obfs4 การขนส่งแบบเสียบได้
obfs4 เป็นการขนส่งแบบเสียบปลั๊กที่ใช้งานมากที่สุดบนเครือข่าย Tor — สิ่งที่เปลี่ยนการจับมือ Tor ที่เป็นที่รู้จักให้กลายเป็นสิ่งที่ดูเหมือนไบต์แบบสุ่ม ดังนั้นเซ็นเซอร์ที่เฝ้าดูสายไม่สามารถบอกการรับส่งข้อมูลของ Tor นอกเหนือไปจากสิ่งอื่นใด การทำความเข้าใจวิธีการทำงานยังอธิบายได้ว่าทำไมแผนการบล็อกการรับส่งข้อมูลแบบง่าย ๆ จึงแพ้เกมแมวจับเมาส์กับการสร้างความสับสนที่ออกแบบมาอย่างดี
เนื้อหาบทความฉบับเต็มมีให้เป็นภาษาอังกฤษด้านล่าง
เครือข่าย Tor มีปัญหา: จดจำการจับมือกันของโปรโตคอลได้ เซ็นเซอร์ที่มีความสามารถ deep packet inspection สามารถพิมพ์ลายนิ้วมือส่วนขยาย TLS และรูปแบบใบรับรองที่โปรโตคอลไดเร็กทอรีของ Tor ใช้ จากนั้นบล็อกโฟลว์ใดๆ ที่ตรงกัน obfs4 มีอยู่เพื่อเอาชนะลายนิ้วมือนั้นด้วยการทำให้ไบต์ของลวดแยกไม่ออกจากสตรีมแบบสุ่มที่สม่ำเสมอ
การขนส่งแบบเสียบได้: สถาปัตยกรรม
Tor โซลูชันในการเซ็นเซอร์คือการแยกการขนส่งออกจากโปรโตคอลแอปพลิเคชัน pluggable Transport เป็นโปรแกรมขนาดเล็กที่อยู่ระหว่าง Tor และเครือข่าย โดย Tor จะส่งไบต์ให้กับมัน โดยจะแปลงค่าด้วยวิธีใดวิธีหนึ่ง และโปรแกรมที่ตรงกันบนบริดจ์จะกลับการแปลงก่อนที่จะส่งไบต์ให้กับกระบวนการ Tor ของบริดจ์ หากต้องการสลับกลยุทธ์การทำให้สับสน คุณต้องสลับโปรแกรม — ไม่จำเป็นต้องเปลี่ยนแปลง Tor obfs4 เป็นหนึ่งในโปรแกรมดังกล่าว ความอ่อนโยน (HTTPS เป็น CDN) และ Snowflake (WebRTC) เป็นอย่างอื่น
สิ่งที่ obfs4 ทำได้จริงๆ
obfs4 ได้รับการออกแบบโดย Yawning Angel ในปี 2014 เพื่อเอาชนะทั้งการพิมพ์ลายนิ้วมือแบบพาสซีฟและการตรวจสอบแบบแอคทีฟ เสาหลักสามประการ:
- แยกความแตกต่างจากการสุ่ม: หลังจากการจับมือข้อตกลงคีย์โดยใช้ ntor (โปรโตคอลรูปวงรีโค้งเดียวกันที่ Tor ใช้ภายใน) ทุกไบต์ที่ข้ามเครือข่ายจะถูกเข้ารหัสเอาต์พุตจากรหัสสตรีม ไม่มีเครื่องหมายโปรโตคอล ไม่มีไบต์ส่วนหัวคงที่ ไม่มีรูปแบบที่จดจำได้ — สำหรับผู้สังเกตการณ์แบบพาสซีฟ ดูเหมือนว่าข้อมูลสุ่มที่สม่ำเสมอ
- ความต้านทานต่อการตรวจสอบที่ใช้งานอยู่:เซ็นเซอร์ บางครั้งตรวจสอบจุดสิ้นสุดที่น่าสงสัยโดยเริ่มการเชื่อมต่อด้วยตนเอง โดยมองหาการตอบสนองของทอร์ บริดจ์ obfs4 ต้องการความลับต่อบริดจ์ในแพ็กเก็ตแรกจากไคลเอนต์ หากไม่มีความลับ สะพานก็ปฏิเสธที่จะตอบสนอง เซ็นเซอร์ที่ไม่ทราบความลับไม่สามารถยืนยันจุดสิ้นสุดคือสะพาน Tor ได้
