Necessito obfs4 si estic fent servir Tor normalment?

Només si la vostra xarxa bloqueja Tor. Als països sense censura Tor, els guàrdies d'entrada Tor estàndard funcionen bé i són més ràpids que passar per un pont obfs4. obfs4 és per als usuaris darrere de tallafocs o sistemes DPI que reconeixen i bloquegen Tor.

El meu ISP pot detectar connexions obfs4?

La detecció és difícil per a un desplegament obfs4 ben configurat. El trànsit sembla uniformement aleatori per als observadors passius. Un ISP podria identificar , els quals IPs són ponts coneguts (i alguns publiquen aquestes llistes), però el protocol en si és opac al cable.

Obfs4 és una capa de transport específicament per a Tor. Embolcalla el trànsit Tor per evadir la detecció, però no ofereix un estil VPN "tot el trànsit del meu dispositiu passa per aquest túnel". Per això, consulteu els nostres articles WireGuard i OpenVPN .

Com puc obtenir un pont obfs4?

Utilitzeu la sol·licitud de pont integrada del navegador Tor o visiteu bridges.torproject.org en qualsevol navegador. Si també es bloquegen, podeu enviar un correu electrònic a bridges@torproject.org des d'una adreça de Gmail o Riseup amb "obt transport obfs4" com a cos, i rebreu línies de pont mitjançant la resposta.

Per què es van bloquejar obfs2 i obfs3?

El xifratge XOR d'obfs2 va produir biaixos subtils de distribució de bytes detectables per anàlisi estadística. obfs3 era vulnerable al sondeig actiu: els censors podien confirmar un pont Tor iniciant una connexió i mirant la resposta. obfs4 s'ha solucionat amb un xifratge autenticat adequat i amb una encaixada de mans resistent a la prova.

obfs4: Com Tor Bridges es disfressa per sobreviure a la censura

obfs4 és el transport connectable més desplegat a la xarxa Tor: allò que converteix una encaixada de mans Tor reconeixible en una cosa que sembla bytes aleatoris, de manera que un censor que vegi el cable no pot diferenciar el trànsit Tor de qualsevol altra cosa. Entendre com funciona també explica per què els simples esquemes de bloqueig del trànsit han perdut el joc del gat i el ratolí contra una ofuscació ben dissenyada.

El cos complet de l'article es proporciona en anglès a continuació.

La xarxa Tor té un problema: l'encaixada de mans del protocol és reconeixible. Un censor amb capacitats d'inspecció de paquets deep pot identificar les extensions TLS i els patrons de certificats que utilitza el protocol de directoris de Tor, i després bloquejar qualsevol flux que coincideixi. obfs4 existeix per derrotar aquesta empremta digital fent que els bytes de cable no es puguin distingir d'un flux uniformement aleatori. Un transport connectable és un petit programa que es troba entre Tor i la xarxa: Tor li lliura bytes, els transforma d'alguna manera i un programa de concordança en un pont inverteix la transformació abans de lliurar els bytes al procés Tor del pont. Per intercanviar estratègies d'ofuscament, intercanvieu el programa; no calen canvis Tor. obfs4 és un d'aquests programes; meek (HTTPS a un CDN) i Snowflake (WebRTC) són uns altres.

El que obfs4 fa realment

obfs4 va ser dissenyat per Yawning Angel el 2014 per derrotar tant l'empremta digital passiva com el sondeig actiu. Els seus tres pilars:

IIndistingible de l'atzar: després d'un acord de claus amb ntor (el mateix protocol de corba el·líptica que Tor utilitza internament), cada byte que travessa la xarxa és una sortida xifrada d'un xifrat de flux. No hi ha marcadors de protocol, ni bytes de capçalera fixos, ni patrons recognoscibles; per a un observador passiu sembla que siguin dades aleatòries uniformes.
Resistència a la sonda activa: els censors de vegades sondegen punts finals sospitosos iniciant connexions ells mateixos, buscant una resposta Tor. Els ponts obfs4 requereixen un secret per pont al primer paquet del client. Sense el secret, el pont es nega a respondre. Un censor que encara no conegui el secret no pot confirmar que el punt final és un pont Tor.
LOfuscació de la longitud i el temps: obfs4 fa servir les cel·les per dissimular la mida característica de la cel·la Tor de 514 bytes i insereix una variació de temps entre arribades, ambdues filtracions de Tor. protocol.

