|
一个被许多客户端 IP 地址访问的公开 HTTPS 站点。
GFW 使用了机器学习
上面的信息对于熟悉 GFW 的人来说没什么新的。这仅仅是当我测试并作了一些深入的观察之后发现的。我认为 GFW 使用了机器学习算法来学习,发现和阻隔 VPN 和代理。
这很有意义:GFW 工程师们甚至都不用像我在上面描述的那样显式定义规则(如果 ApplicationData #2 短,如果 ApplicationData #4 大概 1-4kB,等等)。它们用各种 VPN 和代理配置来训练他们的模型,算法则根据这些连接的特点来进行自动识别。
ExpressVPN
当我用笔记本在旅馆里时,我运行我的代理配置和定制的插入随机填充的中继脚本,它们工作得很好。但当我出门的时候,我还需要在我的手机上有一个翻墙方案。
我用了 ExpressVPN 的商业服务。它是排名前三的翻墙 VPN 服务之一。它用起来简单,容易配置。我安装了他们的 Android 应用,立刻我就能运行了。ExpressVPN 将它们的服务建立在 OpenVPN 之上,在许多国家有大量的 VPN 服务器。
但是当我看到它们的 OpenVPN 根 CA 证书的 RSA 密钥只有 1024 位的时候,我高兴不起来了。为什么,为什么,为什么?中国政府是典型的 “国家级别的敌人” 之一,而加密据说能够保护我们。这个 ExpressVPN 的弱点已经被报告并提到很多次了 ![[1]](http://img.t.sinajs.cn/t4/appstyle/expression/ext/normal/82/one_org.gif "[1]") ![[2]](http://img.t.sinajs.cn/t4/appstyle/expression/ext/normal/61/two_org.gif "[2]") .
据信一千万美元的特殊硬件可以分解 1024 位的 RSA 密钥 ![[3]](http://img.t.sinajs.cn/t4/appstyle/expression/ext/normal/78/three_org.gif "[3]") ![[4]](http://img.t.sinajs.cn/t4/appstyle/expression/ext/normal/72/four_org.gif "[4]") . 对单个密钥来说这是个很高的计算代价,但是如果我是中国并且能够分解一些 RSA 密钥,国内前 3 VPN 供应商中任何一个的 root CA 密钥必然是我的目标之一。这么做让他们有能力对 ExpressVPN 实施中间人攻击并解密通信内容。很可能中国已经这么干了并正在监视着一些(全部?)ExpressVPN 用户。
下面是当前的 ExpressVPN root CA 证书,包含一个 1024-bit RSA key, 从他们分发给用户的 OpenVPN 配置中取得. 该证书的序列号是 14845239355711109861 (0xce04e28a62cf3ae5) , 有效期从 Jul 19 09:36:31 2009 GMT 到 Jul 17 09:36:31 2019 GMT:
閵嗏偓
7/9 首页 上一页 5 6 7 8 9 下一页 尾页
|
