Preciso do obfs4 se estiver usando o Tor normalmente?

Somente se sua rede bloquear o Tor. Em países sem censura do Tor, os protetores de entrada padrão do Tor funcionam bem e são mais rápidos do que passar por uma ponte obfs4. obfs4 é para usuários protegidos por firewalls ou sistemas DPI que reconhecem e bloqueiam o Tor.

Meu ISP pode detectar conexões obfs4?

A detecção é difícil para uma implantação obfs4 bem configurada. O tráfego parece uniformemente aleatório para observadores passivos. Um ISP poderia imprimir impressões digitais de , cujos IPs são pontes conhecidas (e alguns publicam essas listas), mas o protocolo em si é opaco na rede.

Não. obfs4 é uma camada de transporte especificamente para o Tor. Ele envolve o tráfego do Tor para evitar a detecção, mas não fornece o estilo VPN "todo o tráfego do meu dispositivo passa por este túnel". Para isso, consulte nossos artigos WireGuard e OpenVPN .

Como faço para obter uma ponte obfs4?

Use a solicitação de ponte integrada do navegador Tor ou visite bridges.torproject.org em qualquer navegador. Se eles também estiverem bloqueados, você pode enviar um e-mail para bridges@torproject.org de um endereço Gmail ou Riseup com "get transport obfs4" como corpo, e você receberá linhas de ponte como resposta.

Por que obfs2 e obfs3 foram bloqueados?

A criptografia XOR do obfs2 produziu vieses sutis na distribuição de bytes detectáveis por análise estatística. obfs3 era vulnerável à investigação ativa – os censores podiam confirmar uma ponte Tor iniciando uma conexão e observando a resposta. obfs4 corrigido com criptografia autenticada adequada e um handshake resistente a sondagens.

obfs4: Como Tor Bridges se disfarçam para sobreviver à censura

obfs4 é o transporte conectável mais implantado na rede Tor - o que transforma um handshake Tor reconhecível em algo que se parece com bytes aleatórios, de modo que um censor observando a transmissão não consegue diferenciar o tráfego Tor de qualquer outra coisa. Compreender como funciona também explica por que esquemas simples de bloqueio de tráfego perderam o jogo de gato e rato contra uma ofuscação bem projetada.

O corpo completo do artigo é fornecido em inglês abaixo.

A rede Tor tem um problema: o handshake do protocolo é reconhecível. Um censor com recursos de inspeção profunda de pacotes pode identificar as extensões TLS e os padrões de certificado que o protocolo de diretório do Tor usa e, em seguida, bloquear qualquer fluxo que corresponda. obfs4 existe para derrotar essa impressão digital, tornando os bytes do fio indistinguíveis de um fluxo uniformemente aleatório.

Transportes conectáveis: a arquitetura

Tor A solução do

Tor para a censura é desacoplar o transporte do protocolo de aplicação. Um transporte pluggable é um pequeno programa que fica entre o Tor e a rede: o Tor entrega bytes, transforma-os de alguma forma, e um programa correspondente em uma ponte reverte a transformação antes de entregar os bytes ao processo Tor da ponte. Para trocar estratégias de ofuscação, você troca o programa – não são necessárias alterações no Tor. obfs4 é um desses programas; manso (HTTPS para um CDN) e Snowflake (WebRTC) são outros.

O que o obfs4 realmente faz

obfs4 foi projetado por Yawning Angel em 2014 para derrotar tanto a impressão digital passiva quanto a sondagem ativa. Seus três pilares:

Indistinguível do aleatório: após um handshake de acordo de chave usando ntor (o mesmo protocolo de curva elíptica que o Tor usa internamente), cada byte que atravessa a rede é criptografado como saída de uma cifra de fluxo. Não há marcadores de protocolo, nem bytes de cabeçalho fixos, nem padrões reconhecíveis - para um observador passivo, parecem dados aleatórios uniformes.
Resistência à sondagem ativa:Os censores às vezes investigam endpoints suspeitos iniciando eles próprios conexões, procurando uma resposta do Tor. As pontes obfs4 exigem um segredo por ponte no primeiro pacote do cliente. Sem o segredo, a ponte se recusa a responder. Um censor que ainda não conhece o segredo não pode confirmar que o ponto final é uma ponte Tor.
LOfuscação de comprimento e tempo: obfs4 preenche células para disfarçar o tamanho característico da célula Tor de 514 bytes e insere variação de tempo entre chegadas, ambas vazadas pelo protocolo Tor subjacente.

