ShadowTLS: прячем туннель за TLS-рукопожатием

Как протокол заимствует чужое рукопожатие, почему v1 и v2 были дырявыми, что именно в v3 нашёл Aparecium и где у этого подхода архитектурный потолок Большинство прокси-протоколов пытаются выглядеть как HTTPS: генерируют свой сертификат, настраивают TLS, надеются что DPI не присмотрится слишком внимательно. ShadowTLS идёт другим путём — берёт чужое рукопожатие целиком, не подделывая ничего Пока TLS-рукопожатие идёт, всё что видит анализатор трафика — честный ClientHello, честный ServerHello, честный сертификат настоящего сервера-донора. Всё что происходит после завершения рукопожатия, туннельный трафик. К тому моменту DPI должен был уже принять решение пропустить соединение.

https://habr.com/ru/articles/1009624/

#ShadowTLS #TLS #ТСПУ #DPI #Aparecium #NewSessionTicket #HMAC #обход_блокировок #прокси