谷歌母公司Alphabet旗下网络安全部门Jigsaw推出了一个名为“Outline”的新项目。如果简单概括的话,那就是Outline可以让任何人在DigitalOcean上面创建并运行VPN服务器,然后允许你的团队访问这台服务器。
我试用了一下Outline,这是一个很有意思的产品,由两部分组成,即管理应用和客户端。我们先从管理应用说起。
Outline管理应用暂时只能在Windows和Linux上面使用,不久会推出macOS版本。它是一个Electron应用,所以感觉就像是在使用网页应用。默认情况下,Outline建议你使用知名云托管提供商DigitalOcean的服务。
你也可以在另一台服务器上创建VPN服务器,但这不是Outline核心所在。Outline是尽可能简单地运行你自己的服务器。不然的话,你可能已经在使用Algo VPN或Streisand了。
如果你选择DigitalOcean,Outline应用将打开Web视图并要求你输入登录名、密码和一次性密码。之后,你需要让Outline使用DigitalOcean API。这就是你在初始设置阶段需要做的所有事情。
现在,我们先创建VPN服务器。Outline会自动选择DigitalOcean上面最便宜的传输点——每传输1TB的数据,每个月的费用为5美元。DigitalOcean目前在全世界8 个不同城市拥有数据中心——阿姆斯特丹、新加坡、班加罗尔、法兰克福、伦敦、旧金山、多伦多和纽约。
在选好城市之后,管理应用会自动下载一个Docker镜像,并基于这个Docker镜像在DigitalOcean上面创建服务器。服务器上的软件每小时会自动更新一次。DigitalOcean服务器还会自动对操作系统进行安全更新,并在必要时重新启动服务器。
现在,让我们回到你当前使用的计算机。你现在可以从管理应用控制你的VPN服务器。默认情况下,Outline只为你生成一个密钥。但是,你可以添加更多的用户并邀请你的同事使用你的服务器。
你可以使用管理应用创建更多服务器,如果用户不再需要使用你的服务器,你可以将服务器或用户删除。该应用还会告诉你每个用户使用了多少带宽。
邀请页面只是托管于Amazon S3的一个静态网页,它主要做两件事情。首先,该页面邀请你在手机或计算机上下载Outline客户端。其次,密钥在URL上面。当你加载页面时,浏览器会显示密钥。
正因为如此,你不应使用未加密的方法来邀请朋友——不要使用Facebook,不要使用电子邮件。请记住,密钥也会保存在你的浏览器历史记录中。
但是,连接到VPN服务器却轻而易举,只要安装应用并点击邀请链接一样。对于不懂技术的用户来说,这是一次非常棒的体验。
接下来,我们再来谈一谈客户端。你用于连接VPN服务器的应用,目前支持Windows、Android 和 Chrome OS等平台。Jigsaw正在开发macOS版和iOS版客户端。它有一块屏幕,可让你连接和断开服务器,整个过程相当简单、直接。
Outline不是VPN
表面看来,Outline依赖于Shadowsocks协议。但如果你熟悉VPN协议,Shadowsocks与OpenVPN、IPSec或WireGuard完全不同。实际上,Shadowsocks根本不是VPN协议。
Shadowsocks是一个开源项目,旨在创建加密的socks5代理来重定向互联网流量。这稍微有点技术性,但VPN就像设备和服务器之间的加密通道。你的所有网络流量都会经过这一通道,而VPN服务器(不是你的电话或计算机)就成了与互联网对话的设备。
这一点很不错,因为你能确定Wi-Fi网络上的ISP和其他用户无法查看你的流量(除非发生DNS外泄的情况)。你还可以假装自己在另一个国家上网。
但糟糕的是,任何有权访问你VPN服务器的人,都可以看到你的互联网流量。正因为如此,你永远不应依赖于VPN公司,即使他们承诺尊重你的隐私。原因就在于,他们会分析你的浏览习惯,将其出售给广告商,在不安全的网页上插入他们自己的广告或是盗取你的身份信息。 你不能100%确定是否可以信任它们。
如果有关当局和互联网服务提供商(ISP)使用深度包检测(deep packet inspection)的话,传统VPN协议也有可能遭到封杀,因为它们使用特定端口,而且看起来就像VPN流量。这就是一些国家可以彻底封杀VPN的原因。
然而,socks5代理看起来就像正常的互联网流量。Shadowsocks正在利用这一优势,并将代理的优势与流量加密结合起来。例如,它应该在中国有很不错的表现。
不过,你不能保证所有互联网流量都会经过代理服务器——这取决于每个应用。代理增加了一个粒度等级,虽然此举方便了用户,但也带来安全问题。例如,Outline客户端眼下不会将所有的Windows流量重定向到Outline服务器。
因此,如果你想使用网络浏览器访问经过审查的网站,Outline可以成为完美的工具。但是,你不会因为Outline连接而从网络中销声匿迹。
信任谷歌
很难想象,Outline是一个Jigsaw项目。参与这个项目的人员由谷歌母公司Alphabet提供报酬。换句话说,就隐私而言,我们很难相信一个谷歌项目。
但Jigsaw真的希望你因为这个项目而信任他们。Outline是一个开源项目。专家能够以这种方式查看代码,以了解是否存在什么不能见光的东西。这项服务还由第三方安全公司进行审计。
Jigsaw使用不可识别的数据来收集崩溃日志。他们还收集所有服务器IP地址,但无法访问这些服务器——我不确定Jigsaw为什么要查看所有IP地址。你也可以选择共享更多使用数据。
Outline服务器不保留你互联网流量的任何日志。因此,即使美国国家安全局(NSA)有权访问Outline服务器,也只能发现每个用户使用该服务器的带宽多少。但是,NSA根本没有办法连接这些点,并且找出这个Outline服务器背后的人。
最大的风险可能是DigitalOcean。要想创建DigitalOcean帐户,你必须输入自己的姓名、电子邮件和信用卡。有关当局可能会要求DigitalOcean提供付费使用你Outline服务器付费的用户信息,然后将这笔钱返还给你。
安全性vs.可访问性
Outline并不是最安全的VPN服务。你可以创建自己的硬件服务器,使用不以自己名字付费的连接并自己动手安装VPN软件,然后将其连接到互联网,这始终是更好的解决办法。
但没有人会这样做。
隐私始终是安全性与可访问性之间的平衡。最安全的工具,也是最难使用的工具。
许多项目现在都在努力使安全性更易于访问。这是一种使人耳目一新的想法Algo VPN让你只需一些命令行就可以构建自己的IPSec VPN服务器。另外借助于Streisand,你还可以创建一个具有各种协议的服务器,即便你没有什么技术知识。
这些都是很棒的项目,如果你想创建自己的VPN,我建议你看看。但Outline在这方面更进一步。你无需输入一个命令行,也能创建Shadowsocks服务器。
Jigsaw表示,对于新闻机构而言,它是完美的工具。事实上,大多数记者都知道如何安装应用。这不像添加VPN认证那么可怕。如果你生活在中国或其他对互联网访问有限制的国家,即使你不是记者,我也会说这是访问被审查网站的绝佳办法。
你必须评估自己的风险级别,选择适合你的技术解决方案。如果你没有从事任何违法活动,只是想访问被封杀的网站,你可以做出一些让步。
但有一点是肯定的,Outline要比任何免费或商用VPN服务好用得多。
声明:本文来自TechCrunch中文版,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。