tor 项目负责人谈 tor 和中国

wanghx

unread,

Sep 28, 2009, 4:19:19 PM9/28/09

to Salon Friends, lihlii-g

lihlii 非常精彩的讲座，对黑帮封锁网络的心理和手段了解得入木三分。非常聪
明的程序员。希望能有空把这些讲座录像翻译成汉语就更好了可以解答为何 tor
以前没有被屏蔽的疑问。 http://j.mp/HXbtW tor 项目负责人谈 tor 和中国
@tianchaoren

lihlii tor 的设计者早早就做好了被封锁的应对策略，才使得如今网狗狗急跳墙
的封锁也没有奏效。:)
less than 5 seconds ago from web

lihliitor 以前没有被封锁，是因为不像四大金刚破墙软件如自由门那样对非专业
人士也很易用，因此四大金刚承受了最密集的攻击和破坏，而 tor 只是侥幸存活
下来。但自从增加网桥功能，难封死
less than 5 seconds ago from web

tor 的设计师说，软件不可能解决网络封锁这个社会问题。

wanghx

unread,

Sep 28, 2009, 5:05:17 PM9/28/09

to lihlii-g, Salon Friends

tor 的作用，是给予那些需要帮助的人以帮助，并羞辱专制黑帮的封锁之无能，从而从精神上打击封锁策略。

pando download: http://j.mp/D927z =
http://cache.pando.com/soapservices/Package/package.pando?id=A62941902CE538117F566E5E4D033F272D93D4ED&key=69822A6011F87D01CB6BC5488BD93A2C135B93A8B79556C7175A959B63F00C9F&tt=S2W&embedId=DD569343BF6CD1FC464E389D51AE7780

警告：想让 Tor 真正地保护你吗？……那么，请不要在安装软件后就什么也不管了。你需要改变你的一些习惯，还要重新配置软件！Tor，就它本身来说，并不能全面保护你的匿名。为了使自己了解 Tor 存在的隐患和局限，请花一点时间阅读警告。

警告：想让 Tor 真正地保护你吗？

……那么，请不要在安装软件后就什么也不管了。你需要改变你的一些习惯，还要重新配置软件！ Tor，就它本身来说，并不能全面保护你的匿名。以下有一些常见的陷阱需要提防：

Tor 仅仅保护那些配置过的将数据通过 Tor 传输的应用程序——它并不会在你安装之后就奇迹般地匿名所有通信。我们建议你使用 Firefox 并安装Torbutton 扩展。
Torbutton 会阻挡浏览器插件，例如 Java、Flash、ActiveX、RealPlayer、Quicktime、 Adobe 的 PDF 插件和其他：这些插件能被用来揭露真实的 IP 地址。一些网站的功能可能受此影响，例如，你不能在 YouTube 上观看视频了。如果确实需要 YouTube，你可以通过重新配置 Torbutton 允许它；但是请注意你这么做会使自己受到潜在的攻击。同样，Google 工具条这样的扩展会查询有关你所访问网站的更多信息：它们可能绕过 Tor 并且（或者）广播敏感信息。有些人更乐意同时运行两个浏览器（一个使用 Tor，另一个用作不安全的浏览）。
谨防 cookies：如果你曾在未使用 Tor 的情况下浏览了某个站点，这个站点给你设置了一个 cookie，那么，即使你又开始使用 Tor，那个 cookie 仍能用来确认你的身份。Torbutton 会安全地处理 cookies。CookieCuller 能帮助你保留不想丢失的 cookies。
Tor 匿名通信的来源，加密你和 Tor 网络以及 Tor 网络中的所有数据，但是，它不能加密 Tor 网络与通信目的地之间的数据。如果你正在传输敏感信息，你应该像平时在令人担心的互联网上一样谨小慎微——使用 HTTPS 或其他端到端的加密与认证手段。
尽管 Tor 阻挡了在本地网络上想要发现或影响你的通信目的地的攻击者，它也使新的攻击成为可能：恶意的或配置错误的 Tor 出口节点会将错误的页面发送给你，甚至，将伪装成受信区域的、嵌入的 Java 小程序发送给你。当打开通过 Tor 下载的文件或应用程序时请格外小心，除非你已经验证了其完整性。

