Telex

本頁使用了標題或全文手工轉換
出自反共维基

Template:Infobox Software Telex是一款用於突破網絡審查的軟件[1][2][3][4][5]。用戶通過使用Telex客戶端軟件瀏覽互聯網上被審查的內容。該專案由美國密歇根大學電腦科學與工程系和加拿大滑鐵盧大學Cheriton電腦科學學院贊助。

概述[編輯]

Telex是一款用於突破網絡審查的軟件。用戶通過使用Telex客戶端軟件瀏覽互聯網上被審查的內容。Telex與傳統突破網絡審查軟件的不同之處在於傳統突破網絡審查軟件只提供「終端代理」(end-point proxying),而Telex卻能提供「終端到中間代理」(end-to-middle proxying[6])。Telex與傳統突破網絡審查軟件之間的這種差異導致實施網絡審查的政府無法封鎖Telex所提供的服務。

終端代理[編輯]

傳統突破網絡審查軟件(Tor自由門)使用的是終端代理模式。在此模式下,身處網絡審查國家的用戶使用這些軟件的客戶端連接到執行這些軟件的伺服器端的國外伺服器上,以取得在網絡審查國家被封鎖的互聯網上的資訊。但是由於客戶端軟件是公開的,所以實施網絡審查的國家的政府也可以下載這些軟件,執行它們,然後監視它們連接到哪些IP位址上。政府隨後把這些IP位址加入黑名單上,從而使得這些突破網絡審查的軟件失效。當然,負責維護軟件的機構可以開通新的IP位址,並且公佈包含這些新的IP位址的客戶端軟件的新的版本。但是這只會導致這些機構與實施網絡審查的國家的政府之間的一場「貓和老鼠」的遊戲[6][3][4],並不能夠從根本上解決問題。

終端到中間代理[編輯]

Telex使用的是終端到中間代理模式。在此模式下,身處網絡審查國家的用戶首先在自己的電腦上執行Telex所提供的客戶端軟件。但是此軟件里並不包含任何國外IP位址。當用戶使用Telex客戶端登陸被封鎖網站的時候,用戶首先為Telex客戶端指定一個用戶喜歡的執行在國外的支援HTTPS的網站,它可以是任何支援HTTPS的網站,比如國外商業公司的網站、維基百科加密版、國外銀行的網站、國外大學的網站等。Telex客戶端軟件使用用戶所指定的網站的IP位址構造一個IP封包,這個封包看上去似乎像是一個普通的請求連接到用戶所指定的國外HTTPS網站的封包,但是Telex客戶端軟件卻運用公鑰隱寫術(public-key steganography)技術[6][7]對這個封包做了一些手腳。然後Telex客戶端軟件把這個封包送出。這個封包由於其目的地IP位址是國外知名商業機構,大學或是銀行的IP位址,而並非用於突破網絡審查的國外伺服器的IP位址,所以其目的地IP位址不可能出現在政府的防火牆的黑名單上。而公鑰隱寫術的使用又使得政府無法察覺封包的內情。所以政府的防火牆只能為這個封包放行[6]。而這個封包一旦通過了政府的防火牆到達了國外自由互聯網後,其在被中轉到目的地IP位址之前很有可能經過支援Telex的路由器(而事實上在Telex被骨幹路由器採納之後,封包一定會經過支援Telex的路由器)。這時,支援Telex的路由器將會從封包中讀出早前由Telex客戶端軟件運用隱寫術在封包中埋下的隱藏資訊,從而明白此封包的真正意圖。支援Telex的路由器在取得了用戶需要的被封鎖網站的資訊以後,會把這些資訊加密並且偽裝成原先目的地商業機構,大學或是銀行回應用戶HTTPS連接請求的封包送回給用戶,從而達到中間代理的效果。而實施網絡審查的國家的政府試圖把國外支援Telex的路由器的IP位址加入黑名單的做法將會是徒勞的,因為經過Telex客戶端加工的封包一旦通過了國家的防火牆,其在以後的自由互聯網上被中轉的過程中通過哪些路由器並不是實施網絡審查的國家所能夠控制的。而Telex的作者們也有意願在Telex獲得廣泛部署以後,隨即在網上公佈一部分支援Telex的路由器的IP位址以便學者們研究如何更好的改善Telex。[8]

