Нужен ли мне obfs4, если я обычно использую Tor?

Только если ваша сеть блокирует Tor. В странах без цензуры Tor стандартные средства защиты входа Tor работают нормально и быстрее, чем через мост obfs4. obfs4 предназначен для пользователей, находящихся за брандмауэрами или системами DPI, которые распознают и блокируют Tor.

Может ли мой интернет-провайдер обнаружить соединения obfs4?

Обнаружение затруднено для хорошо настроенного развертывания obfs4. Для пассивных наблюдателей трафик выглядит равномерно случайным. Интернет-провайдер может отследить , IP-адреса которого являются известными мостами (и некоторые публикуют такие списки), но сам протокол непрозрачен в сети.

Obfs4 — это VPN?

Нет. obfs4 — это транспортный уровень специально для Tor. Он оборачивает трафик Tor, чтобы избежать обнаружения, но не обеспечивает VPN-стиль: «весь трафик с моего устройства проходит через этот туннель». Для этого ознакомьтесь с нашими статьями о WireGuard и OpenVPN .

Как мне получить мост obfs4?

Используйте встроенный запрос моста в браузере Tor или посетите сайт Bridges.torproject.org в любом браузере. Если они тоже заблокированы, вы можете отправить электронное письмо на адрес Bridges@torproject.org с адреса Gmail или Riseup, указав в тексте «get Transport obfs4», и в ответ вы получите строки моста.

Почему obfs2 и obfs3 заблокировались?

Шифрование XOR в obfs2 привело к незначительным отклонениям в распределении байтов, обнаруживаемым с помощью статистического анализа. obfs3 был уязвим для активного зондирования — цензоры могли подтвердить наличие моста Tor, инициировав соединение и просмотрев ответ. obfs4 исправлено как с помощью правильного шифрования с проверкой подлинности, так и с помощью устойчивого к зондированию рукопожатия.

obfs4: Как мосты Tor маскируются, чтобы пережить цензуру

obfs4 — наиболее распространенный подключаемый транспорт в сети Tor. Он превращает узнаваемое рукопожатие Tor во что-то похожее на случайные байты, поэтому цензор, наблюдающий за проводом, не может отличить трафик Tor от чего-либо еще. Понимание того, как это работает, также объясняет, почему простые схемы блокировки трафика проиграли игру в кошки-мышки с хорошо продуманной обфускацией.

Полный текст статьи на английском языке представлен ниже.

В сети Tor возникла проблема: рукопожатие протокола распознается. Цензор с возможностями глубокой проверки пакетов может определить расширения TLS и шаблоны сертификатов, используемые протоколом каталога Tor, а затем заблокировать любой соответствующий поток. obfs4 существует для того, чтобы обойти этот отпечаток, сделав передаваемые байты неотличимыми от равномерно случайного потока.

Подключаемые транспорты: архитектура

Tor Решение проблемы цензуры заключается в отделении транспорта от протокола приложения. Подключаемый транспорт — это небольшая программа, которая находится между Tor и сетью: Tor передает ей байты, преобразует их каким-то образом, а соответствующая программа на мосту отменяет преобразование перед передачей байтов процессу Tor моста. Чтобы поменять стратегии запутывания, вы меняете программу — никаких изменений Tor не требуется. obfs4 — одна из таких программ; meek (HTTPS для CDN) и Snowflake (WebRTC) — другие.

Что на самом деле делает obfs4

obfs4 был разработан Yawning Angel в 2014 году для борьбы с пассивным снятием отпечатков пальцев и активным зондированием. Его три столпа:

Неотличим от случайного: после рукопожатия с использованием ключа и соглашения с использованием ntor (тот же протокол эллиптической кривой, который Tor использует внутри себя), каждый байт, пересекающий сеть, представляет собой зашифрованный вывод потокового шифра. Здесь нет маркеров протокола, нет фиксированных байтов заголовка, нет узнаваемых шаблонов — для пассивного наблюдателя это выглядит как однородные случайные данные.
Сопротивление активному зондированию: цензоры иногда проверяют подозрительные конечные точки, сами инициируя соединения в поисках ответа Tor. Мосты obfs4 требуют секретного кода для каждого моста в первом пакете от клиента. Без секрета мост отказывается отвечать. Цензор, который еще не знает секрет, не может подтвердить, что конечная точка является мостом Tor. протокол.

