XTLS-Realityの仕組みを解説
XTLS-Realityとは
XTLS-Realityは、VPN通信を実在するウェブサイトへの正規のTLS 1.3接続として偽装する画期的な技術です。Xray-coreプロジェクトのRPROXY氏により開発され、2022年末に公開されました。
従来のVPN偽装技術とは根本的に異なるアプローチを採用しており、自前のドメインや証明書を必要とせず、実在する任意のウェブサイトの証明書情報を利用して通信を偽装します。
XTLS-Realityの動作原理
TLS 1.3ハンドシェイクの偽装
XTLS-Realityは、TLS 1.3のハンドシェイクプロセスを巧妙に利用します。クライアントがサーバーに接続する際、SNI(Server Name Indication)フィールドに実在するウェブサイトのドメイン名を設定します。
GFWがこの通信を検査しても、一般的なHTTPS通信と完全に同一のパターンに見えるため、VPN通信として検知することができません。
サーバーサイドの認証
サーバーは、クライアントから受信したTLS ClientHelloメッセージの中に含まれるカスタムデータを検証します。正当なクライアントからの接続であれば、VPNとして機能します。不正なアクセス(GFWのプロービングなど)の場合は、設定された実在のウェブサイトにリクエストを転送し、正規のウェブサイトとして応答します。
従来の偽装技術との比較
XTLS-Reality
- 自前のドメイン不要
- 自前のTLS証明書不要
- アクティブプロービング耐性あり
- 通信パターンが完全に正規HTTPS
従来方式(WebSocket+TLS等)
- 自前のドメインが必要
- Let's Encrypt等の証明書が必要
- プロービングで検知される可能性
- 通信タイミングパターンが異なる場合あり
なぜGFWに検知されないのか
XTLS-Realityが検知されない理由は、通信が物理的に正規のHTTPS通信と同一だからです。GFWがこの通信を遮断するためには、インターネット上のすべてのHTTPS通信を遮断する必要がありますが、それは経済活動を破壊するため現実的に不可能です。
アクティブプロービング(GFWがサーバーに直接接続を試みる手法)に対しても、サーバーが正規のウェブサイトとして応答するため、VPNサーバーとして特定されません。
まとめ
XTLS-Realityは、VPN偽装技術の到達点とも言える革新的な技術です。自前のドメインや証明書が不要でありながら、最高レベルの検知耐性を実現しています。VlessではこのXTLS-Realityを標準採用しており、ユーザーは複雑な設定なしにこの最先端技術の恩恵を受けられます。