对于reality的一些担忧

[kyber1024]

通过阅读代码，注意到reality通过公钥的方式加密包含了xray版本，时间戳，client hello随机数等信息的session ID。并通过这种方式来向服务器证明客户端的合法性，从而收到服务端通过临时信任证书签名的回复，建立vless连接。
如同tls1.3标准提到的那样，session ID在真实的tls1.3握手过程中是可选的，原文为
This "compatibility mode" is partially negotiated: the client can opt to provide a session ID or not, and the server has to echo it. Either side can send
这意味着session ID存在与否都不会实际影响tls1.3握手，其在tls1.3中并非重要的部分，也不会有任何形式的验证，如果中间人篡改甚至删除这部分，服务端和客户端都不会有任何感知，但是session ID如果遭到篡改却会导致reality无法建立连接。如果防火墙随机修改sessionID，然后观察客户端与服务端变化，是否可以识别reality。更进一步，无条件随机篡改所有tls1.3流量的session ID也可以完美封杀所有reality链接。

[RPRX]

#2682 (comment)