Trebam li obfs4 ako normalno koristim Tor?

Samo ako vaša mreža blokira Tor. U zemljama bez Tor cenzure, standardne Tor ulazne straže rade dobro i brže su od prolaska kroz obfs4 most. obfs4 je za korisnike iza vatrozida ili DPI sustava koji prepoznaju i blokiraju Tor.

Može li moj ISP otkriti obfs4 veze?

Detekcija je teška za dobro konfiguriranu implementaciju obfs4. Pasivnim promatračima promet izgleda jednako nasumično. ISP bi mogao otisnuti koji su IP-ovi poznati mostovi (a neki objavljuju takve popise), ali sam protokol je neproziran na žici.

Br. obfs4 je transportni sloj posebno za Tor. Omotava Tor promet kako bi izbjegao otkrivanje, ali ne pruža VPN stil "sav promet s mog uređaja prolazi kroz ovaj tunel." Za to pogledajte naše članke WireGuard i OpenVPN .

Kako mogu dobiti obfs4 most?

Upotrijebite ugrađeni zahtjev za most Tor Browsera ili posjetite bridges.torproject.org u bilo kojem pregledniku. Ako su i one blokirane, možete poslati e-poštu na bridges@torproject.org s Gmail ili Riseup adrese s "get transport obfs4" kao tijelom i primit ćete linije mosta putem odgovora.

Zašto su obfs2 i obfs3 blokirani?

obfs2 XOR enkripcija proizvela je suptilne pristranosti u distribuciji bajtova koje je moguće otkriti statističkom analizom. obfs3 bio je ranjiv na aktivno ispitivanje — cenzori su mogli potvrditi Tor bridge pokretanjem veze i gledanjem odgovora. obfs4 popravljen i pravilnom autentificiranom enkripcijom i rukovanjem otpornim na ispitivanje.

obfs4: Kako se Tor Bridges maskiraju da bi preživjeli cenzuru

obfs4 je najrasprostranjeniji priključni prijenos na Tor mreži — stvar koja pretvara prepoznatljivo Tor rukovanje u nešto što izgleda kao nasumični bajtovi, tako da cenzor koji promatra žicu ne može razlikovati Tor promet od bilo čega drugog. Razumijevanje kako to funkcionira također objašnjava zašto su jednostavne sheme za blokiranje prometa izgubile igru mačke i miša protiv dobro osmišljenog zamagljivanja.

Cjeloviti članak nalazi se u nastavku na engleskom jeziku.

Mreža Tor ima problem: rukovanje protokola je prepoznatljivo. Cenzor s mogućnostima duboke inspekcije paketa može uzeti otisak TLS ekstenzija i uzoraka certifikata koje koristi Torov protokol imenika, a zatim blokirati svaki protok koji odgovara. obfs4 postoji kako bi pobijedio taj otisak prsta čineći žičane bajtove nerazlučivim od ravnomjerno nasumičnog toka.

Priključni prijenosi: rješenje arhitekture

Tor za cenzuru je odvajanje prijenosa od aplikacijskog protokola. pluggable transport mali je program koji se nalazi između Tora i mreže: Tor mu predaje bajtove, transformira ih na neki način, a odgovarajući program na mostu preokreće transformaciju prije nego što preda bajtove Tor procesu mosta. Da biste zamijenili strategije maskiranja, zamijenite program — nisu potrebne izmjene Tor-a. obfs4 je jedan takav program; meek (HTTPS na CDN) i Snowflake (WebRTC) su drugi.

Što obfs4 zapravo radi

obfs4 dizajnirao je Yawning Angel 2014. kako bi pobijedio i pasivno otiske prstiju i aktivno ispitivanje. Njegova tri stupa:

Ne razlikuje se od nasumičnog: nakon rukovanja dogovora o ključu pomoću ntor-a (istog protokola eliptične krivulje koji Tor koristi interno), svaki bajt koji prijeđe mrežu je kriptirani izlaz iz šifre toka. Nema oznaka protokola, nema fiksnih bajtova zaglavlja, nema prepoznatljivih uzoraka — pasivnom promatraču to izgleda kao uniformni nasumični podaci.
Otpor na aktivno ispitivanje: cenzori ponekad ispituju sumnjive krajnje točke tako što sami pokreću veze, tražeći Tor odgovor. obfs4 mostovi zahtijevaju tajnu po mostu u prvom paketu od klijenta. Bez tajne, most odbija odgovoriti. Cenzor koji još ne zna tajnu ne može potvrditi da je krajnja točka Tor most.
Zamagljivanje duljine i vremena: obfs4 učitava ćelije kako bi prikrila karakterističnu veličinu Tor ćelije od 514 bajta i umeće varijacije vremena između dolaska, a obje su procurile od temeljnog Tor-a protokol.

