请教一下REALITY是如何验证服务器身份的

[caikun233]

Reality的文档有点太短了，Go也不是很能看得懂
文档里面提到，需要分别在客户端与服务器上，配置一对用./xray x25519生成的publicKey与privateKey，但在后文中提到：

REALITY 客户端应当收到由“临时认证密钥”签发的“临时可信证书”

也就是说，Reality并没有采用“预先放置服务器证书”的方式来避免DNS污染或其他原因造成的流量解密，那么Reality是如何确保服务器的身份经过验证呢？“临时身份密钥”是我在配置文件中指定的privateKey吗？配置好的public&privateKey具体是什么作用？

或者说我想知道Reality更加细节的加密过程。

阿里嘎多！

[Ficoto]

这个要从x25519算法开始说起

ECDH 的过程如下：
Alice 生成自己的私钥 a，并且计算公钥 A=a⋅G
Bob 生成自己的私钥 b，并且计算公钥 B=b⋅G
Alice 和 Bob 将自己的公钥通过不安全信道发送给对方
Alice 计算 K=a⋅B=a⋅(b⋅G)=ab⋅G
Bob 计算 K=b⋅A=b⋅(a⋅G)=ab⋅G
Alice 和 Bob 可以得到一个相同的结果作为接下来对称加密的密钥，但是攻击者仅通过偷听到的
A 和 B很难计算出 a,b 的值，也很难得出 K 的结果。

这样我们就可以通过交换公钥来进行验证，首先client 生成一对新的x25519的私钥跟公钥，通过client hello的keyShares传输生成的公钥，将生成的私钥跟client配置的公钥进行ECDH计算得出一个authkey，将这个authkey通过sessionid进行传输，服务端拿到client新生成的公钥和自己配置的私钥进行计算得出的authkey与sessionid内的authkey进行对比，一致的就是可信任的，服务端在启动时会随机生成一个x25519的私钥以及这个私钥生成的证书，这时候服务端将启动时的证书作为握手的证书下发下去，这样就可以完成后续的握手交换密钥了

[caikun233]

那这个握手过程差不多应该是这样的

+----------------+                        +----------------+
|     Client     |                        |     Server     |
+----------------+                        +----------------+
       |                                             |
       |                              1. 生成私钥 b 和公钥 B=b⋅G
 2. 生成私钥 a 和公钥 A=a⋅G                    |
       | 3. 使用 Client Hello 发送公钥 A ---------->   |
       |                                             |
       |                                             |
       |                                             |
       |                              4. 计算共享密钥 authkey=b⋅A 
       |    <------ 5. Server Hello with authkey     |
       |                                             |
       | 6. Client 使用私钥 a 和预配置的 B 计算出 K     |
       | 7. 验证 K 与 sessionid 中的 authkey 一致      |
       |                                             |
       |                                             |
       |---------------- 身份验证成功 -----------------|

服务端在启动时会随机生成一个x25519的私钥以及这个私钥生成的证书，这时候服务端将启动时的证书作为握手的证书下发下去

然后这一步就是在两边的配置中填写public&privateKey的操作

那么为什么realitySettings.dest要求被薅证书的网站必须支持TLS1.3呢？看起来即使中间人截获了ServerHello也没有办法获知任何信息

以及G的值是一个固定的值吗？

[Ficoto]

因为下发的证书不是伪装网站的证书，而是x25519生成的私钥生成的证书，但是tls1.2的证书是明文下发的，这样就会暴露证书是自签的不是真的证书，所以需要用tls1.3，因为tls1.3的证书是加密之后下发的。

[caikun233]

还有个问题，reality是如何处理低于TLS1.3的请求的呢，直接断掉还是转移到伪装网站上
感谢！

[Ficoto]

转移到配置的dest上

[caikun233]

啥都明白了，thanks for your patience 🫡❤