Чи потрібен мені obfs4, якщо я нормально використовую Tor?

Лише якщо ваша мережа блокує Tor. У країнах без цензури Tor стандартні засоби захисту входу в Tor працюють нормально та швидше, ніж через міст obfs4. obfs4 призначений для користувачів за брандмауерам або системами DPI, які розпізнають і блокують Tor.

Чи може мій Інтернет-провайдер виявити підключення obfs4?

Виявлення складно для добре налаштованого розгортання obfs4. Для пасивних спостерігачів трафік виглядає рівномірно випадковим. Постачальник Інтернет-послуг може визначити , які IP-адреси є відомими мостами (і деякі публікують такі списки), але сам протокол є непрозорим для дроту.

№ obfs4 — це транспортний рівень спеціально для Tor. Він обгортає трафік Tor, щоб уникнути виявлення, але не забезпечує VPN у стилі «весь трафік з мого пристрою проходить через цей тунель». Для цього перегляньте наші статті WireGuard і OpenVPN .

Як отримати міст obfs4?

Скористайтеся вбудованим запитом мосту браузера Tor або відвідайте bridges.torproject.org у будь-якому браузері. Якщо вони також заблоковані, ви можете надіслати електронний лист на bridges@torproject.org із адреси Gmail або Riseup із текстом «get transport obfs4», і ви отримаєте рядки мосту у відповідь.

Чому obfs2 і obfs3 були заблоковані?

Шифрування XOR obfs2 створило тонкі зміщення розподілу байтів, які можна виявити за допомогою статистичного аналізу. obfs3 був вразливим до активного зондування — цензори могли підтвердити міст Tor, ініціювавши з’єднання та переглянувши відповідь. obfs4 виправлено як за допомогою належного автентифікованого шифрування, так і стійкого до зондування рукостискання.

obfs4: Як мости Tor маскуються, щоб вижити під цензурою

obfs4 — це найбільш розгорнутий підключений транспорт у мережі Tor — річ, яка перетворює впізнаване рукостискання Tor на щось, що виглядає як випадкові байти, тому цензор, який стежить за дротом, не може відрізнити трафік Tor від будь-чого іншого. Розуміння того, як це працює, також пояснює, чому прості схеми блокування трафіку програли гру в кішки-мишки проти добре продуманої обфускації.

Повний текст статті подано англійською мовою нижче.

У мережі Tor є проблема: рукостискання протоколу розпізнається. Цензор із можливостями глибокої перевірки пакетів може знімати відбитки розширень TLS і шаблонів сертифікатів, які використовує протокол каталогів Tor, а потім блокувати будь-який потік, який відповідає. obfs4 існує, щоб усунути цей відбиток, роблячи дротяні байти невідрізними від однорідного випадкового потоку.

Підключаються транспорти: рішення архітектури

Tor щодо цензури полягає в тому, щоб відокремити транспорт від протоколу програми. pluggable transport — це невелика програма, яка знаходиться між Tor і мережею: Tor передає їй байти, перетворює їх певним чином, а відповідна програма на мосту змінює трансформацію перед тим, як передати байти процесу Tor мосту. Щоб поміняти стратегії обфускації, ви змінюєте програму — жодних змін у Tor не потрібно. obfs4 є однією з таких програм; meek (HTTPS до CDN) і Snowflake (WebRTC) є іншими.

Що насправді робить obfs4

obfs4 був розроблений Yawning Angel у 2014 році, щоб перемогти як пасивне зняття відбитків пальців, так і активне зондування. Його три стовпи:

Не можна відрізнити від випадкового: після рукостискання ключів за допомогою ntor (той самий протокол еліптичної кривої, який Tor використовує внутрішньо), кожен байт, який перетинає мережу, є зашифрованим виходом із потокового шифру. Немає маркерів протоколу, фіксованих байтів заголовків, розпізнаваних шаблонів — для пасивного спостерігача це виглядає як уніфіковані випадкові дані.
Стійкість до активного зондування: цензори інколи перевіряють підозрілі кінцеві точки, самостійно ініціюючи з’єднання, шукаючи відповіді Tor. Місти obfs4 вимагають секрету для кожного мосту в першому пакеті від клієнта. Без секрету міст відмовляється відповідати. Цензор, який ще не знає секрету, не може підтвердити, що кінцева точка є мостом Tor.
Обфускація довжини та часу: obfs4 доповнює клітинки, щоб замаскувати характерний 514-байтний розмір комірки Tor, і вставляє зміну часу між надходженнями, обидва з яких просочуються основним Tor protocol.

