关于信号与反审查社区之间最近发生的事件的声明

抱歉打扰大家，但是鉴于Signal和我们的一些反审查社区成员之间最近发生的事件，我相信我们这个致力于审查绕行和互联网自由的社区必须一起来。如果您不知道，这里有个简短的回顾。

在提出有关旨在绕开伊朗政府审查制度的Signal的新代理实现问题之后，@ DuckSoft和@studentmain被Signal及其联合创始人Moxie多次解雇。他们发现，Signal的简单TLS-in-TLS代理受简单的主动探测的约束，并且可以由常规DPI系统检测到。

我们的社区沉默了太久了。我们是失败者，做着真正的工作，但未被许多人欣赏。我们的意见不足。这就是让我相信我们这次必须说出来，我们应该发表联合声明，谴责Signal对反审查社会的轻蔑和不负责任的态度，并呼吁我们团结一致，社区及其对此事的立即行动。

2021-02-05 01:30我看到了来自Hacker News的Signal帖子，并将其转发给他们，以为他们可能感兴趣。 @DuckSoft立即意识到它是一个简单的TLS-in-TLS代理，无需任何身份验证，因此容易受到主动探测的攻击。

2021-02-05 02:00 @DuckSoft在https://github.com/signalapp/Signal-TLS-Proxy/issues/3上发布了他的疑问。 @studentmain编写并测试了PoC，后来又添加到该问题中。几个小时后，他们收到Moxie的一般性，不屑一顾的答复，只是告知他们不要在此类讨论中使用问题，而应改用Signal论坛。 Moxie解决了该问题，然后立即禁用了存储库的问题，从而显示了问题页面＆＃34; 404＆＃34;。

2021-02-05 08:00由于Signal的不屑一顾，@ DuckSoft在＃60上重新发布，得到了社区的支持。

2021-02-05 09:00 @DuckSoft试图在Signal社区发帖，立即被禁止。 @DuckSoft很恼火，在net4people问题中添加了一个模因，并大喊Signal进行解释。

2021-02-06 12:00 @DuckSoft发送了请求请求，该请求将PoC添加到Signal TLS代理的存储库中。此后已将其删除，并且@DuckSoft和@studentmain在下午被GitHub上的Signal组织禁止。 @ U-v-U的转发已被关闭并锁定。

2021-02-07 06:00另一位研究人员报告了Signal社区上Signal的Android应用存在问题，该问题可能会使用户受到审查者的注意。

2021-02-08 02:00 Moxie在与BleepingComputer的电话中提出了虚假指控和毫无根据的主张。 BleepingComputer用Moxie的回复更新了他们的文章。

2021-02-08下午晚些时候：BleepingComputer在Moxie的压力下以“冲突信息”为由删除了原始文章。他们已经收到了。原始文章仍可以在存档中找到。

我们是一群来自世界各地的志愿者，他们共同致力于实现绕过审查制度的同一目标。我们认为，每个人都应该平等地使用免费的互联网。

V2Fly维护着V2Ray，这是一种代理和路由工具，可以帮助位于中国的GFW和伊朗的互联网防火墙后面的人们保持与互联网的连接。

Qv2ray工作组是一个研究小组，专注于审查规避工具的安全性。该工作组帮助发现了V2Ray中的一些漏洞，这些漏洞可能导致对手发现。工作组还维护Qv2ray，这是V2Ray的GUI前端。

适用于Windows的Shadowsocks是C＃中的跨平台Shadowsocks客户端实现。我们是Shadowsocks组织的一部分。

通过对所有聊天进行端到端加密，可以正确赢得Signal的声誉。但他们显然不是审查制度领域的专家。

凭借与中国GFW作战的多年工程经验，我们的社区在设计代理协议方面具有专业知识，该代理协议可以通过使流量与正常Internet流量无法识别来避开防火墙和检查器。

它容易产生有源探针。如果没有身份验证机制，则可以通过发送2个请求（一个到Signal的服务器，一个到一个非信号的服务器）来探测简单的TLS-in-TLS代理。

常规DPI系统可以轻松检测到它。由于没有ALPN，因此可以提取Signal的唯一TLS指纹。 DPI系统还能够检测TLS-in-TLS代理的流量模式。

这并不是Signal第一次无视研究人员的发现和社区的声音。

Sergey Frolov在报告Signal Android应用的TLS指纹问题时分享了他的经验。发送到Signal的多封电子邮件都被忽略。最后，他们在存储库中发布了一个问题，该问题也已删除。

开源社区中的开发人员为Signals存储库贡献了此PR。最终，他只收到Moxie的回复，要求参与者从较小的错误修复程序开始，以“感受项目”。到目前为止，来自Moxie的回复已得到社区的45票赞成。

一位前Wayland的维护者还分享了他对Signal的见解，这是对Moxie对社区的敌意和联盟的不愿意。

自从BleepingComputer文章被删除以来，Moxie多次在Twitter上宣称，代理始终是可识别的，而忽略了反审查研究人员和我们的社区成员提出的证据。

我们敦促Signal发布声明，告知其用户因其代理实现的缺陷而引起的潜在风险。 Signal必须停止建议伊朗人民使用其脆弱的临时解决方案。相反，伊朗人民应该寻求其他成熟的解决方案，例如我们社区中的解决方案。

我们要求我们的社区成员保持团结，同时保持对话的礼貌。请勿发起人身攻击。不要编造或传播阴谋论。支持我们的发现并用事实解释，而不是将我们的思维强加于其他人。

我们请莫克西（Moxie）对他的轻蔑回应和毫无根据的主张道歉。让了解主题的人讲话。当您完全不熟悉该主题时，请停止提出虚假声明。

我们要求Signal停止像对手那样对待反审查社区。我们不是你的敌人。认真对待社区，认真对待社区的问题报告，回应我们的询问，而不是故意无视我们。我们一起可以与审查员进行斗争，并帮助建立更好的互联网。 ----- BEGIN PGP签名-----