31.07 // Приватность // Сеть Tor становится цензурозащищённой
В нестабильной версии tor-0.2.0.3-alpha появилась возможность настроить любой клиент в качестве скрытого входа в сеть Tor (релея трафика, бриджа, моста в сеть Tor). Этот узел не будет отображаться в списке статистики узлов. Таким образом можно подключать к сети Tor тех пользователей, доступ которых к ней заблокирован различными методами сетевой цензуры, как на государственном уровне (ряд китайских провайдеров), так и на уровне отдельных крупных организаций (корпоративные файрволлы, студенческие сети некоторых ВУЗов).
Активисты, желающие поделиться своим трафиком с жаждущими анонимности друзьями из подвергнутых цензуре сегментов Интернета, могут сообщить им или какому-то ограниченному кругу лиц (путём личных связей или социальных сетей, сетей доверия пользователей PGP-ключей) IP-адрес своего релея и желательно (но на первых порах необязательно) хэш-отпечаток ключа сервера.
Для этого достаточно запустить обычный tor-сервер с опцией:
Ограничить траффик:
Клиенты должны прописать адрес этого бриджа в свой конфиг:
Можно использовать также множество бриджей в одном конфиге, можно не указывать их ключи (если уровень доверия к ним неизвестен или некритичен). Каждый бридж будет для клиента точкой входа в сеть Tor, а соединение с ней будет зашифровано и замаскировано под стандартный интернет-протокол с целью обойти фильтры и файрволлы.
Кроме скрытых бриджей есть и открытые, которые могут быть опубликованы на отдельном сервере директорий. В другом варианте сам сервер может быть закрытым. Это позволяет использовать бриджи с динамическими или часто меняющимися IP-адресами, а в перспективе создать пользовательским группам свои тайные сети Tor со своими корневыми серверами, например, по ту сторону "Великого китайского файрволла". Все соединения с бриджами будут замаскированы под обычные https-соединения и из протокола будут удалены демаскирующие протокол Tor-заголовки.
Конечно, данный метод не обеспечивает стопроцентную защиту от прицельной цензуры, но может сделать массовую цензуру экономически невыгодной: блокирование https-соединений, например, парализует сетевую торговлю и скорее всего даже китайские власти на это не пойдут.
Разработчики проекта считают цензурозащищённость пока второстепенной задачей по сравнению с анонимностью и скоростью работы, но планы в этом направлении у них весьма серьёзные. Это первая и пока совершенно непроверенная реализация. В будущем обещают множество других интересных решений для обеспечения сетевой свободы пользователей.
Ознакомиться с десятками тонких аспектов и ответов на скептические вопросы можно в документе "Design of a blocking-resistant anonymity system"
Источник: or-talk-archives
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 1515 документов: 44 редакций: 5786
Зависит от ситуации. Когда нашли первую из великих двух дыр в OpenBSD default install команда OpenBSD наняла Debian и патч вышел через несколько часов. Уязвимость позволяла получить полный контроль над любым сервером удалённо, если там там был запущен OpenSSH.
комментариев: 1515 документов: 44 редакций: 5786
Люди, стоящие по ту сторону баррикад также будут знать этот список. Смысл будет только в случае, когда таких серверов будет много, а уследить за всеми ними оппонет не сможет.
Что подразумевается под "закрытым сервером" по определению? Сервер с динамически меняющимся IP?
Если не будет перемешивания траффика между различными tor-сетями ничего хорошего не выйдет – локальную VPN-сеть разоблачить не сложно.