Psifon
Psiphon je bezplatný nástroj pro obcházení cenzury od Citizen Lab University of Toronto, který od roku 2008 dodal desítky milionů instalací. Je to hybrid – zčásti VPN, zčásti HTTP proxy, zčásti SSH tunel – který automaticky a tiše vybere, který přenos nejlépe vyhovuje síti uživatele. Pro uživatele v silně filtrovaných zemích je to často jediná věc, která trvale funguje.
Celé tělo článku je uvedeno níže v angličtině.
Psiphon začal jako výzkumný projekt na univerzitě v Torontu v roce 2006 a v roce 2008 byl převeden do společnosti Psiphon Inc.. Jeho designový cíl byl na tu dobu neobvyklý: nástroj k obcházení, který můžete předat příbuznému v cenzurované zemi a očekávat, že na to přijde bez pokynů. Výsledkem je nástroj, který automaticky zjišťuje servery, automaticky vybírá přenosy a dodává je v jediném spustitelném souboru bez konfigurační obrazovky ve výchozím nastavení.
Přístup k více přenosům
Většina VPN klientů si vybere jeden protokol – OpenVPN, WireGuard, IKEv2 – a použije jej. Pokud místní síť tento protokol blokuje, VPN nefunguje. Psiphon má opačný přístup: dodává několik transportů a používá to, co místní síť umožňuje. Aktuální sestava zahrnuje:
- SSH — pro sítě, které blokují VPN, ale umožňují SSH
- SSH-Obfuscated — SSH rozpoznává náhodným potřesením bajtů, které porazí DPIXsPLZ17 SSH
- Meek-HTTPS – tunelování přes HTTPS připojení CDN, takže jej cenzor nemůže zablokovat bez porušení CloudFront
- QUIC – pomocí přenosu HTTP/3 vypadá jako běžný moderní web traffic
- Marionette/Conjure — výzkumné přenosy, které napodobují drátové vzory jiných protokolů
Klient zkouší více přenosů paralelně a použije první, který se vytvoří. Když jeden přestane fungovat, transparentně selže na jiný. To je výrazně robustnější než jednoprotokolové VPN v nepřátelských sítích.
Zjišťování serverů bez úniku serverů
První výzvou v jakémkoli nástroji na obcházení je pomoci uživatelům najít fungující server, aniž by cenzorovi poskytli seznam k blokování. Přístup společnosti Psiphon využívá podepsané konfigurační soubory distribuované prostřednictvím několika postranních kanálů – e-mailu, sociálních médií, zrcadlových stránek, aktualizací v aplikaci – v kombinaci s protokolem šíření, kde každý klient dostane malou náhodnou podmnožinu serverové flotily. Cenzor by musel kompromitovat mnoho klientů, aby vyjmenoval celý seznam.
Toto je koncepčně podobné Tor's BridgeDB, ale agresivnější: Psiphon předpokládá, že cenzor nakonec zjistí většinu IP serverů a agresivně rotuje. IP adresy serverů jsou obvykle vyřazeny a nahrazeny v týdenním cyklu.
Sponzorství a jak je Psiphon financován
Psiphon je pro koncové uživatele zdarma, ale společnost je zisková. Příjmy pocházejí ze sponzorství – typicky mediálních organizací (BBC, Voice of America, RFI) a lidskoprávních nevládních organizací, které platí za zajištění přístupu k jejich vlastnímu obsahu z cenzurovaných zemí. Sponzorovaná klientská varianta sdružuje web sponzora jako úvodní stránku a může upřednostňovat trasy na tento web. Jádro anticenzurního jádra je stejné.
Kód je open source na GitHubu. Model důvěry: důvěřujete společnosti Psiphon Inc. (kanadská společnost) a akademické laboratoři Citizen Lab, že nepřihlásí ani neprodají uživatelská data. Nezávislé audity potvrdily, že konstrukce odpovídá uvedeným zásadám ochrany osobních údajů.
Co je Psiphon NOT
Psiphon není navržen jako nástroj pro silnou anonymitu. Otáčí výstupní IP a neváže uživatele k dlouhodobému identifikátoru, ale jediné klientské připojení stále odhalí serveru Psiphon, které stránky navštěvujete. Model hrozby je obcházení cenzury, nikoli anonymita. Pokud je vaším protivníkem dozorčí aparát na státní úrovni, který může předvolat kanadské společnosti, Psiphon vás nechrání tak, jako Tor. Pokud je vaším protivníkem národní firewall, který chce učinit BBC News nedostupným, Psiphon je ten správný nástroj.
Tam, kde Psiphon exceluje
Tento nástroj spolehlivě projde v Íránu, Číně, Rusku, Turkmenistánu a dalších silně filtrovaných sítích, kde komerční VPN občas selhávají. Činí tak na telefonech s procesory nižší třídy a na pomalých mobilních datových připojeních – technické možnosti, jako je agresivní komprese a adaptivní omezení, se vyplatí. Závisí na něm desítky milionů uživatelů v cenzurovaných zemích.
Psiphon vs Tor vs komerční VPN
Rozhodovací strom: potřeba anonymity → Tor. Potřebujete stabilní IP pro službu, která nedůvěřuje veřejným VPN → komerční VPN. Potřebujete něco, které funguje v režimu silné cenzury → Psiphon nebo některého z jeho vrstevníků, jako je Lantern nebo Outline. Kategorie si nesoutěží – řeší různé problémy.
Často kladené otázky
- Je Psiphon zdarma?
- Ano, koncoví uživatelé neplatí nic. Psiphon je financován sponzorstvím od mediálních organizací a nevládních organizací, které chtějí, aby jejich obsah byl dostupný na cenzurovaných trzích. Základní klient obsahuje reklamy v některých konfiguracích; sponzorované stavby ne.
- Je Psiphon VPN?
- Tak nějak — tuneluje provoz přes servery Psiphonu, což má stejný obecný tvar jako VPN. Základní přenos se však liší (SSH, HTTPS, QUIC) a cílem je ve výchozím nastavení obcházení, nikoli šifrování veškerého provozu zařízení. Na většině platforem ve výchozím nastavení funguje jako proxy SOCKS s volitelným tunelováním v celém systému.
- Mohu důvěřovat zásadám Psiphonu bez protokolování?
- Kód je open source a byl auditován nezávislými akademickými výzkumníky. Psiphon Inc. je kanadská společnost podléhající kanadskému právu. U většiny modelů hrozeb je důvěra přiměřená; pro model hrozby, který zahrnuje kanadskou vládu, tomu tak není. Model distribuované důvěry Tor je silnější, pokud je anonymita kritická.
- Funguje Psiphon v Číně?
- Historicky ano, občas. Velký firewall blokuje konkrétní transporty, jak se stanou populární, a Psiphon reaguje rotací transportů. V kterémkoli daném týdnu některé přepravy fungují a jiné ne; uživatelé mohou potřebovat aktualizovat klienta a otáčet servery ručně během období zvýšené cenzury.
- Skryje používání Psiphonu moji IP před weby, které navštěvuji?
- Ano – webové stránky vidí výstupní IP adresu Psiphon, nikoli vaši skutečnou. Ale Psiphonovy vlastní servery vidí mapování. Pro obfuskaci cílové IP nepotřebujete anonymitu, stačí Psiphon. Pro zmatek cílové adresy IP, kdy také nedůvěřujete operátorovi tunelu, navrstvěte jej na Tor nebo použijte Tor přímo.