Модель моста

obfs4 не подключается к общедоступным ретрансляторам Tor — они указаны в каталогах и легко блокируются. Он подключается к bridges: ретрансляторам, управляемым добровольцами, чьи IP-адреса распределяются среди пользователей небольшими партиями через проект BridgeDB. Каждая строка моста включает адрес, порт, отпечаток пальца и сертификат obfs4 (общий секрет, который цензору необходимо будет активировать). Пользователи в странах, подвергающихся цензуре, получают информацию о мостах с сайта Bridges.torproject.org, Telegram-бота @GetBridgesBot или автоответчиков по электронной почте.

obfs2 → obfs3 → obfs4: история гонки вооружений

История версий протокола — это история самой гонки вооружений. obfs2 (2012 г.) использовал общий ключ XOR; пассивные наблюдатели могли это обнаружить, поскольку распределение байтов было не совсем равномерным. В obfs3 добавлен обмен ключами с аутентификацией, но активная проверка по-прежнему не удалась. obfs4 закрыл обе дыры одновременно. Каждая новая версия развертывалась в течение нескольких недель после того, как предыдущая блокировалась в масштабе Великого межсетевого экрана.

Что она не может сделать

obfs4 делает трафик Tor похожим на случайные байты. Это надежная защита от DPI, основанного на правилах, но цензор, решивший заблокировать все равномерно случайные потоки, все равно может заблокировать его ценой взлома многих законных протоколов, использующих случайное шифрование (включая VPN). Некоторые сети приняли именно эту стратегию, поэтому Tor продолжает поставлять такие транспорты, как Snowflake (выглядит как WebRTC) и meek (выглядит как HTTPS для CDN), которые используются внутри протоколов, которые цензоры не могут легко запретить.

obfs4 также не поможет, если локальная сеть просто блокирует каждый IP-адрес, которого нет в белом списке — стратегия, используемая на некоторых рабочих местах и в некоторых авторитарных странах во время чрезвычайных ситуаций. В этот момент могут работать только транспорты, ориентированные на домен.

Performance

obfs4 добавляет несколько килобайт накладных расходов на подтверждение установления соединения и несколько сотен микросекунд процессорного времени на пакет. Пропускная способность по сути ограничивается пропускной способностью моста, а не обфускацией. Для большинства пользователей мост ЯВЛЯЕТСЯ узким местом — во всем мире существует всего несколько тысяч мостов obfs4, что намного меньше, чем основные реле Tor.

Часто задаваемые вопросы

Нужен ли мне obfs4, если я обычно использую Tor?: Только если ваша сеть блокирует Tor. В странах без цензуры Tor стандартные средства защиты входа Tor работают нормально и быстрее, чем через мост obfs4. obfs4 предназначен для пользователей, находящихся за брандмауэрами или системами DPI, которые распознают и блокируют Tor.
Может ли мой интернет-провайдер обнаружить соединения obfs4?: Обнаружение затруднено для хорошо настроенного развертывания obfs4. Для пассивных наблюдателей трафик выглядит равномерно случайным. Интернет-провайдер может отследить <em>, IP-адреса </em> которого являются известными мостами (и некоторые публикуют такие списки), но сам протокол непрозрачен в сети.
Obfs4 — это VPN?: Нет. obfs4 — это транспортный уровень специально для Tor. Он оборачивает трафик Tor, чтобы избежать обнаружения, но не обеспечивает VPN-стиль: «весь трафик с моего устройства проходит через этот туннель». Для этого ознакомьтесь с нашими статьями о <a href="/learning/wireguard">WireGuard</a> и <a href="/learning/openvpn">OpenVPN</a>.
Как мне получить мост obfs4?: Используйте встроенный запрос моста в браузере Tor или посетите сайт Bridges.torproject.org в любом браузере. Если они тоже заблокированы, вы можете отправить электронное письмо на адрес [email protected] с адреса Gmail или Riseup, указав в тексте «get Transport obfs4», и в ответ вы получите строки моста.
Почему obfs2 и obfs3 заблокировались?: Шифрование XOR в obfs2 привело к незначительным отклонениям в распределении байтов, обнаруживаемым с помощью статистического анализа. obfs3 был уязвим для активного зондирования — цензоры могли подтвердить наличие моста Tor, инициировав соединение и просмотрев ответ. obfs4 исправлено как с помощью правильного шифрования с проверкой подлинности, так и с помощью устойчивого к зондированию рукопожатия.