Potřebuji obfs4, když normálně používám Tor?

Pouze pokud vaše síť blokuje Tor. V zemích bez cenzury Tor fungují standardní vstupní stráže Tor dobře a jsou rychlejší než procházet mostem obfs4. obfs4 je pro uživatele za firewally nebo systémy DPI, které rozpoznávají a blokují Tor.

Může můj ISP detekovat připojení obfs4?

Detekce je obtížná pro dobře nakonfigurované nasazení obfs4. Provoz vypadá pro pasivní pozorovatele rovnoměrně náhodně. ISP by mohl otisknout , což jsou IPs známé mosty (a někteří takové seznamy publikují), ale samotný protokol je na drátě neprůhledný.

Č. obfs4 je transportní vrstva speciálně pro Tor. Zabaluje provoz Tor, aby se vyhnul detekci, ale neposkytuje ve stylu VPN „veškerý provoz z mého zařízení prochází tímto tunelem“. Podívejte se na naše články WireGuard a OpenVPN .

Jak získám most obfs4?

Použijte vestavěný požadavek na přemostění Tor Browser nebo navštivte bridges.torproject.org v libovolném prohlížeči. Pokud jsou zablokovány i ty, můžete poslat e-mail na adresu bridges@torproject.org z adresy Gmail nebo Riseup s textem „get transport obfs4“ jako tělo a prostřednictvím odpovědi obdržíte mostní linky.

Proč byly obfs2 a obfs3 zablokovány?

XOR šifrování obfs2 produkovalo jemné zkreslení bajtové distribuce detekovatelné statistickou analýzou. obfs3 byl zranitelný vůči aktivnímu zkoumání – cenzoři mohli potvrdit Tor bridge iniciací spojení a sledováním odpovědi. obfs4 opraveny pomocí správného ověřeného šifrování a podání ruky odolné vůči sondování.

obfs4: Jak se Tor Bridges maskuje, aby přežil cenzuru

obfs4 je nejrozšířenější zásuvný transport v síti Tor – věc, která mění rozeznatelné podání Tor na něco, co vypadá jako náhodné bajty, takže cenzor sledující drát nemůže odlišit provoz Tor od čehokoli jiného. Pochopení toho, jak to funguje, také vysvětluje, proč jednoduchá schémata blokování provozu prohrála hru kočky a myši proti dobře navrženému zmatku.

Celé tělo článku je uvedeno níže v angličtině.

Síť Tor má problém: handshake protokolu je rozpoznatelný. Cenzor s deep paketovou inspekcí může otiskovat TLS rozšíření a vzory certifikátů, které používá protokol Tor, a poté zablokovat jakýkoli tok, který odpovídá. obfs4 existuje proto, aby tento otisk překonal tím, že by bajty drátu byly nerozeznatelné od rovnoměrně náhodného toku.

Pluggable transporty: Řešení architektury

Tor pro cenzuru spočívá v oddělení přenosu od aplikačního protokolu. pluggable transport je malý program, který sedí mezi Tor a sítí: Tor mu předá bajty, nějakým způsobem je transformuje a odpovídající program na mostě transformaci obrátí, než předá bajty procesu Tor mostu. Chcete-li vyměnit strategie zmatku, vyměňte program – nejsou potřeba žádné změny Tor. obfs4 je jeden takový program; pokorný (HTTPS na CDN) a Snowflake (WebRTC) jsou další.

Co obfs4 skutečně dělá

obfs4 byl navržen Yawning Angel v roce 2014, aby porazil pasivní otisky prstů i aktivní sondování. Jeho tři pilíře:

Nerozeznatelné od náhodného: po navázání spojení s klíčem pomocí ntor (stejný protokol eliptické křivky, který Tor používá interně), je každý bajt, který prochází sítí, zašifrovaný výstup ze streamové šifry. Neexistují žádné značky protokolu, žádné pevné bajty záhlaví, žádné rozpoznatelné vzory — pro pasivního pozorovatele to vypadá jako jednotná náhodná data.
Odolnost vůči aktivnímu zkoumání: Cenzory někdy zkoumají podezřelé koncové body tím, že samy iniciují spojení a hledají odpověď Tor. Mosty obfs4 vyžadují tajemství pro každý most v prvním paketu od klienta. Bez tajemství most odmítá odpovědět. Cenzor, který ještě nezná tajemství, nemůže potvrdit, že koncovým bodem je můstek Tor.
Zmatení délky a načasování: obfs4 podloží buňky tak, aby zakryly charakteristickou velikost 514bajtových buněk Tor a vložily variace časování mezi příchody, přičemž obě jsou prozrazeny protokol.