仔细些、多学些。明白 Tor 能提供什么、不能提供什么。以上这个常见陷阱的列表并不完整，我们需要你帮忙确认所有问题并撰写文档。

Windows Vista, XP, 2000, 2003 Server, Millenium, 98SE
vidalia-bundle-0.2.1.19-0.1.15.exe 多语种
http://j.mp/2LxYie =
http://cache.pando.com/soapservices/Package/package.pando?id=5FCDDAD6D641743A0C1D3894B6E07227BD74728B&key=2B018E1632B48E826423485EF3D183646C5F168F201BBC109E1D96DA4A65C925&tt=S2W&embedId=9580CAC48889ECCF3C17463A2625E2DA

Windows Tor 浏览器套件（包括 Tor、Vidalia、Torbutton、Polipo 和 Firefox）
tor-browser-1.2.9_en-US.exe 英语版
http://j.mp/1CeNYF =
http://cache.pando.com/soapservices/Package/package.pando?id=ACD3F9B1EFE0DC850A6D3B4A135B7314A1C4031B&key=218D97FD60611717C07787D2441CB7BE91EB32E7619B313418ABEDEF20EB8023&tt=S2W&embedId=54D376EEE549932B50F81F23F289D7FC

tor-browser-1.2.9_zh-CN.exe 汉语版
http://j.mp/15Lq5D =
http://cache.pando.com/soapservices/Package/package.pando?id=6F98332AF95152C59CE7B87378D7BD81919FED43&key=44E8F84A2E67CC8AC497548A16A445550C1A48C4FC7F20C30B443900EB55C9EF&tt=S2W&embedId=DBFB89EF6F63FE500964C887DDD372C7

Windows Tor IM 浏览器套件（包括 Tor、Vidalia、Torbutton、Polipo、Firefox 和 Pidgin）
tor-im-browser-1.2.9_en-US.exe 英语版
http://j.mp/yY4UO
http://cache.pando.com/soapservices/Package/package.pando?id=6E07D77D3BB04A38A57EB8175708B4A6748E9419&key=56B40BE5C62AE41DC72797EF7FBAD1A65B2BC40065B92C26589E8C3A56B32B1C&tt=S2W&embedId=F0D780DD8B01FE0C09603C1DD78EDCCB

tor-im-browser-1.2.9_zh-CN.exe 汉语版
http://j.mp/SJzHu =
http://cache.pando.com/soapservices/Package/package.pando?id=F54E6E2DD040C4D07E9C665EFB28220DF9954214&key=0D17A0952F81A1C126BF79C36FAAB618298DB6C28BEF5039CE4BE1EF8D98B980&tt=S2W&embedId=3931F0CC0B3D8262FBB595356B86CE17

tor vidalia-bundle-0.2.1.19-0.1.15-universal.dmg universal binary (OSX 10.4 & 10.5) 多语种
http://j.mp/ep6cW =
http://cache.pando.com/soapservices/Package/package.pando?id=A0F8400EA1667384F49D5953DC2247F66E19FFF9&key=6F19C24146F8D4A5CE12A6CA367C56A5825D006734AACA8752A011DCAB5DE264&tt=S2W&embedId=884A6884EEFE534E9C38C306A65EC6C3

vidalia-bundle-0.2.1.19-0.1.15-ppc.dmg PowerPC Only (OSX 10.3, 10.4, 10.5) 多语种
http://j.mp/3RrknX =
http://cache.pando.com/soapservices/Package/package.pando?id=25642FF8E5AA84046C6FCA0200111AEA756CCCE1&key=DB4E3796733C9FEC0CAF27FC161EA5AF2C1941F6FADF074FE4226DB94B50C300&tt=S2W&embedId=16744334E144F5659660DC156C8C2F32

http://www.torproject.org/verifying-signatures.html.zh-cn

如何验证软件包的签名

我们的下载页面中每一个文件都附带了一个与软件包有着相同名字的文件，其扩展名是“.asc”。例如，最新的 Windows 安装套件：dist/vidalia-bundles/vidalia-bundle-0.2.1.19-0.1.15.exe.asc。[签名文件在附件中]

这些 .asc 文件是 PGP 签名。通过它们你可以验证你所下载的文件确实由我们所提供。

当然，你需要首先知道我们的 PGP 密钥：如果不知道 PGP 密钥，你就无法证实签名确实来自我们。我们使用的签名密钥是：

Roger's (0x28988BF5) 通常对源代码文件进行签名。
Nick's (0x165733EA, 或子密钥 0x8D29319A)
Andrew's (0x31B0974B)
Peter's (0x94C09C7F, 或子密钥 0xAFA44BDD)
Matt's (0x5FA14861)
Jacob's (0x9D0FACE4)