技術細節[編輯]

Telex客戶端中包含多個Telex機構使用的公鑰(根據Telex作者的初步估算一兆空間可以提供約二萬五千把公鑰[8])。Telex客戶端利用HTTPS連接初期客戶端所提供的任意數ClientHello nonce做手腳[8]。Telex客戶端把Telex協定特徵用Telex的公匙加密後作為ClientHello nonce發出,對於沒有Telex私鑰的政府的防火牆來說這只是一個任意數。而擁有Telex機構的私鑰的Telex路由器卻能夠從這個看似任意的數中還原出Telex客戶段的請求,並且從中讀出關於原HTTPS連接的若干參數,使得此路由器變成這個HTTPS連接的「中間人」(man-in-the-middle),然後此路由器就可以把用戶所需要的被封鎖網站資訊注射入(inject into)用戶和表面上被連接的目的地(商業機構,維基百科,大學,銀行,等等)之間正在進行(on-going)的HTTPS對談(session)之中。而政府的防火牆卻只能看到用戶與國外商業機構,維基百科,大學,銀行,等等之間正在進行一個加密的HTTPS對談,從而無從着手封鎖。

Telex作者稱Telex為一款「以毒攻毒」或「以暴制暴」的反審查軟件。它運用了網絡審查者慣用的手段,比如深度包檢測(deep-packet inspection)[6]中間人攻擊(man-in-the-middle attack)和國家級行為(state-level response)[6][9]來幫助用戶突破網絡審查。

局限[編輯]

Telex由於利用了公開金鑰加密以及互聯網的基本結構特徵屬性在網絡層次進行代理,所以極難被封鎖。政府應對Telex的唯一方式是禁止所有通往國外的HTTPS連接。但在現今的互聯網大環境下,這樣做無異於徹底斷網,將會給該國的經濟帶來嚴重的損失[10]。所以不到萬不得已的時候政府是不會選擇這種做法的。而Telex作者們的基本前提也是實施網絡審查的政府會允許其國民使用互聯網,而且實施網絡審查的政府會允許其國民連接至少一部分處在國外的安全HTTPS網站。[6]

其次是Telex私鑰被泄露的問題。首先由於擁有Telex私鑰的路由器都是國外受到信賴的機構所有,並且定期由Telex機構權威性重新評定是否繼續給予Telex私鑰[8],所以私鑰泄露的情況將會極為罕見。就算私鑰被泄,也有很簡單的解決方案,就是Telex路由器定期淘汰舊私鑰,更換新私鑰。[8]由於Telex客戶端軟件包含大量公鑰,所以要過許多年才能用盡Telex客戶端軟件里包含的大量公鑰。到時Telex機構只要公佈一個新版本的Telex客戶端軟件,就又可以被使用很多年。所以就算最終在加金鑰的問題上用戶和政府需要玩貓和老鼠的遊戲,這種貓和老鼠的遊戲對於用戶一方來說玩起來是毫不費力的。

特別有趣的是,由於公開金鑰加密的應用,使得實施網絡審查的政府無法像Tor那樣在國內設置虛假代理站點以擷取和截停用戶的代理存取[8]。Telex是開源軟件,政府可以下載它的伺服器端並安裝在自己的路由器上。但由於政府沒有Telex的私鑰,所以仍舊無法解密用戶用Telex的公鑰加密的Telex服務存取請求。所以就算是帶有Telex服務存取請求的封包經過政府的Telex路由器,政府仍舊無法察覺到這些封包實際上是Telex封包。只有Telex機構授權的真正的Telex路由器才能解讀出這些封包。[8]

