
<div dir="auto">To bo0od and Shiva’s messages —</div><div dir="auto"><br></div><div dir="auto">Signal has received millions of dollars in Congressionally allocated funds to foster secure communications in Iran and similar countries. As a taxpayer, and quite frankly as someone who actually talks to those non-elite communities, it’s not asking much for their tools to actually work, especially when there are real solutions. </div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Feb 25, 2021 at 12:41 PM bo0od <<a href="mailto:bo0od@riseup.net">bo0od@riseup.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)">signal can do nothing from what you said and can do everything the <br>

opposite and still no problem.<br>

<br>

software developers have no liability,responsibility,guarantees of what <br>

you get when you use their software.<br>

<br>

its from signal devs kindness that they even typed anything to answer <br>

this matter.<br>

<br>

i dunno why some ppl think that software and software developers should <br>

take the responsibility of anything.<br>

<br>

Collin Anderson:<br>

> All this debate over whether Signal could use a better bridge protocol is<br>

> fine, but distracts from the core problem — Signal Proxy is of little<br>

> consequence and is a slight of hand trick to avoid taking on further<br>

> burdens to address 80 million vulnerable people (a community Signal was<br>

> long funded to support) being cut off.<br>

> <br>

> Signal could invest that time into providing another cloud service for<br>

> meek-style circumvention. It did not. Instead it told users, who generally<br>

> have no connection to Iran to run bridge and post solicitations on blocked<br>

> social media. How is that a serious idea to pitch to people?<br>

> <br>

> The aughts called and it wants its internet freedom agenda back.<br>

> <br>

> On Wed, Feb 24, 2021 at 11:41 PM Adam Fisk <<a href="mailto:afisk@getlantern.org" target="_blank">afisk@getlantern.org</a>> wrote:<br>

> <br>

>><br>

>> On Wed, Feb 24, 2021 at 8:19 PM Harry Halpin <<a href="mailto:hhalpin@ibiblio.org" target="_blank">hhalpin@ibiblio.org</a>> wrote:<br>

>><br>

>>> Again, if Sergey - who seems to be a perfectly nice Ph.D. student - wants<br>

>>> to fix TLS, that's fine. I would support fixes to TLS as would any sensible<br>

>>> person, including Moxie.<br>

>>><br>

>><br>

>> So just so we're on the same page, Sergey is a perfectly nice Ph.D.<br>

>> student whose code was deployed on more phones globally than Moxie's up<br>

>> until a few months ago. It's deployed almost exclusively in censored<br>

>> regions, in contrast to Signal which is deployed almost exclusively in<br>

>> uncensored regions.<br>

>><br>

>> Making TLS more censorship resistant at the IETF level is great. I'm not<br>

>> sure what vulnerabilities you specifically have in mind, but to me the most<br>

>> promising is Encrypted Client Hellos (<br>

>> <a href="https://tools.ietf.org/html/draft-ietf-tls-esni-09" rel="noreferrer" target="_blank">https://tools.ietf.org/html/draft-ietf-tls-esni-09</a>) that especially Nick<br>

>> Sullivan at Cloudflare has been pushing with great success.<br>

>><br>

>> While I agree we should vigorously pursue approaches like that, it won't<br>

>> help people in the most censored regions today. Sergey's code is actually a<br>

>> core piece of bypassing real world censorship now.<br>

>><br>

>><br>

>>> But that's not Signal's problem - TLS bugs are a lower-level network<br>

>>> level protocol whose bugs Signal inherits when it tries to use TLS. Sergey<br>

>>> should approach the TLS 1.3 Working Group at the IETF, no try to garner<br>

>>> attention for himself via media releases over his github comments. This<br>

>>> reminds me of the Israeli "security" firm that claimed they had "hacked"<br>

>>> Signal by simply accessing the keys in the phone, which can be done to<br>

>>> *any* app on phone that has a rootkit that doesn't use<br>

>>> some-yet-not-really-working secure enclave.<br>

>>><br>

>><br>

>> Right. Signal's problem is that they were blocked in Iran. Their solution<br>

>> to that problem attempts to use TLS in a way that doesn't work. You're<br>

>> basically thinking of TLS in the way that Signal is thinking of TLS, which<br>

>> is limited and the heart of the problem.<br>

>><br>

>> Sergey hardly tried to garner attention for himself -- heck his last name<br>

>> was never even mentioned anywhere I saw. I happened to realize it must be<br>

>> him just based on his first name and the nature of the analysis.<br>

>><br>

>><br>

>>><br>

>>> There are literally *no* server that is not susceptible to active probes<br>

>>> and machine-learning based traffic analysis attacks. If Sergey had a kind<br>

>>> of solution that actually did what Adam claimed it did "anti-censorship<br>

>>> tools that actually work at scale in censored regions are not susceptible<br>

