האם אני צריך obfs4 אם אני משתמש ב-Tor בדרך כלל?

רק אם הרשת שלך חוסמת את Tor. במדינות ללא צנזורה של Tor, מגני הכניסה הסטנדרטיים של Tor פועלים מצוין והם מהירים יותר מאשר מעבר על גשר obfs4. obfs4 מיועד למשתמשים מאחורי חומות אש או מערכות DPI שמזהות וחוסמות Tor.

האם ספק שירותי האינטרנט שלי יכול לזהות חיבורי obfs4?

זיהוי קשה לפריסת obfs4 מוגדרת היטב. התנועה נראית אקראית אחידה לצופים פסיביים. ספק שירותי אינטרנט יכול להטביע אצבע של ש-IPs הם גשרים ידועים (וחלקם כן מפרסמים רשימות כאלה), אבל הפרוטוקול עצמו אטום על החוט.

האם obfs4 הוא VPN?

מס' obfs4 היא שכבת תחבורה עבור Tor במיוחד. זה עוטף תעבורת Tor כדי להתחמק מזיהוי אבל לא מספק בסגנון VPN "כל התעבורה מהמכשיר שלי עוברת דרך המנהרה הזו". לשם כך, עיין במאמרי WireGuard ו- OpenVPN שלנו.

איך אני משיג גשר obfs4?

השתמש בבקשת הגשר המובנית של Tor Browser, או בקר ב-bridges.torproject.org בכל דפדפן. אם גם אלה חסומים, אתה יכול לשלוח דוא"ל לbridges@torproject.org מכתובת Gmail או Riseup עם "get transport obfs4" בתור הגוף, ותקבל קווי גשר באמצעות תשובה.

מדוע obfs2 ו-obfs3 נחסמו?

הצפנת XOR של obfs2 יצרה הטיות עדינות של הפצת בתים שניתן לזהות על ידי ניתוח סטטיסטי. obfs3 היה פגיע לבדיקה אקטיבית - צנזורים יכלו לאשר גשר Tor על ידי הפעלת חיבור והסתכלות על התגובה. obfs4 תוקן את שניהם עם הצפנה מאומתת מתאימה ולחיצת יד עמידה לבדיקה.

obfs4: כיצד Tor Bridges מסווה את עצמם כדי לשרוד את הצנזורה

obfs4 הוא התחבורה הניתנת לחיבור הנפרסת ביותר ברשת Tor - הדבר שהופך לחיצת יד מזוהה של Tor למשהו שנראה כמו בתים אקראיים, כך שצנזור שצופה בחוט לא יכול להבדיל בין תעבורת Tor מכל דבר אחר. הבנת איך זה עובד מסבירה גם מדוע תוכניות פשוטות לחסימת תנועה איבדו את משחק החתול והעכבר נגד ערפול מתוכנן היטב.

גוף המאמר המלא מסופק באנגלית להלן.

לרשת Tor יש בעיה: ניתן לזהות את לחיצת היד של הפרוטוקול. צנזור עם יכולות deep בדיקת מנות יכול טביעת אצבע של הרחבות TLS ודפוסי האישורים שפרוטוקול הספרייה של Tor משתמש בו, ואז לחסום כל זרימה שתואמת. obfs4 קיים כדי להביס את טביעת האצבע הזו על ידי הפיכת בתים של התיל לבלתי ניתנים להבחנה לזרם אקראי אחיד. הובלות

Pluggable: הפתרון של הארכיטקטורה

Tor לצנזורה הוא לנתק את התחבורה מפרוטוקול האפליקציה. pluggable transport היא תוכנית קטנה שיושבת בין Tor לרשת: Tor מוסרת לה בייטים, היא הופכת אותם בדרך כלשהי, ותוכנית התאמה על גשר הופכת את הטרנספורמציה לפני מסירת הבייטים לתהליך Tor של הגשר. כדי להחליף אסטרטגיות ערפול, אתה מחליף את התוכנית - אין צורך בשינויי Tor. obfs4 היא תוכנית אחת כזו; ענווה (HTTPS ל-CDN) ו-Snowflake (WebRTC) הם אחרים.

מה obfs4 בעצם עושה

obfs4 תוכנן על ידי Yawning Angel ב-2014 כדי להביס גם טביעות אצבע פסיביות וגם חיטוט אקטיבי. שלושת עמודי התווך שלו:

לא ניתן להבחין באקראי: לאחר לחיצת יד של הסכם מפתח באמצעות ntor (אותו פרוטוקול עקומה אליפטית ש-Tor משתמש באופן פנימי), כל בייט שחוצה את הרשת מוצפן מצופן זרם. אין סמני פרוטוקול, אין בתים קבועים של כותרת, אין דפוסים ניתנים לזיהוי - לצופה פסיבי זה נראה כמו נתונים אקראיים אחידים.
התנגדות לחיטוט אקטיבי: צנזורים לפעמים בודקים נקודות קצה חשודות על ידי ייזום חיבורים בעצמם, ומחפשים תגובת Tor. obfs4 bridges דורשים סוד לכל גשר בחבילה הראשונה מהלקוח. בלי הסוד, הגשר מסרב להגיב. צנזור שעדיין לא יודע את הסוד לא יכול לאשר שנקודת הקצה היא גשר Tor.
L ערפול אורך ותזמון: obfs4 מרפד תאים כדי להסוות את גודל תא ה-Tor האופייני של 514 בתים ומוסיף וריאציה של תזמון בין-הגעות, שניהם דולפים על ידי Tor. פרוטוקול.

