ANY SUBVERSIVE SOFTWARE developer knows its app has truly caught on when repressive regimes around the world start to block it. Earlier this week the encryption app Signal, already a favorite within the security and cryptography community, unlocked that achievement. Now, it's making its countermove in the cat-and-mouse game of online censorship.
当世界各地的当权者纷纷试图阻止它的时候,就意味着它的成功 —— 本周早些时候,加密应用程序 Signal 已经成为安全和加密社区的最爱。它正在网络审查的猫鼠游戏中赢得反击。
周三,创建并维护 Signal 的 Open Whisper Systems 宣布,它的 Android 应用程序中增加了一项功能,该功能可以避开埃及和阿联酋的审查制度,两国几天封锁了 Signal 。Android 用户可以简单地更新应用程序以获得对加密工具的无限制访问权限,iOS 版本的更新即将推出。
Signal的新反审查功能使用了一种叫做“domain fronting”的技巧,像埃及这样的国家,只有少数小型互联网服务提供商受到政府的严格控制,可以阻止对其黑名单上的服务的任何直接请求。但是聪明的服务可以通过加密隐藏流量来避开这种审查制度。
( “domain fronting”, a versatile censorship circumvention technique that hides the remote endpoint of a communication. The key idea is the use of different domain names at different layers of communication 💡)
Signal 的新反审查功能使用了一种叫做“domain fronting”的技巧,像埃及这样的国家,只有少数小型互联网服务提供商受到政府的严格控制,可以阻止对其黑名单上的服务的任何直接请求。但是聪明的服务可以通过加密隐藏流量来避开这种审查制度。
现在当埃及或阿联酋的人发送 Signal 消息时,它看起来就像Google搜索一样,这个想法是使用 Signal 看起来像在使用Google;如果你想阻止Signal,你必须阻止Google。这个技巧很有效,因为Google的App Engine允许开发人员将来自谷歌的流量重定向到他们自己的域名。谷歌对TLS加密的使用意味着包括该重定向请求在内的流量内容被隐藏起来,互联网服务提供商只能看到某人已经连接到 Google.com。这基本上能使谷歌成为 Signal 的代理,反弹它的流量并愚弄审查员。
该领域的前沿技术已经被Tor,Psiphon和Lantern等其他加密和反审查工具所使用。它不仅取决于Google,还可以与Cloudflare,Akamai和Amazon Cloudfront等CDN合作。因此,审查员不仅要阻止谷歌,还要阻止其他主要服务的一长串名单。这大串名单共同代表了大量的互联网流量,于是,最终试图禁用 Signal 的行为就等于禁用互联网。
阻止主要服务,甚至阻止整个互联网,当然是一种真正的可能性。毕竟,在2011年的阿拉伯之春抗议活动中,埃及确实阻止了整个互联网。而巴西以阻碍毒品调查的名义阻止了将Signal作为其加密协议的 WhatsApp。但在这两种情况下,阻止都很短暂 - 只有中国、伊朗和朝鲜等少数国家愿意永久审查大片的网络通信。
如果其他国家阻止Signal,Marlinspike表示他会做出反应。“这种事情是重中之重,”他说。(实际上,Marlinspike 在五年前推出了阿拉伯语版本的 Signal 前身——加密应用程序 Redphone 和 Textsecure 以帮助阿拉伯之春抗议者)至少在那些政府不愿意关闭互联网的国家,他认为该应用程序很有可能继续在线。至少在这样的地方,这些技术将会非常有效,“Marlinspike说,”这些国家可能会作出回应。但最终的结果是我们赢。“
这就是异议和反抗者的区别。异议专注于不可能的任务:叫停封锁,让当权者放弃审查;而反抗者可以直接用技术让封锁失去效用!