>>> to active probes" then all of China would be using it. As it doesn't exist,<br>

>>> people aren't using them.<br>

>>><br>

>><br>

>> I never mentioned anything about machine-learning based traffic analysis,<br>

>> which is a different problem, but the most disturbing reality is that there<br>

>> are "anti-censorship tools that actually work at scale in censored regions<br>

>> are not susceptible to active probes", but it turns out that a very small<br>

>> minority of Chinese actually have much interest in the censored internet.<br>

>> Could the tools that work in China capture more of them? Sure, but there<br>

>> are all sorts of other issues in China too, such as distribution. It's also<br>

>> very dangerous for people in China to work on those tools.<br>

>><br>

>> One that's been growing recently is v2ray. There's a reason it has over<br>

>> 30K stars on GitHub: <a href="https://github.com/v2ray/v2ray-core" rel="noreferrer" target="_blank">https://github.com/v2ray/v2ray-core</a><br>

>><br>

>><br>

>>><br>

>>> Censorship is a very hard problem, which is why Shava is basically right.<br>

>>> Cutting-edge usable tech here is still I believe obfs4proxy, and it's<br>

>>> well-known defeatable by nation-state level adversaries.<br>

>>><br>

>><br>

>> This is actually the fundamental issue -- there is a huge asymmetry of<br>

>> information between the more conventional security community and the people<br>

>> who work on bypassing censorship, largely because the techniques that work<br>

>> are largely kept secret. The "cutting-edge" usable tech at one time was<br>

>> obfs4proxy, but it's been probably 7 years or so since that was the case.<br>

>> The people who know what the cutting edge usable tech is are those who<br>

>> deploy it at scale, but you're not likely to read about it anywhere.<br>

>><br>

>><br>

>>> I do support the usage of Tor, and Tor also is susceptible to the precise<br>

>>> same kinds of attacks Signal is and thus doesn't work in China, Iran, and<br>

>>> many other places. Furthermore, it's not resistant to NSA-style traffic<br>

>>> analysis. But it is by better than most shady VPNs and proxies, and I hope<br>

>>> people use it where their nation-state hasn't starting censoring it yet.<br>

>>> Same with Signal. Most VPNs that work in these countries work insofar as<br>

>>> they are easily susceptible to attacks (i.e. see Moxie's older work on bugs<br>

>>> in PPTP or the myriad of authentication issues facing OpenVPN,<br>

>>> fingerprinting of Wireguard...). Again, more work is needed but aim work in<br>

>>> productive way, not cheap media hit pieces on Signal or Tor.<br>

>>><br>

>><br>

>> Yeah so that's where the asymmetry of information kicks in. The VPNs that<br>

>> work in the most censoring countries that are easily susceptible to attacks<br>

>> stopped working long ago. China in particular has stepped up its game in<br>

>> crazy ways in the last couple of years.<br>

>><br>

>> Tor is incredible, and I support Tor's work all day long, but as you say<br>

>> it is not used widely in the most censoring countries. Other tools are.<br>

>><br>

>> -Adam<br>

>><br>

>> --<br>

>> --<br>

>> President<br>

>> Brave New Software Project, Inc.<br>

>> <a href="https://lantern.io" rel="noreferrer" target="_blank">https://lantern.io</a> <<a href="https://www.getlantern.org" rel="noreferrer" target="_blank">https://www.getlantern.org</a>><br>

>> A998 2B6E EF1C 373E 723F A813 045D A255 901A FD89<br>

>> --<br>

>> Liberationtech is public & archives are searchable from any major<br>

>> commercial search engine. Violations of list guidelines will get you<br>

>> moderated: <a href="https://lists.ghserv.net/mailman/listinfo/lt" rel="noreferrer" target="_blank">https://lists.ghserv.net/mailman/listinfo/lt</a>. Unsubscribe,<br>

>> change to digest mode, or change password by emailing<br>

>> <a href="mailto:lt-owner@lists.liberationtech.org" target="_blank">lt-owner@lists.liberationtech.org</a>.<br>

>><br>

>><br>

<br>

-- <br>

Liberationtech is public & archives are searchable from any major commercial search engine. Violations of list guidelines will get you moderated: <a href="https://lists.ghserv.net/mailman/listinfo/lt" rel="noreferrer" target="_blank">https://lists.ghserv.net/mailman/listinfo/lt</a>. Unsubscribe, change to digest mode, or change password by emailing <a href="mailto:lt-owner@lists.liberationtech.org" target="_blank">lt-owner@lists.liberationtech.org</a>.<br>

</blockquote></div></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><b>Collin David Anderson</b><div><a href="http://averysmallbird.com" target="_blank">averysmallbird.com</a> | @cda | Washington, D.C.</div></div>