我试图弄清楚使用不同类型的 Tor 网桥的含义——例如meek、obfs4等。
我的威胁模型:我从事完全合法、非暴力的交流,但我担心来自我的民族国家的潜在骚扰,因为我是组织者。众所周知,政府正试图追踪 Tor 的使用情况。我主要关心的是避免通过我的通信或我的 Tor 使用在拖网监视中被标记。我不太担心有针对性的监视——如果达到那个程度,我无论如何都会受到骚扰。
鉴于此,我猜想:
Meek 可能是最安全的,因为连接将指向与 Google App Engine / Azure / Amazon 关联的无害 IP 地址。
推荐的 obfs4 传输会不太安全,因为连接会转到监控机构可能知道的网桥的 IP 地址。
我知道这可能是对这些传输的完全误解:)。
这个分析正确吗?我在网上找不到任何关于这些传输的相对安全性的信息,只有一个通用的建议,即“obfs4 是最好的”。如果可能的话,我更喜欢 obfs4,只是因为它要快得多,但我认为我应该检查一下。
您必须了解两种传输方式的威胁模型与您的不同。它们都解决了“可阻止性”,而您需要解决“可检测性”,或者正如meek 的威胁模型文档所说:“可观察性”。
你提到:
我主要关心的是避免通过我的通信或我的 Tor 使用在拖网监视中被标记
隐藏你甚至使用tor 的事实比隐藏你的通信内容要困难得多。
两个网桥(以及一般的 tor 网桥)都试图实现相同的目标:不被标准检测方法阻塞。它们都没有在主目录中列出。来自桥梁上的 tor 文档:
由于没有完整的公开列表 [网桥],即使您的 ISP 正在过滤与所有已知 Tor 中继的连接,他们也可能无法阻止所有网桥。
在您的情况下使用桥接器比不使用它要好,但它可能不足以隐藏您正在使用 tor 的事实。
这是桥梁提供的保护:
他们都试图提供一些保护,以防止对标头、流量模式等进行指纹识别。但这不是他们的主要目标。
即使您使用 meek 连接到许多站点使用的 CDN,您的流量模式也可能与其他未访问 Tor 网桥的用户的流量模式大不相同。
此外,对于 meek,您主要依赖 HTTPS 及其 PKI。如果您的政府控制着一个受信任的 CA,您将不得不格外小心,不要在前往域前沿的路上被 MITMed。这可能意味着从您的信任库中删除他们的 CA,这样做可能会泄露您正在做一些私人的事情。
两种网桥都会为您提供类似的保护,但它们并不是专门针对您的问题而设计的(隐藏了您正在使用私人通信渠道的事实)。
但是,它们确实对大多数自动检测工具隐藏了这一事实,因为这是绕过阻塞的先决条件。
对于您的情况,这可能就足够了,但要非常小心,并在可能的情况下实施其他措施。