關注通訊加密軟體Signal的同學也許會知道，這個安全與加密社羣中的翹楚一直都在與App線上審查做鬥爭。就在幾天之前，Signal的開發人員向外界透露了他們到底是使用了什麼樣的對策才能在這場「貓捉老鼠」的遊戲中獲的。

Open Whisper Systems，也就是負責開發和維護Signal的技術團隊，在上個月正式對外宣佈他們在Signal的Android端App中新增了一個功能，這個功能將允許Signal繞過埃及和阿拉伯聯合大公國的應用審查機制。Android使用者在更新Signal之後，就可以不受任何限制地使用這款加密工具了。而根據Open Whisper Systems的創始人Moxie Marlinspike所透露的資訊，他們將在近期對Signal的iOS端進行相應的功能更新。

Marlinspike在接受媒體採訪時解釋稱：

「Signal的這個新型反審查功能使用了一種名叫「domain fronting」的技術。像埃及這樣的國家，國內只有少數幾個小型的網際網路服務提供商處於政府的嚴密管控之下，這些服務商可以只接在其黑名單系統中阻止某些特定應用服務的請求。但是，我們仍然可以將通訊資料隱藏在加密連結之中，並利用CDN之類的網際網路服務來繞過審查機制。比如說，Signal利用的就是Google引擎，即用於託管App的Google伺服器。

現在，當埃及或阿拉伯使用者傳送一條Signal訊息時，這條訊息在經過偽裝之後，看起來會跟一條Google查詢請求差不多。這也就意味著，使用者使用Signal的行為幾乎等同於在使用Google搜尋。如果你想要阻止使用者使用Signal，那麼你恐怕就得阻止使用者使用Google了。」

這種技術之所以能夠奏效，主要是因為Google的App引擎允許開發者將Google.com的流量重定向至他們自己的域名。Google使用了TLS加密，這也就意味著通訊資料和重定向請求是外界不可見的，網際網路服務提供商可以看到的只是某個使用者連結了Google.com而已。也就是說，這種技術將Google變成了Signal的代理伺服器，並且能夠成功地繞過網路服務商的審查。

除了Signal之外，像Tor、Psiphon和Lantern等加密工具都在使用「domain fronting」技術來繞過審查。當然了，這項技術也並不僅僅依賴於Google，我們還可以利用Cloudflare、Akamai和Amazon Cloudfront等CDNs來實現這項技術。如果監管部門想要防止這種情況的發生，那麼他們需要遮蔽的就不僅僅只有Google了，而是一大堆主流的網路服務商。Marlinspike表示：「這也就意味著，他們不得不遮蔽掉大量的網路流量。所以，禁用Signal，等同於禁用了網際網路。」

遮蔽目前主流的網路服務，甚至是遮蔽整個網際網路，也並非是不可能的。畢竟，像埃及這樣的國家在2011年的抗議活動中的確曾封鎖過國內的整個網際網路。巴西當初在進行毒品調查的時候也曾遮蔽過WhatsApp(WhatsApp整合了Signal，並將其作為加密協議)。但是，這兩種情況下的流量遮蔽都是短暫的，很少有國家會像伊朗和朝鮮一樣爲了審查所有的網路流量而永久性地遮蔽某些網路服務。

Marlinspike表示，如果還有哪個國家想要遮蔽Signal，那麼他一定會奉陪到底，因為這種事情對於他來說纔是當務之急。無論怎樣，現在還是會有很多國家並不願意爲了審查流量而遮蔽掉大部分的主流網路服務，但是如果有國家打算這樣做的話，Signal肯定會反抗到底，而最終的勝利肯定會屬於Signal。

來源：csdn