- L การสร้างความสับสนด้านความยาวและเวลา: obfs4 จะแพดเซลล์เพื่อปกปิดลักษณะเซลล์ทอร์ขนาด 514 ไบต์ และแทรกรูปแบบเวลาระหว่างการมาถึง ซึ่งทั้งสองอย่างนี้รั่วไหลโดยโปรโตคอล Tor พื้นฐาน
สะพาน model
obfs4 ไม่ได้เชื่อมต่อกับรีเลย์สาธารณะของ Tor — รีเลย์เหล่านี้แสดงอยู่ในหน่วยงานไดเรกทอรี และถูกบล็อกได้ง่าย โดยเชื่อมต่อกับ bridges: รีเลย์ที่ดำเนินการโดยอาสาสมัครซึ่งมีที่อยู่ IP กระจายเป็นชุดเล็กๆ ให้กับผู้ใช้ผ่านโครงการ BridgeDB แต่ละบรรทัดของบริดจ์ประกอบด้วยที่อยู่ พอร์ต ลายนิ้วมือ และใบรับรอง obfs4 (ความลับที่ใช้ร่วมกันที่เซ็นเซอร์จำเป็นต้องใช้ในการสอบสวน) ผู้ใช้ในประเทศที่ถูกเซ็นเซอร์จะดึงข้อมูลสะพานจาก Bridges.torproject.org, บอท @GetBridgesBot Telegram หรืออีเมลตอบกลับอัตโนมัติ
obfs2 → obfs3 → obfs4: an Arm-race history
ประวัติเวอร์ชันของโปรโตคอลคือประวัติของการแข่งขันด้านอาวุธนั่นเอง obfs2 (2012) ใช้คีย์ XOR ที่ใช้ร่วมกัน ผู้สังเกตการณ์แบบพาสซีฟสามารถตรวจจับได้เนื่องจากการกระจายไบต์ไม่สม่ำเสมอ obfs3 เพิ่มการแลกเปลี่ยนคีย์ที่ได้รับการรับรองความถูกต้องแล้ว แต่ยังล้มเหลวในการตรวจสอบที่ทำงานอยู่ obfs4 ปิดทั้งสองรูพร้อมกัน แต่ละเวอร์ชันใหม่ถูกปรับใช้ภายในไม่กี่สัปดาห์หลังจากที่เวอร์ชันก่อนหน้านี้ถูกบล็อกโดย Great Firewall
สิ่งที่ทำไม่ได้
obfs4 ทำให้การรับส่งข้อมูลของ Tor ดูเหมือนไบต์แบบสุ่ม นั่นคือการป้องกันที่แข็งแกร่งต่อ DPI ตามกฎ — แต่เซ็นเซอร์ที่ตัดสินใจบล็อก บล็อกโฟลว์แบบสุ่มที่สม่ำเสมอทั้งหมด ยังสามารถบล็อกมันได้ โดยต้องเสียค่าใช้จ่ายในการทำลายโปรโตคอลที่ถูกต้องตามกฎหมายจำนวนมากที่ใช้การเข้ารหัสแบบสุ่ม (รวม VPN) เครือข่ายบางแห่งได้ใช้กลยุทธ์นี้อย่างแน่นอน ซึ่งเป็นสาเหตุที่ Tor ยังคงจัดส่งการขนส่งเช่น Snowflake (ดูเหมือน WebRTC) และอ่อนโยน (ดูเหมือน HTTPS ไปยัง CDN) ที่ขี่อยู่ภายในเซ็นเซอร์โปรโตคอลไม่สามารถแบนได้อย่างง่ายดาย
obfs4 ก็ไม่ได้ช่วยอะไรเช่นกัน หากเครือข่ายท้องถิ่นบล็อกทุก IP ที่ไม่ได้อยู่ในรายการที่อนุญาตซึ่งเป็นกลยุทธ์ที่ใช้ในสถานที่ทำงานบางแห่งและประเทศเผด็จการบางแห่งในกรณีฉุกเฉิน ณ จุดนั้น มีเพียงการส่งข้อมูลแบบ Fronting โดเมนเท่านั้นที่สามารถทำงานได้
