openvpn xor patch
Тут возникла идея для защиты от блокировки openvpn посредством dpi использвать openvpn-xor патч. Поглядел я на этот патч и у меня возникло устойчивое впечатление что от данной поделки надо держаться подальше
Обсуждение патча на сайте людей которые его распростнаяют со своим продуктом содержит следующие моменты
1) As the OpenVPN developers point out, the patch has never been through a thorough review for security, coding, etc. However, a Tunnelblick developer has reviewed the patch, found some problems, and modified it in Tunnelblick to resolve those problems. The problems that were found and fixed involved insufficient parameter validation, null pointer dereferences, division by zero errors, and a buffer overflow. Some defensive programming was also added to the modified version of the patch to increase its robustness.
2) The original post proposing the patch claims that using the patch is sufficient to secure communications and that no other encryption is necessary:
"With this obfuscate option, I think that it is ok to use "cipher none", because working out the method used would take a lot of cryptoanalysis. The obfuscate option is also much easier on the CPU than any cipher options This is incase you are using ddwrt or openwrt or have a low speed cpu."
Do not take this advice! The obfuscation provided by this patch appears to be extremely rudimentary. Beware of cryptographic advice from amateur cryptographers!
Сам патч при этом близок к тривиальному см исправленную версию. При этом попатчить man-страницу, добавив описание опции scramble не осилил ни оригинальный автор, ни разработчики tunnelblick.
Разработчики openvpn сказали авторам патча "ребята вы охренели, используйте лучше obfsproxy". Правда, основной их резон "мы не хотим играть в кошки-мышки с Великим Китайским Файрволлом".
Основной мой резон, почему мне не нравится идея применить этот патч - это правило 13-удара часов. "Если часы бьют 13 раз, то это заставляет сомневаться не только в 13 ударе, но и в остальных 12".
Если автор сумел насажать буфер оверфлоу в таком простеньком патче, то может ну его всё-таки нафиг, пользоваться его творчеством. Хотя говорят, Великий Китайский Файрволл пробивает по-прежнему, несмотря на то, что патчу уже больше 10 лет.
X-Post from DW