Diferentes tipos de puentes Tor - implicaciones para la detección del uso de Tor

9

Estoy tratando de entender las implicaciones de usar los diferentes tipos de puentes Tor, como meek , obfs4 , etc.

Mi modelo de amenaza: estoy involucrado en comunicaciones totalmente legales, no violentas, pero me preocupa el posible acoso de mi estado nación ya que soy un organizador. Se sabe que el gobierno está tratando de rastrear el uso de Tor. Mi principal preocupación es evitar que me marquen en la vigilancia dragnet ya sea por mis comunicaciones o por mi uso de Tor. No me preocupa tanto la vigilancia dirigida. Si llega a ese punto, me hostigarán de todos modos.

A la luz de esto, había adivinado que:

  • Puede que Meek sea más seguro, ya que las conexiones van a direcciones IP inocuas asociadas con Google App Engine / Azure / Amazon.

  • El transporte obfs4 recomendado sería menos seguro, ya que las conexiones van a las direcciones IP de los puentes, que pueden ser conocidas por las agencias de vigilancia.

Soy consciente de que esto podría ser un malentendido completo de estos transportes :).

¿Este análisis es correcto? No puedo encontrar ninguna información en línea sobre la seguridad relativa de estos transportes en estos términos, solo una recomendación genérica en todas partes que "obfs4 es mejor". Preferiría obfs4 si fuera posible, solo porque es mucho, mucho más rápido, pero pensé que debería comprobarlo.

    
pregunta user121635 17.08.2016 - 08:30
fuente

1 respuesta

2

Debe comprender que ambos transportes tienen un modelo de amenaza diferente al suyo. Ambos abordan la "bloqueabilidad" mientras que usted necesita abordar la "detectabilidad", o como documentos del modelo de amenazas de meek ponlo: "observabilidad".

Usted menciona que:

  

Mi principal preocupación es evitar que me marquen en la vigilancia de red, ya sea por mis comunicaciones o por mi uso de Tor

Ocultar el hecho de que incluso lo estés utilizando es mucho más difícil que ocultar el contenido de tus comunicaciones.

Tanto los puentes (como los puentes en general) intentan lograr el mismo objetivo: no ser bloqueados por los métodos de detección estándar. Ninguno de ellos está listado en el directorio principal. De la tor docs on bridges :

  

Ya que no hay una lista pública completa de ellos [los puentes], incluso si su ISP está filtrando las conexiones a todos los relés Tor conocidos, probablemente no podrán bloquear todos los puentes.

Usar un puente en tu situación es mejor que no usarlo, pero puede que no sea suficiente para ocultar el hecho de que estás usando tor.

Estas son las protecciones que ofrecen los puentes:

  1. Bloquear por contenido : el censor no podrá ver cuál es el contenido de su comunicación
  2. Bloquear por dirección : el censor no podrá saber con quién está hablando o si el otro extremo es un relé de TOR
  3. Sondeo activo : para obfs4, una sonda requeriría el ID de nodo y la clave pública, que no se pueden obtener fácilmente porque los puentes no son fácilmente enumerables. Para los dóciles, una sonda activa puede determinar que hay un relé con encabezamiento de dominio, pero no si alguien que se comunicó con el CDN lo usó realmente.

Ambos intentan proporcionar algo de protección contra las huellas digitales de los encabezados, los patrones de tráfico, etc. Pero no es su objetivo principal.

Aunque con mansos usuarios se está conectando a un CDN que utilizan muchos sitios, sus patrones de tráfico pueden ser muy diferentes de los de otros usuarios que no acceden a un puente.

Además, con manso depende principalmente de HTTPS y su PKI. Si su gobierno controla una CA de confianza, tendrá que tener un cuidado especial de no ser MITMed en su camino hacia el frente del dominio. Esto podría significar eliminar su CA de su almacén de confianza, y hacer eso podría revelar que está haciendo algo privado.

Conclusión

Ambos puentes le ofrecerán una protección similar, pero no están diseñados específicamente para su problema (ocultando el hecho de que está utilizando un canal de comunicación privado).

Sin embargo, ocultan ese hecho de la mayoría de las herramientas de detección automatizadas, porque eso es una condición previa para evitar el bloqueo.

Esto podría ser suficiente para su caso, pero tenga mucho cuidado e implemente medidas adicionales cuando sea posible.

    
respondido por el GnP 03.09.2016 - 18:29
fuente

Lea otras preguntas en las etiquetas