我們最近推出了 Privacy Gateway,這是一種完全託管、可擴展且高效能的 Oblivious HTTP (OHTTP) 轉送。從概念上講,OHTTP 是一個簡單的通訊協定:端到端的加密請求和回應透過轉送裝置在用戶端和伺服器之間轉寄,將傳送者與傳送內容分離。這是一種常見的模式,Oblivious DoH 和 Apple Private Relay 等部署的技術證明了這一點。儘管如此,OHTTP 仍然是一個新通訊協定,作為一個新通訊協定,我們必須仔細進行分析。
為此,我們進行了由電腦輔助的正式安全性分析,以補充對該通訊協定正在進行的標準化過程和部署。在這篇文章中,我們更深入地描述了這一分析,更深入地挖掘了該通訊協定的加密細節以及我們為分析它而開發的模型。如果您已經熟悉 OHTTP 通訊協定,可請隨時跳到分析區段以深入瞭解。如果不太熟悉,則讓我們首先回顧一下 OHTTP 要實現的目標以及該通訊協定如何設計以實現這些目標。
將傳送者與傳送內容分離
OHTTP 是一種將公開金鑰加密與代理相結合,以將 HTTP 請求(和回應)的內容與 HTTP 請求的傳送者分開的通訊協定。在 OHTTP 中,用戶端產生加密請求並將其傳送到轉送裝置,該轉送裝置將它們轉寄到閘道伺服器,最後閘道解密訊息以處理請求。轉送裝置只能看到加密文字以及用戶端和閘道識別身分,閘道只能看到轉送裝置識別身分和純文字。
這樣,OHTTP 就是一個輕量級的應用程式層代理通訊協定。這意味著它代理應用程式訊息而不是網路層連線。這種區別很重要,所以要確保我們能理解這些差異。代理連線涉及通常建置在 HTTP CONNECT 上的一整套其他通訊協定。(也可以使用 VPN 和 WireGuard 等技術,包括 Cloudflare WARP,但我們著重關注 HTTP CONNECT 以進行比較。)
完整閱讀全文https://blog.cloudflare.com/zh-tw/stronger-than-a-promise-proving-oblivi...
熱門新聞
2024-10-24
2024-10-22
2024-10-23
2024-09-27