Когда вы подключаетесь к VPN-серверу, разве правительство не может выступать в роли посредника между вами и VPN-сервером и видеть трафик между вами через глубокий анализ пакетов? Например, какие сайты вы посещаете и какие данные передаете. Если нет, то почему?

Нет, потому что протокол предотвращает MITM, having the public key of the server already available before connecting, anyone trying to MITM won’t have the private key for the server and thus can’t decrypt the traffic nor send a valid packets.

Правительство не может MITM из-за криптографии с открытым ключом. В основном, ваш компьютер имеет публичный ключ сервера, которому он доверяет, а сервер — приватный ключ. Данные, отправленные через VPN-туннель, зашифрованы так, что их может расшифровать только тот, у кого есть соответствующий приватный ключ.

Глубокий анализ пакетов больше относится к анализу особенностей протокола зашифрованных туннелей для определения типа передаваемой информации. Так что правительство может использовать DPI, чтобы определить, что вы используете VPN, но не может видеть ваш трафик.

Насколько я понимаю. Если у вас достаточно большая аудитория и вы можете видеть большинство картинок, как некоторые крупные компании или даже правительство США. Вы можете отслеживать все, и нет реальной приватности. Но это только для нескольких организаций, которые имеют доступ к трафику. Хотел бы я вспомнить подкаст или пост с техническими деталями, о которых я слышал в дискуссии о ограничениях TOR.

Идея в том, что можно видеть входящий и исходящий трафик к серверам, и с достаточными данными можно фактически декодировать, какие запросы связаны с каким исходящим трафиком.

Не через глубокий анализ пакетов. Они ещё не взламывают шифрование. Если VPN настроен неправильно, может быть DNS-утечка. Также могут быть утечки через браузер, их можно внедрить через шпионское ПО в маршрутизаторы и компьютеры. Учитывая контроль, который имеют правительства, сохранение приватности становится сложной задачей, и большинство пользователей VPN уязвимы.

Если кто-то способен внедрить взрывчатку в цепочку поставок террористической организации, то мотивированное правительство может внедрить шпионское ПО в коммуникации обычных пользователей.

Следует просто предполагать, что они могут.

Провайдер будет знать, что вы пытаетесь подключиться к VPN. Можно использовать новые скрытные проксирующие протоколы, такие как vless + grpc + tls или v2ray, xray и т.п.; так провайдер не узнает, что вы используете VPN, и соединение выглядит как обычный HTTPS-трафик. И это довольно безопасно.

Понимание VPN vs. Скрытые протоколы

• VPN (Виртуальная частная сеть):
  • VPN шифрует ваше интернет-соединение и маршрутизирует его через безопасный сервер, скрывая ваш IP и делая вашу активность приватной.
  • Плюсы: широко используется и поддерживается большинством устройств, хорошо для общей приватности и обхода геоограничений.
  • Минусы: трафик VPN легко обнаружить Firewalls из-за характерного паттерна, некоторые страны или сети блокируют VPN.
• Скрытые протоколы (VLESS, V2Ray, TrojanGFW, XRay):
  • Более сложные протоколы, созданные для маскировки использования VPN или прокси. Они пытаются избежать обнаружения брандмауэрами и DPI.
  • Плюсы: труднее блокировать, выглядят как обычный веб-трафик (особенно с gRPC, TLS и т.п.). Эти черты скрытности полезны в ограничительных средах.
  • Минусы: сложнее настроить, ищите туториалы.

Почему вы думаете, что правительство смотрит ваш интернет-трафик? Потому что вы что-то очень плохое делаете?

В конечном итоге да, но не через DPI. Когда достигнуты квантовые вычисления, они смогут использовать Shore’s Algorithm для взлома публичной криптографии. Если хранить все VPN-коммуникации, то их можно будет расшифровать ретроспективно.

У меня нет ясности, честно говоря. Мое мозг от химиотерапии уже, наверное, не работает. Я начал интересоваться этим, после того, как полиция начала снимать маски с пользователей TOR.

Также я читал статьи о том, что NSA ставит людей в списки, если они используют что-то для приватности онлайн.

Где истинна…

Меняется ли публичный ключ при каждом соединении? Почему MITM не смог бы составить список VPN-серверов и получать их сертификаты заранее?

Провайдер всё равно увидит попытку соединения с VPN-сервером и протокол, который используется, верно?

Согласен, правительство в прошлом спонсировало создание шпионских вкладок в шифрование по этой причине.

Ну, не нужно слишком зацикливаться на мотивах правительств, уважайте гипотетическую ситуацию.

Это противоположно тому, как нужно думать, когда речь идет о приватности и безопасности. “Что если” достаточно.

Они не могут MITM (если только ты действительно плох в управлении ключами/конфигурациями), но могут легко обнаружить и заблокировать большинство протоколов VPN с помощью DPI. Например, Египет блокирует VPN этим способом.

В таких случаях иногда можно обойти блокировки, используя более скрытые протоколы (например, shadowsocks), но для Великого файервола Китая нужны более неясные методы.

Только у сервера есть приватный ключ, без него расшифровать или подделать невозможно. Проще говоря, публичный ключ — это как замок-замок, а приватный ключ — это ключ, который никогда не покидает получателя.

Первичное соединение можно инспектировать, как и в диктатурах (активное зондирование), но SSL-трафик — в некоторой степени, они не смогут знать, что именно вы отправляете (это чистая математическая проблема), но могут видеть некоторые абстрактные паттерны трафика, их можно представить как тень человека. Нельзя определить, кто создает тень, но можно сказать, что это человек. То же и с пакетами — они могут определить, что это HTTP, но не содержимое. Есть методы скрывать эти показатели, например, используя xray-reality, которая имитирует трафик, как наряд попугая в пример с тенями.

1. Безопасность через скрытность — это не настоящая безопасность.
2. Следует предполагать худший сценарий, а не “лол, это шутка”.
3. OP сказал “теоретически”, и я дал им теоретически правильный ответ, а не прагматичный.

Я понимаю, что многие просто придумывают истории в своих головах, но тот случай с TOR заставил меня подумать дважды. Сейчас я вижу, что есть несколько новых статей, которые объясняют это немного лучше.

Благодарю за ваш ответ.

Я падаю в свою кроличью нору