דגם הגשר

obfs4 אינו מתחבר לממסרים הציבוריים של Tor - אלה רשומים ברשויות ספריות, חסומות בקלות. הוא מתחבר ל-bridges: ממסרים המופעלים על ידי מתנדבים שכתובות ה-IP שלהם מופצות בקבוצות קטנות למשתמשים באמצעות פרויקט BridgeDB. כל קו גשר כולל את הכתובת, היציאה, טביעת האצבע ואישור obfs4 (הסוד המשותף שצנזור יצטרך לבצע בדיקה אקטיבית). משתמשים במדינות מצונזרות מביאים קווי גשר מ-bridges.torproject.org, הבוט @GetBridgesBot Telegram, או דוא"ל ל-autoresponders.

obfs2 → obfs3 → obfs4: היסטוריית מירוץ חימוש

היסטוריית המירוץ עצמו היא היסטוריית הגרסאות של הזרוע. obfs2 (2012) השתמש במפתח XOR משותף; משקיפים פסיביים יכלו לזהות אותו מכיוון שהתפלגות הבתים לא הייתה די אחידה. obfs3 הוסיף חילופי מפתחות מאומתים אך עדיין נכשל בבדיקה אקטיבית. obfs4 סגר את שני החורים בו זמנית. כל גרסה חדשה נפרסה תוך שבועות מרגע שהקודמת נחסמה בקנה מידה על ידי חומת האש הגדולה.

מה שהיא לא יכולה לעשות

obfs4 גורם לתעבורת Tor להיראות כמו בתים אקראיים. זו הגנה חזקה מפני DPI מבוסס כללים - אבל צנזור שמחליט לחסום את כל הזרימות האקראיות האקראיות באחידות עדיין יכול לחסום אותה, במחיר של שבירת פרוטוקולים לגיטימיים רבים המשתמשים בהצפנה אקראית (כלולות VPN). חלק מהרשתות אימצו בדיוק את האסטרטגיה הזו, וזו הסיבה ש-Tor המשיכה לשלוח הובלות כמו Snowflake (נראה כמו WebRTC) ו-Mek (נראה כמו HTTPS ל-CDN) שנוסעים בתוך פרוטוקולים שצנזורים לא יכולים בקלות לאסור.

obfs4 גם לא עוזר אם הרשת המקומית פשוט חוסמת כל IP שנמצא בשימוש ברשימה הלבנה במדינות מסוימות של מחברים או אסטרטגיה. מצבי חירום. בשלב זה רק העברות מול דומיין יכולות לעבוד.

Performance

obfs4 מוסיף כמה קילובייטים של לחיצת יד תקורה וכמה מאות מיקרו-שניות של מעבד לכל מנה. התפוקה מוגבלת למעשה על ידי רוחב הפס של הגשר, לא על ידי הערפול. עבור רוב המשתמשים, הגשר הוא צוואר הבקבוק - ישנם רק כמה אלפי גשרי obfs4 ברחבי העולם, הרבה פחות מהממסרים הראשיים של Tor.

שאלות נפוצות

האם אני צריך obfs4 אם אני משתמש ב-Tor בדרך כלל?: רק אם הרשת שלך חוסמת את Tor. במדינות ללא צנזורה של Tor, מגני הכניסה הסטנדרטיים של Tor פועלים מצוין והם מהירים יותר מאשר מעבר על גשר obfs4. obfs4 מיועד למשתמשים מאחורי חומות אש או מערכות DPI שמזהות וחוסמות Tor.
האם ספק שירותי האינטרנט שלי יכול לזהות חיבורי obfs4?: זיהוי קשה לפריסת obfs4 מוגדרת היטב. התנועה נראית אקראית אחידה לצופים פסיביים. ספק שירותי אינטרנט יכול להטביע אצבע של <em> ש-IPs</em> הם גשרים ידועים (וחלקם כן מפרסמים רשימות כאלה), אבל הפרוטוקול עצמו אטום על החוט.
האם obfs4 הוא VPN?: מס' obfs4 היא שכבת תחבורה עבור Tor במיוחד. זה עוטף תעבורת Tor כדי להתחמק מזיהוי אבל לא מספק בסגנון VPN "כל התעבורה מהמכשיר שלי עוברת דרך המנהרה הזו". לשם כך, עיין במאמרי <a href="/learning/wireguard">WireGuard</a> ו-<a href="/learning/openvpn">OpenVPN</a> שלנו.
איך אני משיג גשר obfs4?: השתמש בבקשת הגשר המובנית של Tor Browser, או בקר ב-bridges.torproject.org בכל דפדפן. אם גם אלה חסומים, אתה יכול לשלוח דוא"ל ל[email protected] מכתובת Gmail או Riseup עם "get transport obfs4" בתור הגוף, ותקבל קווי גשר באמצעות תשובה.
מדוע obfs2 ו-obfs3 נחסמו?: הצפנת XOR של obfs2 יצרה הטיות עדינות של הפצת בתים שניתן לזהות על ידי ניתוח סטטיסטי. obfs3 היה פגיע לבדיקה אקטיבית - צנזורים יכלו לאשר גשר Tor על ידי הפעלת חיבור והסתכלות על התגובה. obfs4 תוקן את שניהם עם הצפנה מאומתת מתאימה ולחיצת יד עמידה לבדיקה.