第一步：导入密钥

你能直接通过 GnuPG 导入密钥

gpg --keyserver subkeys.pgp.net --recv-keys 0x28988BF5

或搜索密钥

gpg --keyserver subkeys.pgp.net --search-keys 0x28988BF5

当你选择其中一个时，它将被加入你的密钥环（keyring）。

第二步：验证指纹

使用下列命令验证 PGP 指纹

gpg --fingerprint (在这里输入密钥 ID)

密钥的指纹应该是

pub   1024D/28988BF5 2000-02-27
      Key fingerprint = B117 2656 DFF9 83C3 042B  C699 EB5A 896A 2898 8BF5
uid                  Roger Dingledine <ar...@mit.edu>

pub   3072R/165733EA 2004-07-03
      Key fingerprint = B35B F85B F194 89D0 4E28  C33C 2119 4EBB 1657 33EA
uid                  Nick Mathewson <ni...@alum.mit.edu>
uid                  Nick Mathewson <ni...@wangafu.net>
uid                  Nick Mathewson <ni...@freehaven.net>

pub  1024D/31B0974B 2003-07-17
     Key fingerprint = 0295 9AA7 190A B9E9 027E  0736 3B9D 093F 31B0 974B
uid                  Andrew Lewman (phobos) <pho...@rootme.org>
uid                  Andrew Lewman <and...@lewman.com>
uid                  Andrew Lewman <and...@torproject.org>
sub   4096g/B77F95F7 2003-07-17

pub   1024D/94C09C7F 1999-11-10
      Key fingerprint = 5B00 C96D 5D54 AEE1 206B  AF84 DE7A AF6E 94C0 9C7F
uid                  Peter Palfrader
uid                  Peter Palfrader <pe...@palfrader.org>
uid                  Peter Palfrader <wea...@debian.org>

pub   1024D/5FA14861 2005-08-17
      Key fingerprint = 9467 294A 9985 3C9C 65CB  141D AF7E 0E43 5FA1 4861
uid                  Matt Edman <edm...@rpi.edu>
uid                  Matt Edman <Matt_...@baylor.edu>
uid                  Matt Edman <edm...@cs.rpi.edu>
sub   4096g/EA654E59 2005-08-17

pub   1024D/9D0FACE4 2008-03-11 [expires: 2010-03-11]
      Key fingerprint = 12E4 04FF D3C9 31F9 3405  2D06 B884 1A91 9D0F ACE4
uid                  Jacob Appelbaum <ja...@appelbaum.net>
sub   4096g/D5E87583 2008-03-11 [expires: 2010-03-11]

（如果你想要进一步确认密钥的真实性，你应该在多个不同的地方进行检查；更好的方法是通过对密钥进行签名建立一条到这些密钥的可信路径。）

第三步：验证下载的软件包

如果你使用的是 GnuPG，将下载的软件包连同 .asc 文件置于相同的目录中，然后输入“gpg --verify (whatever).asc (whatever)”。使用下面的命令，你将得到“Good 签名”或“BAD 签名”这样的结果：

gpg --verify tor-0.1.0.17.tar.gz.asc tor-0.1.0.17.tar.gz
gpg: Signature made Wed Feb 23 01:33:29 2005 EST using DSA key ID 28988BF5
gpg: Good signature from "Roger Dingledine <ar...@mit.edu>"
gpg:                 aka "Roger Dingledine <ar...@mit.edu>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: B117 2656 DFF9 83C3 042B  C699 EB5A 896A 2898 8BF5

请注意这里有一条警告，因为你并未将相应密钥设为可信的。这意味着程序仅仅验证了签名由那一密钥生成。用户需要自行判断密钥确实属于开发者。最好的方法是与他们见面，然后交换 PGP 指纹。密钥也可以被签名。如果你查看 Roger 或 Nick 的密钥，会有其他人已经证实“这确实是 Roger/Nick”。如果你信任那个第三方，则对 arma/nick 你也就有了某种程度的信任。

所以，你能放心地忽略那条警告，或者赋予密钥以某种程度的信任。

这里是一个 BAD 签名的例子，仅供参考。它意味着签名和文件内容不匹配：

gpg --verify tor-0.1.0.17.tar.gz.asc
gpg: Signature made Wed Feb 23 01:33:29 2005 EST using DSA key ID 28988BF5
gpg: BAD signature from "Roger Dingledine <ar...@mit.edu>"