Performance
obfs4 เพิ่มโอเวอร์เฮดการจับมือกันสองสามกิโลไบต์และ CPU สองสามร้อยไมโครวินาทีต่อแพ็กเก็ต โดยพื้นฐานแล้วปริมาณงานจะถูกจำกัดโดยแบนด์วิธของบริดจ์ ไม่ใช่การทำให้งงงวย สำหรับผู้ใช้ส่วนใหญ่ สะพานคือจุดคอขวด — มีสะพาน obfs4 เพียงไม่กี่พันแห่งทั่วโลก ซึ่งน้อยกว่ารีเลย์หลักของ Tor มาก
คำถามที่พบบ่อย
- ฉันจำเป็นต้องมี obfs4 หรือไม่หากฉันใช้ Tor ตามปกติ
- เฉพาะในกรณีที่เครือข่ายของคุณบล็อก Tor ในประเทศที่ไม่มีการเซ็นเซอร์ Tor เจ้าหน้าที่รักษาความปลอดภัยทางเข้า Tor แบบมาตรฐานจะทำงานได้ดีและเร็วกว่าการผ่านสะพาน obfs4 obfs4 สำหรับผู้ใช้ที่อยู่หลังไฟร์วอลล์หรือระบบ DPI ที่จดจำและบล็อก Tor
- ISP ของฉันสามารถตรวจจับการเชื่อมต่อ obfs4 ได้หรือไม่
- การตรวจจับทำได้ยากสำหรับการปรับใช้ obfs4 ที่มีการกำหนดค่าอย่างดี การรับส่งข้อมูลจะดูสุ่มสม่ำเสมอสำหรับผู้สังเกตการณ์ที่ไม่โต้ตอบ ISP สามารถพิมพ์ลายนิ้วมือ <em> ซึ่ง IPs</em> นั้นเป็นบริดจ์ที่รู้จัก (และบางอันก็เผยแพร่รายการดังกล่าว) แต่ตัวโปรโตคอลเองนั้นทึบแสงบนสาย
- obfs4 เป็น VPN หรือไม่
- หมายเลข obfs4 เป็นเลเยอร์การขนส่งสำหรับ Tor โดยเฉพาะ มันล้อมการรับส่งข้อมูลของ Tor เพื่อหลบเลี่ยงการตรวจจับ แต่ไม่ได้ให้ในลักษณะ VPN "การรับส่งข้อมูลทั้งหมดจากอุปกรณ์ของฉันผ่านอุโมงค์นี้" ด้วยเหตุนี้ โปรดดูบทความ <a href="/learning/wireguard">WireGuard</a> และ <a href="/learning/openvpn">OpenVPN</a> ของเรา
- ฉันจะรับสะพาน obfs4 ได้อย่างไร
- ใช้คำขอบริดจ์ในตัวของ Tor Browser หรือไปที่ Bridges.torproject.org ในเบราว์เซอร์ใดก็ได้ หากสิ่งเหล่านั้นถูกบล็อกเช่นกัน คุณสามารถส่งอีเมลไปที่ [email protected] จากที่อยู่ Gmail หรือ Riseup โดยมี "get Transport obfs4" เป็นเนื้อหา และคุณจะได้รับเส้นบริดจ์ผ่านการตอบกลับ
- เหตุใด obfs2 และ obfs3 จึงถูกบล็อก
- การเข้ารหัส XOR ของ obfs2 ทำให้เกิดอคติในการกระจายไบต์ที่ละเอียดอ่อนซึ่งตรวจพบได้โดยการวิเคราะห์ทางสถิติ obfs3 เสี่ยงต่อการตรวจสอบที่ใช้งานอยู่ — เซ็นเซอร์สามารถยืนยันสะพาน Tor ได้โดยเริ่มการเชื่อมต่อและดูการตอบสนอง obfs4 แก้ไขทั้งด้วยการเข้ารหัสที่มีการรับรองความถูกต้องที่เหมาะสมและการจับมือกันที่ทนทานต่อการตรวจสอบ