El model de pont

obfs4 no es connecta als relés públics de Tor; aquests es mostren a les autoritats del directori i es bloquegen fàcilment. Es connecta a bridges: relés dirigits per voluntaris les adreces IP dels quals es distribueixen en petits lots als usuaris mitjançant el projecte BridgeDB. Cada línia de pont inclou l'adreça, el port, l'empremta digital i el certificat obfs4 (el secret compartit que un censor hauria d'activar). Els usuaris dels països censurats obtenen línies de pont des de bridges.torproject.org, el bot @GetBridgesBot Telegram o els autoresponders per correu electrònic.

obfs2 → obfs3 → obfs4: una història de carrera armamentística

L'historial de versions del protocol és el propi historial de la carrera d'armes. obfs2 (2012) va utilitzar una clau XOR compartida; els observadors passius podien detectar-ho perquè la distribució de bytes no era del tot uniforme. obfs3 va afegir un intercanvi de claus autenticat, però tot i així va fallar amb el sondeig actiu. obfs4 va tancar els dos forats simultàniament. Cada nova versió es va desplegar poques setmanes després que l'anterior fos bloquejada a escala pel Gran Tallafoc.

El que no pot fer

obfs4 fa que el trànsit Tor sembli bytes aleatoris. Aquesta és una forta defensa contra el DPI basat en regles, però un censor que decideix bloquejar tots els fluxos aleatoris uniformement encara pot bloquejar-lo, a costa de trencar molts protocols legítims que utilitzen xifratge d'aspecte aleatori (VPN incloses). Algunes xarxes han adoptat exactament aquesta estratègia, i és per això que Tor ha continuat enviant transports com Snowflake (sembla WebRTC) i mansu (sembla HTTPS a un CDN) que es mouen dins de protocols que els censors no poden prohibir fàcilment.

obfs4 tampoc no ajuda si la xarxa local simplement bloqueja totes les IP que s'utilitzen en alguns països de la llista blanca i una estratègia autoritaria en un lloc de treball autoritari. durant les emergències. En aquest moment, només poden funcionar els transports de front de domini.

Performance

obfs4 afegeix uns quants kilobytes de sobrecàrrega d'encaix i uns quants centenars de microsegons de CPU per paquet. El rendiment està essencialment limitat per l'ample de banda del pont, no per l'ofuscament. Per a la majoria dels usuaris, el pont ÉS el coll d'ampolla: només hi ha uns quants milers de ponts obfs4 a tot el món, molt menys que els relés principals de Tor.

Preguntes freqüents

Necessito obfs4 si estic fent servir Tor normalment?: Només si la vostra xarxa bloqueja Tor. Als països sense censura Tor, els guàrdies d'entrada Tor estàndard funcionen bé i són més ràpids que passar per un pont obfs4. obfs4 és per als usuaris darrere de tallafocs o sistemes DPI que reconeixen i bloquegen Tor.
El meu ISP pot detectar connexions obfs4?: La detecció és difícil per a un desplegament obfs4 ben configurat. El trànsit sembla uniformement aleatori per als observadors passius. Un ISP podria identificar <em>, els quals IPs</em> són ponts coneguts (i alguns publiquen aquestes llistes), però el protocol en si és opac al cable.
Obfs4 és una VPN?: Obfs4 és una capa de transport específicament per a Tor. Embolcalla el trànsit Tor per evadir la detecció, però no ofereix un estil VPN "tot el trànsit del meu dispositiu passa per aquest túnel". Per això, consulteu els nostres articles <a href="/learning/wireguard">WireGuard</a> i <a href="/learning/openvpn">OpenVPN</a>.
Com puc obtenir un pont obfs4?: Utilitzeu la sol·licitud de pont integrada del navegador Tor o visiteu bridges.torproject.org en qualsevol navegador. Si també es bloquegen, podeu enviar un correu electrònic a [email protected] des d'una adreça de Gmail o Riseup amb "obt transport obfs4" com a cos, i rebreu línies de pont mitjançant la resposta.
Per què es van bloquejar obfs2 i obfs3?: El xifratge XOR d'obfs2 va produir biaixos subtils de distribució de bytes detectables per anàlisi estadística. obfs3 era vulnerable al sondeig actiu: els censors podien confirmar un pont Tor iniciant una connexió i mirant la resposta. obfs4 s'ha solucionat amb un xifratge autenticat adequat i amb una encaixada de mans resistent a la prova.