如果你得到了和上面类似的消息，你就不能再信任文件的内容了。

如果你在 Debian 上运行 Tor，请阅读将这些密钥导入 apt 的说明。

--
请不要轻信没有正确 OpenPGP(GPG) 数字签名的来自本人 email 地址的任何邮件中的链接和附件，以防假冒。我的公钥: http://j.mp/pubkey

signature.asc

tor-browser-1.2.9_en-US.exe.asc

tor-browser-1.2.9_zh-CN.exe.asc

tor-im-browser-1.2.9_en-US.exe.asc

tor-im-browser-1.2.9_zh-CN.exe.asc

vidalia-bundle-0.2.1.19-0.1.15.exe.asc

vidalia-bundle-0.2.1.19-0.1.15-ppc.dmg.asc

vidalia-bundle-0.2.1.19-0.1.15-universal.dmg.asc

wanghx

unread,

Sep 28, 2009, 5:30:09 PM9/28/09

to lihlii-g, Salon Friends

近期突破封锁的方法0928 tor 手册.zip

signature.asc

近期突破封锁的方法0928 tor 手册.zip.asc

wanghx

unread,

Sep 28, 2009, 6:01:00 PM9/28/09

to lihlii-g, Salon Friends

signature.asc

vidalia-bundle-tor.emulecollection

Lemon

unread,

Sep 28, 2009, 8:51:08 PM9/28/09

to lih...@googlegroups.com

晕死，google doc打不开了，edu用户，唉，今天凌晨用还可以的....真的觉得很失望...

关注-支持-参与

unread,

Sep 29, 2009, 12:14:48 PM9/29/09

to lih...@googlegroups.com

下了这个，有无办法不让Tor自动启动IM软件，

>tor-im-browser-1.2.9_zh-CN.exe 汉语版
>http://j.mp/SJzHu =
>http://cache.pando.com/soapservices/Package/package.pando?id=F54E6E2DD040C4D07E9C665EFB28220DF9954214&key=0D17A0952F81A1C126BF79C36FAAB618298DB6C28BEF5039CE4BE1EF8D98B980&tt=S2W&embedId=3931F0CC0B3D8262FBB595356B86CE17

电脑太老，资源紧张，下了一个
Tor+IE+Browser(Maker_Yang)绿色多国语言版(使用IE浏览网页).7z
http://dl5.csdn.net/fd.php?i=936615607152737&s=8206d8f27d873dc36ffd583b9b2a2951

似乎有问题，洋葱绿了但IE冷然无法过墙，试了facebook打不开，gmail也打不开，而
Firefox可以

wanghx

unread,

Sep 29, 2009, 2:04:01 PM9/29/09

to lih...@googlegroups.com

把 pidgin 的目录改个名字就可以了。

2009/9/29 关注-支持-参与

下了这个，有无办法不让Tor自动启动IM软件，

>tor-im-browser-1.2.9_zh-CN.exe 汉语版

关注-支持-参与

unread,

Sep 30, 2009, 1:28:41 AM9/30/09

to lih...@googlegroups.com

谢谢，该目录名不行，已解决，谢谢
改这个文件 vidalia.conf

wanghx

unread,

Sep 30, 2009, 1:42:12 AM9/30/09

to lih...@googlegroups.com

我本来想叫你改那个配置文件，但是认为改目录更快。hehe 没测试。

Igood

unread,

Sep 30, 2009, 5:11:16 AM9/30/09

to 童言无忌

视频不错,就是老了点,06年的

On 9月29日, 上午4时19分, wanghx <wan...@gmail.com> wrote:
> lihlii 非常精彩的讲座，对黑帮封锁网络的心理和手段了解得入木三分。非常聪
> 明的程序员。希望能有空把这些讲座录像翻译成汉语就更好了可以解答为何 tor

> 以前没有被屏蔽的疑问。http://j.mp/HXbtWtor 项目负责人谈 tor 和中国

罸課101

unread,

Sep 30, 2009, 9:56:09 AM9/30/09

to lih...@googlegroups.com

临时改一下，来个应景的名字，哈
摸索着改动了那个文件，浏览器调用Opera，IM调用Miranda IM，
Miranda IM这个软件可以选择使用代理的插件，就是可以只给被封的用代理。
Twitter插件有意思，试试吧

0015.png

Reply all

Reply to author

Forward

tor 项目负责人谈 tor 和中国

wanghx

wanghx

警 告：想让 Tor 真正地保护你吗？

如 何验证软件包的签名

第 一步：导入密钥

第 二步：验证指纹

第 三步：验证下载的软件包

wanghx

wanghx

Lemon

关注-支持-参与

wanghx

关注-支持-参与

wanghx

Igood

罸課101

警告：想让 Tor 真正地保护你吗？

如何验证软件包的签名

第一步：导入密钥

第二步：验证指纹

第三步：验证下载的软件包