谁能科普下 iCloud+ Private Relay 的技术?

经过搜索, 发现好多知识盲区, Cloudflare/WARP/WARP+.

平时正常的网络请求, 先 DNS 查询 ip, 本机到路由器再经过中间的一些节点到 DNS 服务器, 再返回服务器 ip 地址,再一节一节到跳转到目标 ip.

如果平时使用科学上网工具, 通过 socks/vemss 等协议到达节点服务器, 节点服务器帮你请求目标 ip, 目标服务器看到的是节点服务器的 ip.

如果使用了 iCloud+ Private Relay :

It ensures that the traffic leaving your device is encrypted and uses two separate internet relays so no one can use your IP address, location, and browsing activity to create a detailed profile about you.

离开设备的请求都是加密的, 没人知道你的 ip. 那从自己家路由器到中间的 relay 肯定是透明的吧, 中间的 relay 最终会去请求目标服务器.

从路由器到中间 relay, 这里面的请求都应该能被 hack 吧? 如果是 https 协议, 信任了中间的服务器的证书, 那中间服务器也能 MitM 解析 https 里面内容吧?

Mitt

2021-06-09 16:41:56 +08:00

@totoro625 #11 推测就是客户端在 relay 之前加密的数据只有落地（ cloudflare 等）才能解开，苹果服务器不能解，所以苹果看到的是你的 IP，而 cloudflare 看到的是你访问的网站和苹果的 IP，所以隐私上无论是运营商、苹果、cloudflare 等都没办法把你的 IP 和你访问的网站对应起来，以此保护你的隐私，跟我们使用的前置代理确实没啥区别，这些都是建立在 TLS 基础上的，所以只要证书信任体系不坍塌就不会有问题，而苹果的做法更好的一点是他的出口 IP 是随机的，不仅是随机 IP，更是随机提供商，这样作恶（分析隐私）成本更大。

Kanna

2021-06-09 21:45:08 +08:00

苹果自己的解释，两层中转

使用 Safari 浏览器浏览时，Private Relay 确保离开用户设备的所有流量都是加密的，因此用户和他们访问的网站之间没有人可以访问和读取它，即使是苹果或用户的网络提供商也无法访问和阅读它。然后，所有用户的请求都通过两个单独的互联网中继发送。第一个为用户分配一个匿名 IP 地址，该 IP 地址映射到他们的区域，但不映射到他们的实际位置。第二个解密他们想要访问的网址，并将其转发到目的地。这种信息分离保护了用户的隐私，因为没有一个实体可以同时识别用户是谁以及他们访问的网站。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/782359