A ponte model

obfs4 não se conecta aos retransmissores públicos do Tor - eles estão listados nas autoridades do diretório, facilmente bloqueados. Ele se conecta a bridges: relés executados por voluntários cujos endereços IP são distribuídos em pequenos lotes aos usuários por meio do projeto BridgeDB. Cada linha de ponte inclui o endereço, a porta, a impressão digital e o certificado obfs4 (o segredo compartilhado que um censor precisaria para investigar ativamente). Usuários em países censurados buscam linhas de ponte em bridges.torproject.org, o bot @GetBridgesBot Telegram ou respostas automáticas de e-mail.

obfs2 → obfs3 → obfs4: uma história de corrida armamentista

O histórico de versão do protocolo é a história da própria corrida armamentista. obfs2 (2012) usou uma chave XOR compartilhada; observadores passivos poderiam detectá-lo porque a distribuição de bytes não era muito uniforme. obfs3 adicionou uma troca de chaves autenticada, mas ainda falhou na investigação ativa. obfs4 fechou ambos os furos simultaneamente. Cada nova versão foi implantada semanas após a anterior ter sido bloqueada em grande escala pelo Grande Firewall.

O que ela não pode fazer

obfs4 faz o tráfego do Tor parecer bytes aleatórios. Essa é uma forte defesa contra DPI baseado em regras – mas um censor que decide bloquear todos os fluxos uniformemente aleatórios ainda pode bloqueá-lo, ao custo de quebrar muitos protocolos legítimos que usam criptografia de aparência aleatória (VPNs incluídas). Algumas redes adotaram exatamente essa estratégia, e é por isso que o Tor continuou a enviar transportes como Snowflake (parece WebRTC) e manso (parece HTTPS para um CDN) que viajam dentro de protocolos que os censores não podem banir facilmente. Nesse ponto, apenas os transportes frontais de domínio podem funcionar.

Performance

obfs4 adiciona alguns kilobytes de sobrecarga de handshake e algumas centenas de microssegundos de CPU por pacote. A taxa de transferência é essencialmente limitada pela largura de banda da ponte, não pela ofuscação. Para a maioria dos usuários, a ponte É o gargalo – existem apenas alguns milhares de pontes obfs4 em todo o mundo, muito menos do que os principais relés do Tor.

Perguntas frequentes

Preciso do obfs4 se estiver usando o Tor normalmente?: Somente se sua rede bloquear o Tor. Em países sem censura do Tor, os protetores de entrada padrão do Tor funcionam bem e são mais rápidos do que passar por uma ponte obfs4. obfs4 é para usuários protegidos por firewalls ou sistemas DPI que reconhecem e bloqueiam o Tor.
Meu ISP pode detectar conexões obfs4?: A detecção é difícil para uma implantação obfs4 bem configurada. O tráfego parece uniformemente aleatório para observadores passivos. Um ISP poderia imprimir impressões digitais de <em>, cujos IPs</em> são pontes conhecidas (e alguns publicam essas listas), mas o protocolo em si é opaco na rede.
Obfs4 é uma VPN?: Não. obfs4 é uma camada de transporte especificamente para o Tor. Ele envolve o tráfego do Tor para evitar a detecção, mas não fornece o estilo VPN "todo o tráfego do meu dispositivo passa por este túnel". Para isso, consulte nossos artigos <a href="/learning/wireguard">WireGuard</a> e <a href="/learning/openvpn">OpenVPN</a>.
Como faço para obter uma ponte obfs4?: Use a solicitação de ponte integrada do navegador Tor ou visite bridges.torproject.org em qualquer navegador. Se eles também estiverem bloqueados, você pode enviar um e-mail para [email protected] de um endereço Gmail ou Riseup com "get transport obfs4" como corpo, e você receberá linhas de ponte como resposta.
Por que obfs2 e obfs3 foram bloqueados?: A criptografia XOR do obfs2 produziu vieses sutis na distribuição de bytes detectáveis por análise estatística. obfs3 era vulnerável à investigação ativa – os censores podiam confirmar uma ponte Tor iniciando uma conexão e observando a resposta. obfs4 corrigido com criptografia autenticada adequada e um handshake resistente a sondagens.