Модель мосту

obfs4 не підключається до загальнодоступних ретрансляторів Tor — вони перераховані в каталозі повноважень, їх легко заблокувати. Він підключається до bridges: добровольчих ретрансляторів, IP-адреси яких розповсюджуються невеликими партіями серед користувачів через проект BridgeDB. Кожен рядок мосту містить адресу, порт, відбиток пальця та сертифікат obfs4 (загальний секрет, який цензору знадобиться для активного тестування). Користувачі в країнах із цензурою отримують лінії мостів із bridges.torproject.org, бота @GetBridgesBot Telegram або електронною поштою автовідповідачів.

obfs2 → obfs3 → obfs4: історія гонки озброєнь

Історія версій протоколу – це історія самої гонки озброєнь. obfs2 (2012) використовував спільний ключ XOR; пасивні спостерігачі могли це виявити, оскільки розподіл байтів був не зовсім рівномірним. obfs3 додав автентифікований обмін ключами, але все одно не вдалося під час активного зондування. obfs4 закрив обидва отвори одночасно. Кожна нова версія розгорталася протягом кількох тижнів після того, як попередня була масштабно заблокована Великим брандмауером.

Чого він не може зробити

obfs4 робить трафік Tor схожим на випадкові байти. Це надійний захист від DPI на основі правил, але цензор, який вирішив заблокувати всі однаково випадкові потоки , все одно може заблокувати це, ціною зламу багатьох законних протоколів, які використовують випадкове шифрування (включаючи VPN). Деякі мережі прийняли саме цю стратегію, тому Tor продовжує надсилати такі транспортні засоби, як Snowflake (схожий на WebRTC) і meek (схожий на HTTPS для CDN), які їздять усередині протоколів, які цензори не можуть легко заборонити.

obfs4 також не допомагає, якщо локальна мережа просто блокує кожну IP-адресу, яка не внесена до білого списку — стратегія, яка використовується на деяких робочих місцях і деякі авторитарні країни під час надзвичайних ситуацій. На цьому етапі можуть працювати лише транспортні засоби, спрямовані на домен.

Performance

obfs4 додає кілька кілобайт накладних витрат на квиткування та кілька сотень мікросекунд ЦП на пакет. Пропускна здатність по суті обмежується пропускною здатністю моста, а не обфускацією. Для більшості користувачів міст Є вузьким місцем — у світі існує лише кілька тисяч мостів obfs4, набагато менше, ніж основних ретрансляторів Tor.

Часті запитання

Чи потрібен мені obfs4, якщо я нормально використовую Tor?: Лише якщо ваша мережа блокує Tor. У країнах без цензури Tor стандартні засоби захисту входу в Tor працюють нормально та швидше, ніж через міст obfs4. obfs4 призначений для користувачів за брандмауерам або системами DPI, які розпізнають і блокують Tor.
Чи може мій Інтернет-провайдер виявити підключення obfs4?: Виявлення складно для добре налаштованого розгортання obfs4. Для пасивних спостерігачів трафік виглядає рівномірно випадковим. Постачальник Інтернет-послуг може визначити <em>, які IP-адреси </em> є відомими мостами (і деякі публікують такі списки), але сам протокол є непрозорим для дроту.
Чи є obfs4 VPN?: № obfs4 — це транспортний рівень спеціально для Tor. Він обгортає трафік Tor, щоб уникнути виявлення, але не забезпечує VPN у стилі «весь трафік з мого пристрою проходить через цей тунель». Для цього перегляньте наші статті <a href="/learning/wireguard">WireGuard</a> і <a href="/learning/openvpn">OpenVPN</a>.
Як отримати міст obfs4?: Скористайтеся вбудованим запитом мосту браузера Tor або відвідайте bridges.torproject.org у будь-якому браузері. Якщо вони також заблоковані, ви можете надіслати електронний лист на [email protected] із адреси Gmail або Riseup із текстом «get transport obfs4», і ви отримаєте рядки мосту у відповідь.
Чому obfs2 і obfs3 були заблоковані?: Шифрування XOR obfs2 створило тонкі зміщення розподілу байтів, які можна виявити за допомогою статистичного аналізу. obfs3 був вразливим до активного зондування — цензори могли підтвердити міст Tor, ініціювавши з’єднання та переглянувши відповідь. obfs4 виправлено як за допомогою належного автентифікованого шифрування, так і стійкого до зондування рукостискання.