31.07 // Приватность // Сеть Tor становится цензурозащищённой
В нестабильной версии tor-0.2.0.3-alpha появилась возможность настроить любой клиент в качестве скрытого входа в сеть Tor (релея трафика, бриджа, моста в сеть Tor). Этот узел не будет отображаться в списке статистики узлов. Таким образом можно подключать к сети Tor тех пользователей, доступ которых к ней заблокирован различными методами сетевой цензуры, как на государственном уровне (ряд китайских провайдеров), так и на уровне отдельных крупных организаций (корпоративные файрволлы, студенческие сети некоторых ВУЗов).
Активисты, желающие поделиться своим трафиком с жаждущими анонимности друзьями из подвергнутых цензуре сегментов Интернета, могут сообщить им или какому-то ограниченному кругу лиц (путём личных связей или социальных сетей, сетей доверия пользователей PGP-ключей) IP-адрес своего релея и желательно (но на первых порах необязательно) хэш-отпечаток ключа сервера.
Для этого достаточно запустить обычный tor-сервер с опцией:
Ограничить траффик:
Клиенты должны прописать адрес этого бриджа в свой конфиг:
Можно использовать также множество бриджей в одном конфиге, можно не указывать их ключи (если уровень доверия к ним неизвестен или некритичен). Каждый бридж будет для клиента точкой входа в сеть Tor, а соединение с ней будет зашифровано и замаскировано под стандартный интернет-протокол с целью обойти фильтры и файрволлы.
Кроме скрытых бриджей есть и открытые, которые могут быть опубликованы на отдельном сервере директорий. В другом варианте сам сервер может быть закрытым. Это позволяет использовать бриджи с динамическими или часто меняющимися IP-адресами, а в перспективе создать пользовательским группам свои тайные сети Tor со своими корневыми серверами, например, по ту сторону "Великого китайского файрволла". Все соединения с бриджами будут замаскированы под обычные https-соединения и из протокола будут удалены демаскирующие протокол Tor-заголовки.
Конечно, данный метод не обеспечивает стопроцентную защиту от прицельной цензуры, но может сделать массовую цензуру экономически невыгодной: блокирование https-соединений, например, парализует сетевую торговлю и скорее всего даже китайские власти на это не пойдут.
Разработчики проекта считают цензурозащищённость пока второстепенной задачей по сравнению с анонимностью и скоростью работы, но планы в этом направлении у них весьма серьёзные. Это первая и пока совершенно непроверенная реализация. В будущем обещают множество других интересных решений для обеспечения сетевой свободы пользователей.
Ознакомиться с десятками тонких аспектов и ответов на скептические вопросы можно в документе "Design of a blocking-resistant anonymity system"
Источник: or-talk-archives