关注通讯加密软件Signal的同学也许会知道,这个安全与加密社区中的翘楚一直都在与App在线审查做斗争。就在几天之前,Signal的开发人员向外界透露了他们到底是使用了什么样的对策才能在这场“猫捉老鼠”的游戏中获的。
Open Whisper
Systems,也就是负责开发和维护Signal的技术团队,在上个月正式对外宣布他们在Signal的Android端App中新增了一个功能,这个功能将允许Signal绕过埃及和阿拉伯联合酋长国的应用审查机制。Android用户在更新Signal之后,就可以不受任何限制地使用这款加密工具了。而根据Open
Whisper Systems的创始人Moxie
Marlinspike所透露的信息,他们将在近期对Signal的iOS端进行相应的功能更新。
Marlinspike在接受媒体采访时解释称:
“Signal的这个新型反审查功能使用了一种名叫“domain
fronting”的技术。像埃及这样的国家,国内只有少数几个小型的互联网服务提供商处于政府的严密管控之下,这些服务商可以只接在其黑名单系统中阻止某些特定应用服务的请求。但是,我们仍然可以将通信数据隐藏在加密链接之中,并利用CDN之类的互联网服务来绕过审查机制。比如说,Signal利用的就是Google引擎,即用于托管App的Google服务器。
现在,当埃及或阿拉伯用户发送一条Signal消息时,这条消息在经过伪装之后,看起来会跟一条Google查询请求差不多。这也就意味着,用户使用Signal的行为几乎等同于在使用Google搜索。如果你想要阻止用户使用Signal,那么你恐怕就得阻止用户使用Google了。”
这种技术之所以能够奏效,主要是因为Google的App引擎允许开发者将Google.com的流量重定向至他们自己的域名。Google使用了TLS加密,这也就意味着通信数据和重定向请求是外界不可见的,互联网服务提供商可以看到的只是某个用户链接了Google.com而已。也就是说,这种技术将Google变成了Signal的代理服务器,并且能够成功地绕过网络服务商的审查。
除了Signal之外,像Tor、Psiphon和Lantern等加密工具都在使用“domain
fronting”技术来绕过审查。当然了,这项技术也并不仅仅依赖于Google,我们还可以利用Cloudflare、Akamai和Amazon
Cloudfront等CDNs来实现这项技术。如果监管部门想要防止这种情况的发生,那么他们需要屏蔽的就不仅仅只有Google了,而是一大堆主流的网络服务商。Marlinspike表示:“这也就意味着,他们不得不屏蔽掉大量的网络流量。所以,禁用Signal,等同于禁用了互联网。”
屏蔽目前主流的网络服务,甚至是屏蔽整个互联网,也并非是不可能的。毕竟,像埃及这样的国家在2011年的抗议活动中的确曾封锁过国内的整个互联网。巴西当初在进行毒品调查的时候也曾屏蔽过WhatsApp(WhatsApp整合了Signal,并将其作为加密协议)。但是,这两种情况下的流量屏蔽都是短暂的,很少有国家会像伊朗和朝鲜一样为了审查所有的网络流量而永久性地屏蔽某些网络服务。
Marlinspike表示,如果还有哪个国家想要屏蔽Signal,那么他一定会奉陪到底,因为这种事情对于他来说才是当务之急。无论怎样,现在还是会有很多国家并不愿意为了审查流量而屏蔽掉大部分的主流网络服务,但是如果有国家打算这样做的话,Signal肯定会反抗到底,而最终的胜利肯定会属于Signal。
作者:Alpha_h4ck
来源:51CTO