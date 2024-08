Chatapp Signal heeft gebruikers gevraagd om een TLS-proxy op te zetten waarmee gebruikers in verschillende landen overheidsblokkades van de chatapp kunnen omzeilen. Gebruikers in verschillende landen hebben op dit moment geen toegang tot de chatapp stelt Signal-president Meredith Whittaker. Zo besloten de Russische autoriteiten om toegang tot Signal te blokkeren. Daarop liet Signal weten dat het aan meer geavanceerde omzeilingstechnieken werkt, maar om die methodes te laten werken moeten ook grote bedrijven in actie komen.

Het gaat dan vooral om het niet meer gebruiken van plaintext SNI-headers. Server Name Indication (SNI) is een TLS-extensie waarbij de client aan het begin van het opzetten van de beveiligde verbinding laat weten welke host hij probeert te bezoeken. Dit zorgt ervoor dat een server meerdere https-sites op hetzelfde adres kan hosten, zonder dat al die websites hetzelfde certificaat gebruiken. De client geeft namelijk aan welke website hij wil bezoeken.

Zonder SNI zou de server niet weten welk certificaat hij aan de client moet aanbieden. Een probleem is dat bijvoorbeeld een internetprovider het onversleutelde bericht met daarin de SNI kan onderscheppen en zo kan zien naar welke website de gebruiker wil gaan. Partijen die internetverkeer willen censureren maken hiervan gebruik om bepaalde websites te blokkeren.

Als oplossing is onder andere Encrypted Client Hello (ECH) bedacht. ECH zorgt ervoor dat het eerste hello-bericht naar een webserver wordt versleuteld. Dit maakt het lastiger voor derde partijen om te identificeren welke websites iemand bezoekt. ECH wordt echter nog niet veel gebruikt, aldus Signal. In de tussentijd roept het gebruikers op om een TLS-proxy te hosten. Gebruikers in landen waar Signal is geblokkeerd kunnen in de app aangeven gebruik te willen maken van een proxy.

Om niet worden geblokkeerd lijkt de Signal TLS-proxy op normaal versleuteld webverkeer. Voor elke proxy-server wordt een geldig TLS-certificaat gegenereerd, wat het lastiger moet maken om het verkeer te fingerprinten dan bij een statisch zelf-gesigneerd certificaat het geval zou zijn. Gebruikers zouden niets van de proxy moeten merken. De Signal-app maakt een normale TLS-verbinding met de proxy en de proxy stuurt alle ontvangen bytes door naar de Signal-service. Volgens de chatapp heeft het gebruik van de proxy geen gevolgen voor de veiligheid van het chatverkeer.