http://www.yonhapnews.co.kr/bulletin/2018/10/18/0200000000AKR20181018048100004.HTML
지난번에 한번 저희 XE타운에서도 이야기 되었던 것인데
실제 내년에 시행할 생각인가 봅니다.
ISP에서 협조를 안한다면 가능한가요???
-
Lv37 
Lv30 제가 알기로는 브라우저회사,인증서회사들이 SNI 에서도 암호화전송이 되도록 곧 기술을 마련한다고 하던데요.
이렇게 되면 대한민국 정부가 하고 싶어도 이 기술이 사용된 경우 못하게 되는게 맞는거겠죠? -
Lv30
Lv37 뚫을 수 없는 기술이란 없습니다. 암호화 키를 받아오는 패킷을 차단하거나, 해당 기능을 지원하는 1.1.1.1 같은 특정 네임서버 접속을 차단할 수 있겠지요. 다른 사이트에 영향을 주지 않을 수 있느냐가 문제일 뿐...
-
Lv37
Lv30 어쩔 수 없는 차단은 국내 isp가 협조하는 것으로 보고 있구요. 만약 그렇게라도 시행한다면 굉장한 부담만 떠 안은채 실효를 얻을 수 없는 실패한 정책이 될 것 같아서요.
해외 DNS 서비스를 막아야 가능하다면 이건 어쩌면 자충수를 두는 것일 수 밖에 없는 것인데 이것을 알면서 내년에 시행하겠다는건지 약간 의문이 듭니다.
사이트주소를 조회할 수 있는 서버는 협조가 잘 되는 국내기업 혹은 국내개인 만 존재하는게 아닐텐데 왜 저럴까 하는 생각이 기술적으로는 잘은 모르는 사이트 운영자 수준에서 떠오르는 생각입니다. -
Lv30
Lv37 아마 저 기사와 관련된 정책을 결정하는 양반들 중 엊그제 해외에서 발표된 SNI 암호화 로드맵(빠른 시일 내 크롬, 파폭 등 대부분의 브라우저에 탑재될 예정!!!)을 본 사람은 아무도 없을 걸요? 2년 전의 기술적 상황을 바탕으로 1년 전에 결정한 것을 내년에나 시행하겠다는 거죠. 정부가 원래 그렇잖아요-_-;; 실제로 저걸 구현해야 하는 기술자들은 알고 있을지도 모르지만, 그냥 요청받은 대로 적당히 구현해 주고 돈 받으면 장땡이니 아무 말 않고 있을 테고요...
아마 익스플로러에서는 차단될 겁니다 ㅋㅋㅋ
저분들 아마 익스플로러밖에 안 쓰실 것 같거든요 ㅋㅋㅋ -
Lv8 DNS 차단은 .. 예전에도 사용했던걸로 압니다 ;;
1.1.1.1
8.8.8.8
8.8.4.4
1.0.0.1
같은 해외 DNS로 바꾸거나 직접 구축하여 바꾸면 무용지물일텐데..
SNI도 얼마전 클플에서 SNI 암호화 관련된것을 베타지원한다고 들은바 있고..
결국 우리나라는 세금을 엉뚱한데다가 쓰는 것을 증명하였어요 ㅋㅋ;
(아님 자칭 IT에 관심 없는 자칭 IT 도산국.. 이라든가;;ㅋㅋㅋㅋㅋㅋ) -
Lv8
Lv30 http 이야기가 아니라서요. https는 그것조차 못하는데 이제 https에서도 하고 싶다고 해서 지금 문제가 되는거니까요.
https를 사용하는 목적 자체가 그런짓을 못하게 보장해주겠다고해서 나온 기술이고
브라우저회사나 인증서회사들이 그것을 위해 노력하고 있는데 지금 중국 또는 앞으로 한국과 같은 곳에서 반대되는 개념의 감청등을 하겠다는거니... 우려가 되는 것이구요.
http 프로토콜을 사용한 곳은 어느정도 책임이나 혹은 보안이 안된다는 것은 알고 사용해야 맞는거 같구요. -
Lv30
Lv8 DNS로 차단하는 기법은 HTTPS:// 도 차단이 가능합니다;;
예를 들어서 http://domain.kr이 1.1.1.1 로 연결이 되었을때 DNS로 워닝사이트 아이피로 바꿔서 막는 기법을 몇몇사이트에서 사용하는것으로 알고 있고요..
