[Статья] Организация работы на ОС Whonix ¶
By: miser on 2017-04-24 08 ч.
Re: [Статья] Организация работы на ОС Whonix
Обходим блоктровку тора через мосты.
Есть два варианта как это сделать, опишу два:
1. Консольный, те все вводится через консоль. Настроить нужно будет только одну виртуалку, а именно - Whonix Geteway.
Второй вариант, через графический интерфейс
Я пока вижу, что варианты отличаются друг от друга не интерфейсом ввода, а непосредственно используемыми технологиями соединения (видами мостов). И если первый, obfsproxy, давным-давно всем известен и за последние годы стал уже "золотым стандартом" для сокрытия VPN-серверов, то про fteproxy лично я вчера услышал впервые и, честно говоря, заинтересовался, в чем его ключевые преимущества по сравнению с obfs3 и obfs4.
Авторы FTE везде ссылаются на одну и ту же статью (clearnet pdf eng). Привожу оттуда цитату.
A pluggable transport is a record-layer mechanism that processes Tor messages before being transmitted on the wire. The only currently deployed transport is obfsproxy [43], which applies a stream cipher to every bit output by Tor using a shared key. Originally, this shared key was a hard-coded, but a newer version (not yet deployed) replaces this with an in-band, anonymous Diffie-Hellman key exchange [44]. The result of this latter approach is a cryptographic guarantee that all the bitstrings seen by a (passive) DPI are indistinguishable from random strings, so that the obfuscated Tor messages will not have fixed fingerprints.
This does not, however, force protocol misclassification, and therefore would fail to bypass DPI that use a whitelist of allowed protocols.
We can do better using our FTE record layer as the pluggable transport. Integrating it into Tor with a hard-coded key is immediate, and it is straightforward to add key exchange to our record layer. Specifically, one could just initiate sessions using the existing obfs3 [44] Diffie-Hellman key exchange, but running the key-exchange messages through our unranking mechanisms before being sent on the wire, since the messages in this exchange are indistinguishable from uniformly random bit strings, they behave like the AE ciphertext bits in our record layer. Together with our existing library of regex formats, we arrive at a version of Tor
that can easily force misclassification for the DPI systems currently used in practice.
На следующей странице расписывается история, что в случае типичного китайского ISP, каждый новый мост с obfsproxy живет где-то около 15 минут. Авторы с целью эксперимента подняли два шлюза, obfs и fte. Примерно через указанный промежуток времени после первого использования, на OBFS-бридж стучится специальный китайский робот, который пробует установить соединение с Tor. Если у него получается - сочетание адрес:порт OBFS-моста заносится в черный список (а в некоторых случаях вместо блэка за такой пробой сразу же следует небольшой DDoS, чтобы всяким любителям неповадно было содержать бриджи - прим. miser). При этом, утверждают авторы статьи, соединение с FTE-шлюзом по 80 порту прошло тихо и гладко, никаких последствий не зафиксировано не было, и нахваливаемый ими FTE-мост был доступен из Китая все время, пока им не надоело и они не выключили свою экспериментальную VPSку.
А теперь минутка разочарования. Статья датирована 2013 годом. Согласно выдаче git history, почти все изменения в коде проекта fteproxy были внесены 3-4 года назад. С середины октября 2014 года были сделаны всего два коммита, и те в позапрошлом году.
Привожу диалог недельной давности на Гитхабе:
Q: What is the current development status of fteproxy? Is it still maintained?
A: It's still maintained. However, there aren't any features in the pipeline.
(с) https://github.com/kpdyer/fteproxy/issues/183
пишите в ящик, жаббер создам одноразовый
используйте PGP ключ, незашифрованные обращения игнорирую