Model modela

obfs4 ne povezuje se s Torovim javnim relejima — oni su navedeni u autoritetima imenika i lako se blokiraju. Povezuje se na bridges: volonterski vođeni releji čije se IP adrese u malim serijama distribuiraju korisnicima preko BridgeDB projekta. Svaki redak mosta uključuje adresu, port, otisak prsta i obfs4 certifikat (zajedničku tajnu koju bi cenzor trebao aktivno ispitati). Korisnici u cenzuriranim zemljama dohvaćaju linije mostova s bridges.torproject.org, @GetBridgesBot Telegram bota ili e-poštom automatskih odgovora.

obfs2 → obfs3 → obfs4: povijest utrke u naoružanju

Povijest verzija protokola je povijest same utrke u naoružanju. obfs2 (2012) koristio je zajednički XOR ključ; pasivni promatrači su to mogli otkriti jer distribucija bajtova nije bila baš ravnomjerna. obfs3 dodao je autentificiranu razmjenu ključeva, ali još uvijek nije uspio protiv aktivnog ispitivanja. obfs4 zatvorio je obje rupe istovremeno. Svaka nova verzija postavljena je nekoliko tjedana nakon što je prethodnu blokirao Great Firewall.

Što ne može učiniti

obfs4 čini da Tor promet izgleda kao nasumični bajtovi. To je snažna obrana od DPI-ja temeljenog na pravilima — ali cenzor koji odluči blokirati sve ravnomjerno nasumične tokove to ipak može blokirati, po cijenu razbijanja mnogih legitimnih protokola koji koriste enkripciju nasumičnog izgleda (uključujući VPN-ove). Neke su mreže usvojile upravo ovu strategiju, zbog čega je Tor nastavio isporučivati prijenose poput Snowflake (izgleda kao WebRTC) i meek (izgleda kao HTTPS prema CDN-u) koji se voze unutar protokola koje cenzori ne mogu lako zabraniti.

obfs4 također ne pomaže ako lokalna mreža jednostavno blokira svaki IP koji nije na popisu dopuštenih — strategija koja se koristi na nekim radnim mjestima i neke autoritarne zemlje tijekom izvanrednih situacija. U tom trenutku mogu funkcionirati samo prijenosi ispred domene.

Performanse

obfs4 dodaje nekoliko kilobajta rukovanja i nekoliko stotina mikrosekundi CPU-a po paketu. Propusnost je u biti ograničena širinom pojasa mosta, a ne maskiranjem. Za većinu korisnika most JE usko grlo — postoji samo nekoliko tisuća obfs4 mostova diljem svijeta, daleko manje od Torovih glavnih releja.

Često postavljana pitanja

Trebam li obfs4 ako normalno koristim Tor?: Samo ako vaša mreža blokira Tor. U zemljama bez Tor cenzure, standardne Tor ulazne straže rade dobro i brže su od prolaska kroz obfs4 most. obfs4 je za korisnike iza vatrozida ili DPI sustava koji prepoznaju i blokiraju Tor.
Može li moj ISP otkriti obfs4 veze?: Detekcija je teška za dobro konfiguriranu implementaciju obfs4. Pasivnim promatračima promet izgleda jednako nasumično. ISP bi mogao otisnuti <em> koji su IP-ovi </em> poznati mostovi (a neki objavljuju takve popise), ali sam protokol je neproziran na žici.
Je li obfs4 VPN?: Br. obfs4 je transportni sloj posebno za Tor. Omotava Tor promet kako bi izbjegao otkrivanje, ali ne pruža VPN stil "sav promet s mog uređaja prolazi kroz ovaj tunel." Za to pogledajte naše članke <a href="/learning/wireguard">WireGuard</a> i <a href="/learning/openvpn">OpenVPN</a>.
Kako mogu dobiti obfs4 most?: Upotrijebite ugrađeni zahtjev za most Tor Browsera ili posjetite bridges.torproject.org u bilo kojem pregledniku. Ako su i one blokirane, možete poslati e-poštu na [email protected] s Gmail ili Riseup adrese s "get transport obfs4" kao tijelom i primit ćete linije mosta putem odgovora.
Zašto su obfs2 i obfs3 blokirani?: obfs2 XOR enkripcija proizvela je suptilne pristranosti u distribuciji bajtova koje je moguće otkriti statističkom analizom. obfs3 bio je ranjiv na aktivno ispitivanje — cenzori su mogli potvrditi Tor bridge pokretanjem veze i gledanjem odgovora. obfs4 popravljen i pravilnom autentificiranom enkripcijom i rukovanjem otpornim na ispitivanje.