還有就是Telex並不提供Tor所提供的網上匿名交流服務。通過使用Telex連接Tor網絡可以解決這個問題。[8]

Telex對於IPv6的支援將在Telex被廣泛應用以後實現。[8]

目前狀況[編輯]

Telex目前只在一台示範性路由器上執行。已有北京居民成功使用Telex服務觀看YouTube影片。[6]2013年7月Telex機構已經開始與一家互聯網提供商合作進行一次大規模的實驗。[6]

未來[編輯]

Telex機構希望西方大型的互聯網提供商和電訊公司會在未來陸續的加入到Telex計劃中,把Telex協定部署到它們的路由器中。最終Telex協定的大規模部署以及把骨幹路由器升級成支援Telex協定的工作則需要在西方國家政府的支援下才能完成。[6]

知名度[編輯]

Telex軟件在著名電腦科技網站Ars Technica上有被報導。[1]並且在第二十屆USENIX安全座談會上獲得二等獎。[11]

參考資料[編輯]

  1. 1.0 1.1 Deep packet inspection used to stop censorship in new 「Telex」 scheme, Ars Technica, http://arstechnica.com/tech-policy/2011/07/researchers-develop-end-to-middle-anti-censorship-tech/ 頁面存檔備份,存於互聯網檔案館
  2. Researchers Develop 『End-to-Middle’ Proxy System to Evade Censorship, threatpost, http://threatpost.com/researchers-develop-end-middle-proxy-system-evade-censorship-071811/75440 頁面存檔備份,存於互聯網檔案館
  3. 3.0 3.1 telex–新型翻牆軟件使用教程詳解, BreakGFW翻牆, 存档副本. [2014-01-06]. (原始內容存檔於2014-01-06). 
  4. 4.0 4.1 telex--新型翻牆軟件使用教程詳解, 美博園, http://allinfa.com/telex-tutorials.html 頁面存檔備份,存於互聯網檔案館
  5. Telex Anti-Censorship System, Schneier on Security, https://www.schneier.com/blog/archives/2011/07/telex_anti-cens.html 頁面存檔備份,存於互聯網檔案館
  6. 6.0 6.1 6.2 6.3 6.4 6.5 6.6 6.7 6.8 6.9 Telex: Anticensorship in the Network Infrastructure. [2014-01-05]. (原始內容存檔於2013-12-31). 
  7. Telex Anti-Censorship System, Schneier on Security, https://www.schneier.com/blog/archives/2011/07/telex_anti-cens.html 頁面存檔備份,存於互聯網檔案館
  8. 8.0 8.1 8.2 8.3 8.4 8.5 8.6 8.7 8.8 Telex - Q&A. [2014-01-05]. (原始內容存檔於2013-01-15).  參照錯誤:無效的<ref>標籤;name屬性「qa」使用不同內容定義了多次 參照錯誤:無效的<ref>標籤;name屬性「qa」使用不同內容定義了多次 參照錯誤:無效的<ref>標籤;name屬性「qa」使用不同內容定義了多次 參照錯誤:無效的<ref>標籤;name屬性「qa」使用不同內容定義了多次 參照錯誤:無效的<ref>標籤;name屬性「qa」使用不同內容定義了多次 參照錯誤:無效的<ref>標籤;name屬性「qa」使用不同內容定義了多次 參照錯誤:無效的<ref>標籤;name屬性「qa」使用不同內容定義了多次 參照錯誤:無效的<ref>標籤;name屬性「qa」使用不同內容定義了多次
  9. 由於Telex的大規模部署以及其在骨幹路由器上的部署需要西方國家政府配合才能完成。
  10. 2013年HTTPS網站GitHub被中國封鎖三天後解封,有一個說法就是政府出於經濟損失考量才解封
  11. USENIX Security '11 Technical Sessions, 20th USENIX Security Symposium, https://www.usenix.org/legacy/event/sec11/tech/ 頁面存檔備份,存於互聯網檔案館

參見[編輯]

延伸閱讀[編輯]

外部連結[編輯]