Model můstku

obfs4 se nepřipojuje k veřejným relé Tor – ty jsou uvedeny v adresářových autoritách a lze je snadno zablokovat. Připojuje se k bridges: dobrovolně provozovaným relé, jejichž IP adresy jsou distribuovány v malých dávkách uživatelům prostřednictvím projektu BridgeDB. Každá linka mostu obsahuje adresu, port, otisk prstu a certifikát obfs4 (sdílené tajemství, které by cenzor potřeboval k aktivnímu zkoumání). Uživatelé v cenzurovaných zemích získávají mostní linky z bridges.torproject.org, z robota @GetBridgesBot Telegram nebo e-mailem autoresponders.

obfs2 → obfs3 → obfs4: historie závodů ve zbrojení

Historie verzí protokolu je historií samotného závodu ve zbrojení. obfs2 (2012) používal sdílený klíč XOR; pasivní pozorovatelé to mohli detekovat, protože distribuce bajtů nebyla zcela rovnoměrná. obfs3 přidal výměnu ověřeného klíče, ale stále selhal při aktivním testování. obfs4 uzavřel oba otvory současně. Každá nová verze byla nasazena během týdnů poté, co byla předchozí ve velkém zablokována Velkým firewallem.

To, co nedokáže

obfs4 způsobuje, že provoz Tor vypadá jako náhodné bajty. To je silná obrana proti DPI založenému na pravidlech – ale cenzor, který se rozhodne zablokovat všechny jednotně náhodné toky, to může stále blokovat za cenu porušení mnoha legitimních protokolů, které používají náhodně vypadající šifrování (včetně VPN). Některé sítě přijaly přesně tuto strategii, což je důvod, proč Tor pokračoval v doručování transportů jako Snowflake (vypadá jako WebRTC) a pokorný (vypadá jako HTTPS do CDN), které jezdí uvnitř protokolů, které cenzoři nemohou snadno zakázat.

obfs4 také nepomůže, pokud místní síť jednoduše zablokuje každou IP, která není na některých autorských pracovištích použita a během strategie. V tomto okamžiku mohou fungovat pouze přenosy na frontě domény.

Performance

obfs4 přidává několik kilobajtů režie handshake a několik set mikrosekund CPU na paket. Propustnost je v podstatě omezena šířkou pásma mostu, nikoli zmatením. Pro většinu uživatelů JE můstek úzkým hrdlem – na celém světě existuje jen několik tisíc mostů obfs4, mnohem méně než hlavních relé Tor.

Často kladené otázky

Potřebuji obfs4, když normálně používám Tor?: Pouze pokud vaše síť blokuje Tor. V zemích bez cenzury Tor fungují standardní vstupní stráže Tor dobře a jsou rychlejší než procházet mostem obfs4. obfs4 je pro uživatele za firewally nebo systémy DPI, které rozpoznávají a blokují Tor.
Může můj ISP detekovat připojení obfs4?: Detekce je obtížná pro dobře nakonfigurované nasazení obfs4. Provoz vypadá pro pasivní pozorovatele rovnoměrně náhodně. ISP by mohl otisknout <em>, což jsou IPs</em> známé mosty (a někteří takové seznamy publikují), ale samotný protokol je na drátě neprůhledný.
Je obfs4 VPN?: Č. obfs4 je transportní vrstva speciálně pro Tor. Zabaluje provoz Tor, aby se vyhnul detekci, ale neposkytuje ve stylu VPN „veškerý provoz z mého zařízení prochází tímto tunelem“. Podívejte se na naše články <a href="/learning/wireguard">WireGuard</a> a <a href="/learning/openvpn">OpenVPN</a>.
Jak získám most obfs4?: Použijte vestavěný požadavek na přemostění Tor Browser nebo navštivte bridges.torproject.org v libovolném prohlížeči. Pokud jsou zablokovány i ty, můžete poslat e-mail na adresu [email protected] z adresy Gmail nebo Riseup s textem „get transport obfs4“ jako tělo a prostřednictvím odpovědi obdržíte mostní linky.
Proč byly obfs2 a obfs3 zablokovány?: XOR šifrování obfs2 produkovalo jemné zkreslení bajtové distribuce detekovatelné statistickou analýzou. obfs3 byl zranitelný vůči aktivnímu zkoumání – cenzoři mohli potvrdit Tor bridge iniciací spojení a sledováním odpovědi. obfs4 opraveny pomocí správného ověřeného šifrování a podání ruky odolné vůči sondování.