加密消息应用 Signal 或因域前置技术被 AWS 扫地出门

下一篇文章

Facebook F8 开发者大会首日十大看点

加密消息服务 Signal 收到了一封发自 AWS(亚马逊网络服务)的 奇怪电邮 ,亚马逊的代表在其中表示,Signal 使用域前置(domain fronting)规避审查的行为违反了 AWS 的使用条款。

Signal 不能算是最流行的消息应用,但很有可能你过去使用过 Signal 的技术,该应用 背后的组织 曾跟 WhatsApp 联合开发了用于后者消息服务的端到端加密协议。

虽然这是对未加密通信的重大改进,但 WhatsApp 在中国 被封 ,而这家公司也被 Facebook 收归旗下。 在世界大部分地区 ,Facebook 把 WhatsApp 用户的数据用在了其他服务上面。所以,Facebook 知道你的通讯录,你所有消息的时间戳和收件人——只不过 Facebook 无法看到消息的内容。

这就是为什么 Signal 背后的组织 Open Whisper Systems 也要开发自己的消息应用和服务。Signal 支持 iOS、安卓和桌面电脑,而且一切都是 开源 的,所以安全专家可以对代码进行审查。

而且,你没猜错,就像 WhatsApp 一样,很多国家都试图封杀 Signal 的服务器以阻止加密通信。埃及、阿曼、卡塔尔、阿联酋和伊朗都试图封杀 Signal。

封杀一种服务有多种方式。你可以在 DNS 这一层进行封杀,要求所有的互联网服务提供商阻截一个特定的域名。不过,绕开这种封杀也很容易,只要切换到另一个公共 DNS 即可,比如 Quad9(9.9.9.9)和 1.1.1.1。

此外,政府还可以在 TLS 握手 过程中进行封杀。绝大多数热门网站和互联网服务都会对用户设备和服务器之间的数据流进行加密。这就是浏览器地址栏中绿色小锁图标和“https://”字样的含义所在,它意味着,一旦你跟这样的服务器建立了连接,政府就无法看到你在这个服务器上所做的事情。

不幸的是,当连接开始时,设备和服务器会进行一次 TLS 握手,而这在目前是未加密的。一些国家的政府就在利用这一缺陷封杀在线服务。

为了绕过这些限制,Signal 和其他一些敏感服务使用了一种名为 域前置 的技术。从 2016 年开始,Signal 一直依赖 GAE(谷歌应用服务引擎)来掩饰自己的 TLS 握手。Signal 会让设备假装跟 google.com 进行通信,而实际上是在跟 Signal 的服务器交换数据。

政府要么把 google.com(和 Signal)整个儿封掉,要么只能放弃。Signal 仍能在埃及、阿曼、卡塔尔和阿联酋使用,这是因为他们不想把 google.com 也封掉——Open Whisper Systems 没办法在伊朗用这一招,因为 Google 也被伊朗政府封杀了。

上个月,Google 关闭 了 GAE 的域前置功能。Signal 试图找到替代方案,希望使用 Amazon CloudFront 来把自己的流量伪装成对 Souq.com 的访问,该网站是亚马逊在中东的电商平台。

但现在,亚马逊也禁用了域前置功能,威胁要关掉 Signal 的 CloudFront 账户,看上去 Signal 已经没有办法了。因此,如果你居住在我列出的那些国家,而且已经连不上 Signal,那你现在就明白原因何在了。也许是时候 搭建你自己的 VPN 了。

硅谷公司声称会不惜一切代价支持言论自由,但在涉及使用域前置规避审查时,他们却不愿意提供帮助,这实在很奇怪。

允许域前置存在一些财务风险,因为某些国家为了封杀使用该功能的服务最终可能把 google.com 或 souq.com 也封掉,那些捍卫言论自由的公司可能因此蒙受经济损失……

翻译:王灿均(@何无鱼

Signal could get kicked out of Amazon Web Services