎,如果你清楚麻烦请给我们讲解一下
我亏你用的这个ID,老大哥确实可怕,可恨,但是不是这样传播焦虑的,建议深入了解下SSL,和非对称加密相关的知识。
如果证书被篡改,浏览器会红字警告,此时都没有发送数据。
除非你的系统本身就不干净,安装了什么根证书,那才是裸奔。
大部分是因为你用国内手机号或者邮箱注册的原因,用手机翻墙最好不要装SIM卡
那个tor太卡了,挂vpn再挂tor卡到10秒打开一个网页
>>墙内因推特发言而喝茶的,大部分是因为绑定了+86手机号或者曾今绑定过+86手机号,亦或是用+86手机...
这就是品葱不记录手机号的好处了
现在但凡大一点的平台都要手机号,不用手机号的也就reddit了
本来想骂的,一看上面都说了,那就不多啰嗦了,以后提问前先搞清楚行不行。
补充一下,在外面用手机翻墙比较安全方便就是用别国手机号码漫游。
优点:非中国号码,知道了也查不出对应的谁。
缺点:1 费用稍贵,一般开包月漫游,有高速流量限制。低速无。
2 获取有些难度,自己想办法。
补充一下,在外面用手机翻墙比较安全方便就是用别国手机号码漫游。
优点:非中国号码,知道了也查不出对应的谁。
缺点:1 费用稍贵,一般开包月漫游,有高速流量限制。低速无。
2 获取有些难度,自己想办法。
>>10秒还嫌慢?来人啊,给我把他抓下去关监狱十年
我是认真的,太慢了,而且如果看辱包视频加载速度更是要用分钟计算(我严重怀疑速度是KB)
最可靠的还是迷雾通之类可靠VPN(迷雾通现在太慢了过两天换轮友的VPN再试试)
>>我是认真的,太慢了,而且如果看辱包视频加载速度更是要用分钟计算(我严重怀疑速度是KB)最可靠的还是迷...
看视频倒是真不行,不过我都是看文字稿的
等下,我现在正在测试标清的视频,大概有500KB/s,可以流畅观看
并不容易
党国费那么大力气装反诈骗软件
就是希望在客户端监控
传输的时候代价巨大(不是不可能但是普通人可以忽略)
做好必要的防护可以尽情来本站颠覆共产党
专业人士可以私下交流防护手段
党国费那么大力气装反诈骗软件
就是希望在客户端监控
传输的时候代价巨大(不是不可能但是普通人可以忽略)
做好必要的防护可以尽情来本站颠覆共产党
专业人士可以私下交流防护手段
>>只要CA没被劫持,就不可能破解SSL,楼主密码学有待提高。真正的网安薄弱环节是你用的国产手机,国产浏...
怪不得,一直用sony手机,网友做的rom,自己搭的机场,推等用谷歌语音,十几年从来没遇到过任何危险
我匪的技术有这么高超吗?我匪的网络战不都是以蛆数量取胜的吗?
光体制内的匪数就9000多万,你真当它们吃干饭的?就为了嘴里的那一口肉也要跟百姓拼命
光体制内的匪数就9000多万,你真当它们吃干饭的?就为了嘴里的那一口肉也要跟百姓拼命
所以我支持轮友啊,光他搞安全VPN和各种操作就很提升印象了
>>只要CA没被劫持,就不可能破解SSL,楼主密码学有待提高。真正的网安薄弱环节是你用的国产手机,国产浏...我知道的一个是国产安卓都会强制内置中国政府的证书,是硬件级内置,无法通过刷机删去