이방법은 허점이 있습니다 . dns를 해외로 바꾸면 차단이 뚫린다는 단점이 있고요
그래서 SNI 차단 기법을 이용하겠다는거고 이걸 내년초에 진행하겠다는것인데.. 이 기법을 사용하면 감청이 된다는게 문제로 알고 있습니다.
근데 이방법도 클라우드플래어에서 SNI를 암호화 하는 통신을 표준이 아니지만 오픈하였다고 들었습니다.
(아닌가요?)
클플이 아니더라도 이미 암호화 하여 통신하는 방법을 만들겠다는 말이 많이 있었습니다..
그래서 세금 낭비 하는 국가라고 한 것이고요 -
Lv8
Lv30 제가 알고 있는 것이랑 다른 내용이네요.
https 가 사용되면 암호화되어 어떤 사이트로 패킷이 가는지 알 수가 없습니다.
그런데 한서버(ip)에 여러 사이트가 운영될때 https를 같은 포트로 함께 사용할 경우 어떤 사이트로 가야하는 지 알아야 하기 때문에 이 구간에서 비암호화전송이 이루어지게 해서 포트번호 없이 웹호스팅 같은 곳에서 https를 제공해 주게 되었습니다.
SNI가 이 기술입니다.
그런데 대한민국 정부에서 이를 악용해 SNI기술이 원래 감청용도로 사용하는 것처럼 포장해서 지금 내년에 하려고 하는 것이고 이로 인해 https임에도 감청이 되어 버리는 것으로 알고 있습니다.
그런데 SNI구간도 암호화하는 작업을 브라우저사,인증서회사가 지금 진행중이어서 뻘짓이라고 보는 것 입니다. -
Lv30
Lv8 네 맞습니다.
https:// 를 사용하면 패킷을 암호화 하여 전송되기 떄문에 모르죠..
하지만 불법사이트 도메인을 알면 DNS 수정하여 사이트 차단이 될수 있죠.. -
Lv8
Lv30 그건 이미 정부에 협조하는 경우는 누구도 막을 수 없다고 이미 위에 제가 언급했구요.
그래서 이게 자충수라고 이야기 한겁니다. 뭐 위 댓글 내용에 이미 제 의견은 충분히 말씀 드린거 같아요. -
?
국가 차원에서 하는데 못할 이유도 없을것 같은 느낌 입니다
-
?
DNS 변조 => 글로벌 DNS 사용
DNS 패킷 감청 => DNS over HTTPS
SNI 패킷 감청 => SNI 패킷 암호화
러시아나 중국처럼 간다면 이제는 IP차단 정도가 남은거 같은데, IP 차단을 하면 클라우드플레어 같은 서비스는 전체가 막힐텐데 이렇게까지는 안할 것 같고 다음에는 어떻게 하려나 잘 모르겠네요. -
?
3일전부터 https 도 차단되었는데 저만 그런가요?
-
?
DNS 검열이야 우회하기가 너무 쉽고
SNI 차단은 파이어폭스 나이틀리가 ESNI 지원하고 있어서 이미 많이들 사용하고 있습니다.
ESNI가 적용된 64버전은 12월 11일에 정식 버전으로도 릴리즈됩니다.
사용 방법은 지금쯤 인터넷에 많이 퍼졌을테니 패스..
클플을 사용하는 모든 사이트에 장애를 일으키는 것을 감수할 수 있다면 차단을 시도할지도 모르죠. 현실적으로는 어렵다고 생각합니다. 웹 관련 보안기술들은 감시와 통제를 원천봉쇄하는 것이 목적이 아니라, 감시와 통제를 시도하는 데 따르는 정치적 부담을 최대한 높이는 것이 목적이니까요. 이 정부가 뭔가 뻘짓을 하고 있다는 것이 눈에 띌 수밖에 없도록, 계속 시도할수록 일반인에게 불편을 줄 수밖에 없도록 부담을 팍팍 주는 거예요.