iCloud Private Relay

Transcript

1. 1 iCloud Private Relay 2021-09-26 (UPDATE 2021-10-25) Tajima Hirotaka

2. 2 お約束のスライド • 本資料は公開情報のみで構成されています。 • 本資料は作成者の個人的見解のかたまりです。 • 本資料は作成者の所属組織の見解ではありません。 • 秋休みの自由研究なので、その程度に受け取ってください。

3. 3 What’s Private Relay? • ネットワークやサーバーがインターネット上のユーザーの行動を監視することを防ぐAppleのサービス • 2つのProxy(a.k.a. 串)を通す •

   Blind署名とOblivious DoHの組み合わせ • iOS 15, iPadOS 15, or macOS Monterey(2021秋) / iCloud+課金ユーザのみ利用可 https://developer.apple.com/videos/play/wwdc2021/10096/

4. 4 Client IPとServer名のそれぞれを異なるProxyが知ってる • Ingress ProxyはクライアントのIPアドレスだけ知ってる • Egress Proxyはユーザが要求しているサーバ名だけ知ってる •

   重要:クライアントのIPアドレスとユーザーがアクセスしている内容の両方を見ることができる人はAppleにもいない https://developer.apple.com/videos/play/wwdc2021/10096/ *｢クライアント｣と｢ユーザ｣を使い分けていることに注意

5. 5 パケットの気持ち • サーバIPの名前解決用のDNS query(udp/53)はナシ Client ー Ingress Proxy間通信 DNS

   queryを含む(DoH) Egress Proxy ー Server間通信

6. 6 地域性は維持されるらしい • ｢Private Relayでは、クライアントが別の国にいるかのようになりすますこと はできません。サーバはIPアドレスに割り当てられた国に基づいて、クライア ントの地域を判断することができます。｣(*1)とのこと。 https://developer.apple.com/videos/play/wwdc2021/10096/ (*1) https://developer.apple.com/jp/support/prepare-your-network-for-icloud-private-relay/

7. 7 2つのレベルの地域性 https://developer.apple.com/videos/play/wwdc2021/10085/ Cupartino PDT GMT-7

8. 8 ためしてみよう • 検証日 2021-09-22 • iOS 15.0 over iPhone12

   • 固定回線とモバイル回線でアクセス

9. 9 Private Relay設定 これだけ (iCloudの要課金)

10. 10 Origin Serverログ 固定回線 • SafariのみでなくChrome,FirefoxでもPrivate Relayでアクセスする • 補足:httpの場合で3ブラウザのPrivate Relay利用を確認しました。調査時点ではhttpsの場合はSafariからのアクセスのみPrivate

    Relayを使う ようです。 Private Relay safari chrome firefox なし 219.112.177.30 - - [22/Sep/2021:10:12:44 +0900] "GET / HTTP/1.1" 200 347 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 15_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.0 Mobile/15E148 Safari/604.1" * * 2606:54c0:3b40:30::16:c6 - - [22/Sep/2021:10:15:22 +0900] "GET / HTTP/1.1" 200 347 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 15_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.0 Mobile/15E148 Safari/604.1" * * 2606:54c0:3b00:18::16:e9 - - [22/Sep/2021:10:16:21 +0900] "GET / HTTP/1.1" 200 346 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 15_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) CriOS/93.0.4577.78 Mobile/15E148 Safari/604.1" * * 2606:54c0:3b60:18::16:fd - - [22/Sep/2021:10:27:38 +0900] "GET /favicon.ico HTTP/1.1" 404 496 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 15_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) FxiOS/37.0 Mobile/15E148 Safari/605.1.15" Egress Proxy クライアント IPアドレス

11. 11 Origin Serverログ モバイル回線 • IPアドレスから固定回線とモバイル回線の区別はつかない Private Relay safari chromefirefox

    * * 2606:54c0:3b40:10::16:cf - - [22/Sep/2021:10:58:27 +0900] "GET / HTTP/1.1" 200 347 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 15_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.0 Mobile/15E148 Safari/604.1" * * 2606:54c0:3b00:10::16:12e - - [22/Sep/2021:10:58:33 +0900] "GET / HTTP/1.1" 200 347 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 15_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) CriOS/93.0.4577.78 Mobile/15E148 Safari/604.1" * * 2606:54c0:3b40:10::16:133 - - [22/Sep/2021:10:58:40 +0900] "GET /favicon.ico HTTP/1.1" 404 496 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 15_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) FxiOS/37.0 Mobile/15E148 Safari/605.1.15" Egress Proxy

12. 12 Egress ProxyのIPアドレス情報 IPジオロケーションフィードへのアクセス https://developer.apple.com/jp/support/prepare-your-network-for- icloud-private-relay/#h5o-6 IPアドレスリスト https://mask-api.icloud.com/egress-ip-ranges.csv

13. 13 Egress ProxyのIPアドレス情報(cont.) IPアドレスロケーション設定による違い Apple公開のIPアドレスリスト https://mask-api.icloud.com/egress-ip-ranges.csv 国より細かいレベル の地域を維持 国･タイムゾーン レベルの地域

14. 14 所感 • 現行はBetaサービスかつ実質iPhone/iPadのみ。今後のGAと MacOSリリースによる推移をみていきたい。 • デバイス側のOn/Offは非常に容易なので無視できないかも。 • 本調査にあたってiPhone設定でOnにしましたが、On状態のまま日常使用し てます。とくに問題も感じずOnしたことをすっかり忘れてるくらいです。

15. 16 Grow revenue opportunities with fast, personalized web experiences and

    manage complexity from peak demand, mobile devices and data collection.