TLS 1.3 и шифрование — что VPN на самом деле делает с вашим трафиком

Когда говорят «VPN шифрует ваш трафик», обычно не уточняют — каким способом, какими алгоритмами и от чего именно это защищает. Между тем, разница между шифрованием в WireGuard, OpenVPN и VLESS+TLS 1.3 значительная — и важно понимать, что современные стандарты дают, а что нет.

В этом материале — разбор TLS 1.3, который лежит в основе самых современных VPN-протоколов, и того, чем он отличается от устаревшего TLS 1.2 и более старых вариантов.

Что такое TLS

TLS (Transport Layer Security) — это протокол шифрования, который защищает соединение между двумя узлами в сети. Его предыдущая версия называлась SSL, и название «SSL-сертификат» сохранилось в обиходе, хотя сам SSL давно устарел и небезопасен.

TLS — это слой над TCP. Когда вы открываете сайт по HTTPS, происходит следующее:

  1. Браузер устанавливает TCP-соединение с сервером
  2. Поверх TCP начинается TLS-рукопожатие: обмен сертификатами и ключами
  3. После рукопожатия канал зашифрован, и поверх него идёт обычный HTTP

VPN-протокол VLESS использует TLS 1.3 точно так же — он берёт готовый, отлаженный криптографический канал и кладёт внутрь свой трафик.

Что нового в TLS 1.3

TLS 1.3 — версия от 2018 года, формализованная в RFC 8446. Она радикально упростила протокол и убрала наследие двадцати лет компромиссов.

Сокращённый набор алгоритмов

В TLS 1.2 поддерживалось более сотни наборов шифров. Многие из них небезопасны: RC4, 3DES, MD5, экспортные шифры, CBC-режимы без AEAD. Каждый дополнительный алгоритм — это потенциальная уязвимость и точка для атак типа «понижение шифра».

В TLS 1.3 осталось ровно пять наборов:

  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256
  • TLS_AES_128_CCM_SHA256 (редко)
  • TLS_AES_128_CCM_8_SHA256 (редко)

Первые три — это и есть «современное шифрование». Все они являются AEAD-шифрами.

AEAD-шифрование

AEAD (Authenticated Encryption with Associated Data) — это режим шифрования, который одновременно обеспечивает конфиденциальность и целостность данных. Это означает: атакующий не только не может прочитать содержимое — он даже не может незаметно изменить пакет (например, перевернуть один бит). Любая модификация будет обнаружена при расшифровке.

В TLS 1.2 использовались режимы CBC + HMAC, в которых атакующий теоретически мог провести атаку Lucky Thirteen или Padding Oracle. В TLS 1.3 эти векторы устранены архитектурно — режимы GCM/CCM/Poly1305 не имеют таких слабостей.

Perfect Forward Secrecy по умолчанию

PFS (Perfect Forward Secrecy) — это свойство протокола, при котором компрометация долгосрочного ключа сервера не позволяет расшифровать ранее перехваченный трафик. Каждое соединение использует временные ключи, обмен которыми происходит через эфемерный Diffie-Hellman (ECDHE).

В TLS 1.2 PFS была опциональной — некоторые наборы шифров использовали обмен ключами RSA без эфемерности. В TLS 1.3 RSA-обмен ключами полностью убран. Все соединения теперь имеют PFS по умолчанию.

Что это даёт практически. Если злоумышленник записывает ваш зашифрованный трафик «на будущее» в надежде расшифровать его потом, получив доступ к серверу — с TLS 1.3 этот план не работает. Сессионные ключи существовали только в памяти на время сессии и уничтожены.

Сокращённое рукопожатие

В TLS 1.2 полное рукопожатие занимает 2 RTT (round-trip time) — два полных «туда-обратно» пакета. В TLS 1.3 это 1 RTT, а с механизмом 0-RTT (для возобновляемых сессий) — фактически ноль дополнительных задержек.

Это критично для VPN: при переключении между сетями (Wi-Fi → 4G) клиент быстрее восстанавливает туннель, что незаметно для пользователя.

Шифрование SNI (ECH)

В обычном TLS 1.3 имя сервера (SNI), к которому подключается клиент, передаётся в открытом виде в первом пакете. Это потенциальная утечка — наблюдатель видит, на какой сайт вы идёте.

В стандарте ECH (Encrypted Client Hello), который сейчас в стадии активного внедрения, SNI зашифрован. На момент написания материала ECH поддерживается Cloudflare, Firefox и частично Chrome. Для VPN это пока не критично (имя VPN-сервера и так зашифровано через Reality), но в перспективе ECH сделает анализ HTTPS-трафика ещё сложнее.

Что это значит для VLESS-туннеля

VLESS+Reality использует TLS 1.3 — все вышеперечисленные свойства применимы:

Перехват трафика бесполезен. AEAD-шифрование делает любое чтение и модификацию проходящих пакетов криптографически невозможным без знания сессионного ключа.

Прошлые сессии безопасны. PFS гарантирует, что компрометация ключа сервера в будущем не открывает доступ к ранее перехваченному трафику.

Сертификаты неподделываемы. Поскольку Reality использует TLS-сертификаты популярных доменов (например, microsoft.com), которые валидны во всей цепочке доверия публичных CA — подделать их и провести MITM-атаку нельзя без компрометации самого этого домена.

Соединение неотличимо от обычного HTTPS. TLS 1.3-рукопожатие к microsoft.com выглядит точно так же, как любое другое TLS 1.3-рукопожатие — потому что это и есть оно.

А что с квантовыми компьютерами

Распространённый вопрос. Современные асимметричные алгоритмы (Diffie-Hellman на эллиптических кривых, RSA) теоретически уязвимы перед достаточно мощным квантовым компьютером. Симметричные алгоритмы (AES-256, ChaCha20) — нет.

В реальности это пока не угроза. Существующие квантовые компьютеры далеки от тех мощностей, которые позволили бы взломать ECDHE с кривой Curve25519. Однако NIST уже стандартизировал постквантовые алгоритмы (ML-KEM, ранее Kyber), и TLS 1.3 готовится к интеграции — гибридные схемы X25519+ML-KEM уже доступны в Chrome и Firefox.

Когда это станет проблемой для VPN — VLESS+Reality и WireGuard смогут перейти на постквантовые алгоритмы обновлением, не меняя архитектуры.

Итог

Когда BypsVPN говорит про шифрование TLS 1.3, это означает следующее:

  • AEAD-шифры (AES-GCM или ChaCha20-Poly1305) на сессионных ключах
  • Perfect Forward Secrecy через эфемерный Diffie-Hellman на Curve25519
  • 1-RTT-рукопожатие для быстрого восстановления соединения
  • Полное отсутствие устаревших небезопасных шифров

Это та же самая криптография, которая защищает банковские транзакции, почту в Gmail и подключения к корпоративным системам. Стандарт TLS 1.3 одобрен IETF и используется буквально миллиардами устройств — это самая аудированная и проверенная криптография, доступная сегодня.

Хотите подробнее про маскировку трафика и как Reality использует TLS 1.3 для неотличимости от обычных сайтов — читайте материал «VLESS vs Shadowsocks vs Trojan».