Vad är XOR-förmörkning? En guide till allt om OpenVPN scramble

OpenVPN Scramble är ett sätt att dölja (dölja) OpenVPN-trafik så att den inte ser ut som OpenVPN-trafik. Det är mycket effektivt mot många djupa paketinspektions-tekniker (DPI) och är bra på att kringgå även sofistikerade VPN-block.


OpenVPN Scramble använder XOR-krypteringsalgoritmen. Det är väldigt lätt att applicera och också mycket lätt. Många VPN-tjänster vänder sig till OpenVPN Scramble för att besegra avancerade VPN-block av det slag som används av Kina och Egypten.

XOR-chiffer

XOR uttalas vanligtvis Ex-eller och står för Exclusive eller, en typ av matematisk operation som används av XOR-chifferet. XOR-algoritmen är i grunden ett enkelt substitutionsciffer. Med andra ord ersätter den bara varje alfanumerisk i en sträng som matas in i den med ett annat nummer.

Av avgörande betydelse är algoritmen vändbar. Så om du matar utsträngen tillbaka till samma algoritm, hamnar du med den ursprungliga strängen med cifret borttaget.

Denna typ av chiffer kallas också ett tillsatschiffer och är den enklaste typen av chiffer som finns. Det är den typen av ROT13-chiffer som smarta barn ofta använder för att skapa hemliga meddelanden. Förutom att den använder en mycket mer sofistikerad algoritm än de flesta barn kan utforma.

Vad är XOR-chifferet

OpenVPN Scramble

Om detta inte låter väldigt säkert är det inte. Faktum är att en enkel XOR-kod kan enkelt brytas med enkla frekvensanalysstekniker (letar efter mönster i utgångssträngen).

OpenVPN Scramble använder inte XOR-chifferet för att säkra dina data. OpenVPN gör det.

OpenVPN ger emellertid krypterade data en distinkt signatur som kan upptäckas med DPI. Genom att byta ut värdet på varje bit data skyddad av OpenVPN med ett annat värde, kryper XOR data på ett sätt som gör denna signatur mycket svår att upptäcka.

Och för VPN-tjänster stannar inte XOR-guldet här. Den öppna källkod openvpn_xor scramble patch gör det nästan trivialt enkelt för dem att implementera XOR Scramble och erbjuda det till sina kunder.

Hur effektiv är OpenVPN Scramble?

Genom att kryptera OpenVPN-krypterad data med XOR-chifferet blir det svårare för system som Great Firewall of China att upptäcka.

XOR-obfuskning har uppnått en viss nivå av notoritet. Dess små storlek och enkla implementering gör det till ett populärt val för malware-utvecklare som vill dölja sina otäcka kodbitar från detektering av skadlig programvara.

Många skadliga utvecklare använder gärna ett värde på 1 byte för att fungera som nyckeln. Koden som är förmörkad av denna nyckel iterererar sedan genom varje byte av data som måste kodas, XOR'ing varje byte med den valda tangenten.

Data som är förmörkade med en nyckel på 1 byte är relativt lätt att upptäcka eftersom de skapar repetitiva mönster i den annars slumpmässiga koden. Ett antal program har utvecklats för att göra just detta.

Det är dock möjligt att välja längre nycklar upp till bytevärdet för de data som fördunklas. Effektiviteten av XOR-funktionen vid kryptering av data är helt beroende av hur slumpmässig nyckeln är som den använder.

Så vad betyder allt detta? Tja, den utbredda användningen av XOR-förmörkelse för skadlig programvara är något av ett vittnesbörd om dess effektivitet.

NordVPN är VPN-företag som erbjuder XOR-kryptering, så vi bad sin digitala sekretessekspert, Daniel Markuson, att kommentera hur effektiv det är att besegra VPN-block. Han föreslår att man kör följande experiment med Wireshark-paketanalysatorn:

1. Slå på vanlig VPN. Wireshark ser trafiken som OpenVPN.

Öppna VPN-kryptering XOR

2. Slå på obfuscated VPN över TCP (NordVPNs XOR-alternativ). Wireshark identifierar inte längre trafiken som OpenVPN.

Förslöjt VPN över TCP

”XOR fungerar definitivt. Är det alltid effektivt mot regeringens ansträngningar att blockera OpenVPN-trafik? Nej inte alls. Men som experimentet ovan visar är det mer komplicerat att identifiera VPN-trafik om XOR används. Det är därför svårare att blockera. ”

Kontrovers

Trots dess fördelar är openvpn_xorpatch något kontroversiellt. Faktum är att OpenVPN-utvecklarna har avböjt att implementera den i alla officiella versioner av OpenVPN och råda mot dess användning.

