Zákazem praktiky známé jako domain fronting hrají Google a Amazon do noty státním cenzorům. Tato technologie totiž mohla být používána k obcházení internetových zákazů.
Kvůli nárůstu sledování od tajných služeb a soukromých společností po celém světě se v posledních letech stává využívání messengerových programů se spolehlivým a důvěryhodným šifrováním pro mnoho lidí čím dál důležitějším. Zvláště dobrou pověst v této oblasti má messenger Signal. Tento software byl vyvinut na bázi open-source a může být používán zdarma jako aplikace v systému Android a iOS, stejně jako program pro stolní počítače s Windows, macOS nebo Linuxem.
Šifrováním proti cenzuře
Signal chrání odeslané zprávy „end-to-end“. To znamená, že zpráva je zašifrována již na zařízení odesílatele a poté je přenášena příjemci, kde se pak dešifruje. Případné odposlechy mezi těmito dvěma body nemohou obsah dešifrovat, nebo jen s velkým úsilím. Mnoho známých odborníků na kryptografii prověřilo zdrojový text Signalu a klasifikovalo aplikaci jako důvěryhodnou a bezpečnou. To ale z této aplikace dělá trn v oku mnoha autoritářským režimům, které chtějí udržet kontrolu nad komunikací svých občanů. Proto podle vývojářů Signalu se už zhruba rok a půl země jako Egypt, Omán, Katar a Spojené arabské emiráty snaží všemi technickými prostředky používání aplikace zabránit.
V těchto zemích existuje poměrně málo poskytovatelů internetu, takže servery Signalu je možné snadno zablokovat přes jejich IP adresy. Překážky jsou ještě o to jednodušší, že protokol TLS (Transport Layer Security), použitý pro přenos, vysílá během handshake procesu mezi dvěma účastníky hostitelský název cíle v prostém textu. Nicméně vynálezce Signalu a hlavní vývojář Matthew Rosenfield, který se obvykle prezentuje pod svým pseudonymem Moxie Marlinspike, využil k obcházení blokád inovativní techniku nazvanou domain fronting.
Domain fronting k ochraně komunikace
Domain fronting představuje poměrně malý datový provoz vytvářený uživatelem chatu, v porovnání s obrovským tokem dat významných internetových služeb, jako je třeba Google. Data se nejprve lokálně zabalí a poté odešlou na server, který navštěvuje mnoho dalších uživatelů v těchto zemích například proto, že něco hledají. Na serveru se pak balíček rozbalí a předá aktuálnímu cíli. V opačném případě se komunikace vrátí prvnímu účastníkovi. I messenger Telegram údajně využívá domain fronting. Podle zpráv z médií má tak zhruba 40 milionů lidí v Íránu příležitost využívat Telegram a vzájemně nerušeně komunikovat. To samé chtěli nabídnout svým uživatelům i vývojáři Signalu kolem Moxie Marlinspikea.
Domain fronting není v Signalu ve výchozím nastavení standardně aktivován, ale pouze tehdy, pokud software rozpozná mobilní telefonní číslo z jedné z uvedených arabských zemí. Místní cenzor by pak měl pouze možnost zablokovat veškerý přístup k Googlu všem svým obyvatelům. Tak daleko chce ale zajít jen málokterý režim.
Technologie, kterou používá Signal, maskuje zprávy místních uživatelů jako běžné, prostřednictvím HTTPS šifrované dotazy na Google. To už ale nebude nadále možné. Internetový gigant se rozhodl v budoucnu domain fronting neumožnit. Společnost však neposkytla žádné zdůvodnění tohoto kroku. Moxie Marlinspike má podezření, že Google už nechce sloužit jako krytí, když se daná země rozhodne blokovat nepopulární službu. Alternativou ke Googlu by byla služba AWS (Amazon Web Services), ale také dceřiná společnost Amazonu si pospíšila a po vzoru Googlu a jejího domain fronting svou službu zastavila.
AWS informovala vývojáře messengeru v e-mailu, že technologie nesplňuje podmínky služby. Pokud by programátoři používali službu k tomu, aby zamaskovali komunikaci, byl by to důvod okamžitě se Signalem ukončit spolupráci. O něco později v blogu AWS tuto firemní politiku vysvětlila. Domain fronting prý může být použit k maskování datových přenosů i malwaru. Bezpečnostní experti, jako je Matthew Mitchell z CryptoHarlem, však tento argument vyvracejí, protože domain fronting by mohl být povolen pouze selektivně - samozřejmě jen pokud by zúčastněné internetové koncerny byly ochotny tak učinit.
Další kolo v boji za svobodný internet
Podle vývojářů Signalu internetové giganty prosazují svými rozhodnutími cenzuru internetu, jen aby neměly problémy v zemích, kde působí. „Myšlenkou domain frontingu bylo, že někdo musí zablokovat celý internet, pokud chce blokovat jednu službu,“ říká Moxie Marlinspike. „Nakonec ale zbytek internetu tento nápad nepodporuje.“ Je potřeba nyní vyvinout jinou, robustnější metodu. Současná opatření byla příliš krátkodobá, vznikla proto, aby mohla být nasazena okamžitě. Boj o bezpečnou komunikaci na internetu proto teď vstupuje do dalšího kola.
***
Zvyšování cenzury na internetu
Se svobodou na internetu to nevypadá dobře. Pouze 23 procent světové populace má přístup k internetu, který není narušován cenzurou. Dalších 28 procent má částečně volný přístup k internetu, zatímco přibližně 36 procent je přímo postiženo cenzurními opatřeními. Tato čísla jsou z roku 2017 a pocházejí z jednou ročně zveřejňované zprávy Freedom House o svobodě na internetu. Podle této organizace podporované vládou USA se zvyšuje také cenzura v mobilních sítích. Zejména v oblastech s menšinami nebo skupinami, které usilují o nezávislost, jsou mobilní sítě stále častěji vypínány z politických nebo bezpečnostních důvodů. Vzrůstají také pokusy zabránit přístupu k živému obsahu vysílanému po internetu. Podle Freedom House cenzorům také nejvíce vadí využívání virtuálních privátních sítí (VPN). Celosvětově blokuje v různých formách přístup k sítím VPN čtrnáct zemí.
Foto popis| Jak funguje domain fronting Při domain frontingu se komunikace se zakázanou doménou skrývá v balíčku TLS, který je následně odeslán na povolenou doménu, například google.com.
Foto autor| Zdroj: https://www.bamsoftware.com/papers/fronting/
Foto popis| Bezpečnostní experti jako Matthew Mitchell z CryptoHarlem naznačují, že Google a Amazon by mohly povolit domain fronting selektivně.
Foto popis| Používání internetu po celém světě Asi dvě třetiny globálního internetového provozu jsou dnes více či méně kontrolovány.
Foto autor| Zdroj: Report „Freedom on the net 2017“
O autorovi| ANDREAS TH. FISCHER, autor@chip.cz