Репост из: Epics of Anti-Censorship
Signal 的 TLS 代理存在主动探测问题,然而……
几个小时前知名端到端加密聊天工具 Signal 发了一个帖子:
https://signal.org/blog/help-iran-reconnect/
帖子里声称为了能让更多的伊朗兄弟连上 Signal,他们自己造了一个 TLS 代理,在 TLS 隧道里跑 Signal 的 TLS,然后用 SNI 白名单控制访问。
我和 @studentmain 读完当时就觉得不对劲——这东西扛不住主动探测呀。没有 PSK,你用 Signal 客户端和非 Signal 客户端流量直接试就能试出来这是不是一个 Signal 代理。
于是我们觉都没睡,连夜码字指出问题,和 @studentmain 连夜搞出 PoC,我则码了千字建议,结果
@studentmain: Signal 那边 Issue 区一关,一切当作无事发生,真有你的啊
如无意外,下面的 Issue 已经 404 了:
https://github.com/signalapp/Signal-TLS-Proxy/issues/3
所以他们要我们去一个专用的论坛去反馈,好的,注册帐号,GitHub 登陆,发帖,然后——
@DuckSoft: 草泥马,我帐号怎么被临时封禁了,不能发帖?Excuse me?
那不好意思了,咱们隔壁见~
https://github.com/net4people/bbs/issues/60
—————————————————
更新:一位好心人献祭了他的帐号帮我在 Signal 的论坛上发出了这个问题:
https://community.signalusers.org/t/tls-proxy-server-unable-to-survive-active-probing-from-internet-surveillance-systems/27282
—————————————————
更新二:官方说帐号被封禁的原因是文字输入过快……我也很纳闷,我就贴了一个 Issue 的链接就过快了……
Despacito~
#signal #probing_resistant #proxy #tls #active_probing
几个小时前知名端到端加密聊天工具 Signal 发了一个帖子:
https://signal.org/blog/help-iran-reconnect/
帖子里声称为了能让更多的伊朗兄弟连上 Signal,他们自己造了一个 TLS 代理,在 TLS 隧道里跑 Signal 的 TLS,然后用 SNI 白名单控制访问。
我和 @studentmain 读完当时就觉得不对劲——这东西扛不住主动探测呀。没有 PSK,你用 Signal 客户端和非 Signal 客户端流量直接试就能试出来这是不是一个 Signal 代理。
于是我们觉都没睡,连夜码字指出问题,和 @studentmain 连夜搞出 PoC,我则码了千字建议,结果
@studentmain: Signal 那边 Issue 区一关,一切当作无事发生,真有你的啊
如无意外,下面的 Issue 已经 404 了:
https://github.com/signalapp/Signal-TLS-Proxy/issues/3
所以他们要我们去一个专用的论坛去反馈,好的,注册帐号,GitHub 登陆,发帖,然后——
@DuckSoft: 草泥马,我帐号怎么被临时封禁了,不能发帖?Excuse me?
那不好意思了,咱们隔壁见~
https://github.com/net4people/bbs/issues/60
—————————————————
更新:一位好心人献祭了他的帐号帮我在 Signal 的论坛上发出了这个问题:
https://community.signalusers.org/t/tls-proxy-server-unable-to-survive-active-probing-from-internet-surveillance-systems/27282
—————————————————
更新二:官方说帐号被封禁的原因是文字输入过快……我也很纳闷,我就贴了一个 Issue 的链接就过快了……
Despacito~
#signal #probing_resistant #proxy #tls #active_probing