”Vi (OpenVPN-utvecklare) uppmuntrar inte människor att bygga sina egna versioner av OpenVPN att ändra trådprotokollet så här, utan att korrigeringen går igenom en korrekt patchrevision och har utvärderat möjliga säkerhetsrisker relaterade till en sådan förändring.

Och vi avskräcker särskilt att använda en sådan metod när det finns en mycket bättre lösning, som används av TOR-samhället. Det kallas obfsproxy och kan användas tillsammans med OpenVPN utan att behöva göra en ny sammanställning av OpenVPN. ”

Trots dessa varningar har utvecklarna av open source macOS VPN-klient, Tunnelblick, valt att ta med en modifierad version av XOR-patch i sin programvara:

”Oavsett OpenVPN-utvecklarens beslut att inte inkludera patchen i OpenVPN, är korrigeringen attraktiv eftersom den är så enkel att implementera: helt enkelt applicera patch på både OpenVPN-servern och OpenVPN-klienten och lägg till ett enda, identiskt alternativ till konfigurationsfiler för varje. Att använda obfsproxy är mer komplicerat eftersom det handlar om att köra ett annat, separat program på både servern och klienten.

Eftersom korrigeringen är så enkel att implementera, ingår korrigeringen i alla versioner av OpenVPN som ingår i Tunnelblick från build 4420. ”

Det är värt att notera att Tunnelblick-utvecklarna hittade den ursprungliga XOR-korrigeringen har kritiska brister och därför släppte en uppdaterad version av korrigeringen som fixade alla hittade problem:

"Stora organisationer har förmågan och kraften att" avbryta "trafik och upptäcka den som OpenVPN-trafik, och förmörkningen som denna patch innehåller är så rudimentär att relativt enkel kryptanalys förmodligen kommer att kunna avkoda innehållet också."

Vi hoppas verkligen att VPN-leverantörer som erbjuder OpenVPN Scramble använder denna förbättrade XOR-patch, eller har gjort liknande förändringar till originalet.

Alternativ till OpenVPN Scramble

Obfsproxy

OpenVPN-utvecklarna har tydligt att deras favoriserade obfuscation-taktik är obsfproxy, ett verktyg som är utformat för att förpacka data i ett obfuscationlager.

Obfsproxy utvecklades av Tor-nätverket, till stor del som ett svar på att Kina blockerade åtkomsten till offentliga Tor-noder. Den är dock oberoende av Tor och kan konfigureras för OpenVPN.

Obfsproxy används för att köra pluggbara transporter som kryper VPN (eller Tor) trafik. Det stöder ett antal av dessa pluggbara transporter men obfs4 är det senaste toppmoderna protokollet "ser ut som ingenting" från Tor Project.

stunnel

Detta är en annan bra VPN-dämpningstaktik. Det fungerar genom att dirigera VPN-trafik genom en TLS / SSL-tunnel. TLS / SSL är den kryptering som används av HTTPS, så VPN-anslutningar (vanligtvis OpenVPN) som dirigeras genom dessa TLS / SSL-tunnlar är därför mycket svåra att skilja bort från vanlig HTTPS-trafik. Se vår HTTPS-guide för mer information.

Detta beror på att OpenVPN-data är inslagna i ett ytterligare lager av TLS / SSL-kryptering. Eftersom DPI-tekniker inte kan penetrera detta "yttre" krypteringsskikt, kan de inte upptäcka OpenVPN-krypteringen dold inuti tunneln.

Slutsats

OpenVPN Scramble är enkelt för VPN-tjänster att distribuera och kan vara mycket effektiv när det gäller att undvika VPN-block, men det är inte lika robust att dölja VPN-trafik som antingen obfsproxy eller stunnel.

Att helt enkelt försöka använda ett VPN är olagligt på mycket få platser i världen, så om din VPN-anslutning är blockerad är det lite skada att se om OpenVPN Scramble kommer att blockera den, kommer den förmodligen att.

Under de sällsynta omständigheter där du faktiskt kan få problem om VPN-användning upptäcks, är emellertid obfsproxy eller stunnel säkrare.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me