中国の大ファイアウォールは政府によって管理されており、未承認の暗号化トラフィックをブロックする「学習アルゴリズム」を導入しています。ファイアウォールを介して暗号化されたトラフィックを取得する唯一の方法は、政府から承認を得ることです。
これを回避するために、すでにどのようなアプローチがありますか?
これを回避できる理論的なアプローチはありますか?
低帯域幅のサイドチャネルを使用する場合があります。たとえば、写真を提供するサイトを設定し、そのサイトに「サムネイルウォール」を表示することができます。 HTTPプロトコルでは、これらのサムネイルを任意の順序でリクエストできます。つまり、20枚の写真を使用して、最大20枚をエンコードできます。 (つまり、約60ビット)要求スキームで。計算的に実行不可能な統計分析、要求順序のランダム化によるプロキシ、またはもちろんHUMINTを除いて、このようなスキームを検出またはブロックする方法はありません。
より簡単に検出できるスキームは、より広い帯域幅で、ETagおよびProxyヘッダーの情報をエンコードできます。
次に、より多くのクロークアンドダガー方式を試すことができます。たとえば、信頼できる(政府による)ホストに対して、偽の送信元アドレスでICMPパケットをバウンスできます。この種の悪意のあるアクティビティは明らかに(まだ)危険であるとは見なされておらず、ファイアウォールで保護された複数のホストがICMPパケットを見かけのソースに向けて快く跳ね返り、それによりファイアウォールを貫通します。
また、信じられないことに、中国の大ファイアウォールはスパムを気にしていないようです。多くの場合、かさばる画像が含まれ、中国から世界中に届く大量の迷惑な商用メールに驚かれることでしょう。おそらく、ポート25/tcpへの十分に非対称トラフィックは、中国の犯罪者の存在の兆候と見なされ、ファイアウォールには他の優先順位があります。広東のスパマーのおかげで、最大1 Kb暗号化され、圧縮され、base64でエンコードされたエラーメッセージを送信しても何の効果もないことを確認できます。また、着信接続はさらにリレーを要求し続けます。このチャネルは、約64 kbitの双方向通信が可能なようです。
これにはすべて、Haystackと同様に、VPNトラフィックをさまざまなプロトコルにカプセル化する必要があります。他のソリューションが存在します-例えば FreeGate -しかし、もちろんそれらが広く知られているほど、ゴールデンシールドはそれらをバストする(試行する)のが速くなります。ファイアウォールを無効にすることを目的としたより単純な戦略は、ワンタイムパッドを使用して既存のプロトコルを難読化し、急速に変化する外部エンドポイントを提供すること(ウルトラサーフユーティリティが行ったもの)、さらに、 GFCの人々は修正を思いつくことができます。
ただし、GFCは「ブラックリスト」操作から「ホワイトリスト」操作に切り替わるリスクがあります。最初にトラフィックを管理可能なサイズに減らし、次にreroutingではなく積極的にrewritingします。すべての既知のプロトコル。強力な文法チェックと異常検出を実施します。たとえば、不一致のGFC生成証明書を受け入れて中間のSSL復号化を許可しない限り、HTTPSとTLSを拒否します(「非表示にするものがない限り」、これは「責任ある市民を制限しない」と主張します)。それ以外の場合は、完全に理解できないすべてのパケットを拒否します。これは多かれ少なかれAi Weiweiの発言に対する答えですインターネットを制御する唯一の方法はそれをシャットダウンすることです。そして、答えは「それでは、それをどうするか」です。
Steganography は、まさにそのようなシナリオのために設計されました。より広義には、敵対的な環境での説明されていない活動の危険に人々が対処するのに役立つ もっともらしい拒否可能性 の概念を探します。
もちろん、中国のシナリオでは、中国の抑圧されたネットワークとのステガノグラフィ対応通信をサポートするために、専用サービスを外界に確立する必要があります。とはいえ、通常、コミュニケーションの自由の価値を支持するボランティアの人々がたくさんいるので、問題だとは思いません。
私は実際にごく最近それをしなければならなかった。北京には、米国のオフィスと安全に(主にログと監査データを送信するために)通信できるサーバーのセットがあります。他のすべての地理位置情報ではopenvpnを使用していますが、openvpnハンドシェイクには明確な兆候があるため、openvpnトラフィックが中国で急速に認識されてブロックされることがすぐにわかりました。
これに対するややばかげた解決策は openvpnトラフィックをstunnelにラップする です。動作しており、ブロックされていないことが確認できました。中国からのすべての接続のレイテンシに加えて、tcp over tcp over opencpnのレイテンシを再度追加し、2回暗号化しますが、少なくともまったく機能しないため、これは明らかに優れたソリューションではありません。 。
この「学習アルゴリズム」はおそらく、GFCが最初にmightがVPNまたはTorである暗号化されたトラフィックを検出し、次に通信先に再接続してVPNを「話す」ことを試みることを意味しますTorはこの疑いを検証します。このアクティブプローブはTorネットワークで発生することが確認されており(詳細は here )、最近のVPN接続のブロックと同じでない場合でも、手法は類似している可能性があります。
現在、耐ブロッキング通信の分野には多くの刺激的な研究があります。一方では、人々は「ランダムさ」のように見えるトランスポートプロトコルに取り組んでいます。例として、obfs2とDustがあります。他の迂回プロトコルは、既存のプロトコルを模倣しており、その結果、インターネットをホワイトリストに登録することを選択した検閲者を生き延びます。例は、Code Talker TunnelまたはStegoTorusです。他のプロトコルを模倣すると、通常、強い抵抗が得られますが、スループットの低下はステガノグラフィックのオーバーヘッドのためです。結局のところ、行動が大きく異なる検閲者はたくさんいます。 GFCはほんの一例です。したがって、すべての異なる検閲手法に取り組むために、多くの異なる迂回プロトコルが必要です。
常に秘密の方法で数ビットを送信することは可能ですが、問題は快適なWebサーフィンを可能にする低レイテンシシステムにあります。結局のところ、それが人々の望みです。検閲関連のセキュリティ調査の概要が利用可能です ここ 。
私は頭の中で、中国の万里の長城を打ち負かすための多くの方法を考えることができます、そしてこれらのいくつかは一度だけ有用であるかもしれません、そして、彼らはスパイ活動に接します。