跳转至

翻译文章

Cure53 完成 Tor VPN 安全审计

以下内容的原文翻译来自这篇文章,叙述主语为 Tor Project:

TorVPN Cure53 Audit

Tor Project 持续扩展移动隐私防护的工具布局,TorVPN 是其中一项重要计划:让 Tor 的保护能力更容易被普通移动用户所使用,同时维持强健的安全保障。2025 年 6 月,知名安全公司 Cure53 受托对 TorVPN Android 版及其底层网络组件进行了渗透测试与源码审计。这份报告于 2026 年 4 月 15 日正式公开。

OONI 新版 Probe Desktop 测试邀请

OONI

OONI 团队推出了新的跨平台 OONI Probe Desktop 应用程序,并内置全新的仪表盘界面。团队希望邀请大家协助测试。

你可以在这里下载新版的内部测试版OONI Probe Desktop v6.0.1(GitHub Releases)

根据你的测试结果,可以用下列方式向团队提供意见:

  1. 若在程序中遇到问题,请通过应用程序提交错误报告。这样团队才能一并取得应用程序记录,方便排查。
  2. 若有其他不像是单一程序错误的反馈,可写信至 [email protected]
  3. 若你使用 GitHub,也可在仓库中开 issue:ooni/probe-multiplatform/issues

为了协助团队排查问题,反馈时请一并附上下列信息(可直接复制后填写):

  • PLATFORM(例如 macOS、macOS Sonoma、Tahoe、Windows 10、Windows 11 等):
  • MODEL(例如 MacBook Pro、MacBook Air、iMac、Mac mini、Mac Studio 等):
  • OS Version(例如 12.2.1、13.5、14.3.1、22H2、23H2、21H2 等):

感谢你的协助与反馈。

~ OONI 团队

一台会遗忘的服务器:探索 Stateless Relays

以下内容为原文翻译,主语角色来自 Tor Project 与原作者团队:

文末另有一节「中国语境下的延伸讨论」,整理这篇文章放在中国现实环境里可继续讨论的方向,欢迎直接跳读。

A Server That Forgets

运行 Tor relay 需要持续对抗对手,这些对手可能来自私人势力,也可能来自国家级体系,目标是通过攻击节点来削弱整个网络。此外,一些运营者还会面对扣押、搜查,或硬件被直接物理接触。这类情况在奥地利德国美国俄罗斯 都有先例,而且很可能不止这些地方。在这些案例里,服务器本身就可能变成风险来源。

Tor 存在的原因,是希望保护网络用户免受不必要监控。Tor 网络的设计前提是:任何单一运营者或单一服务器,都不应该能还原“谁在和谁通信”。记者、行动者、吹哨者都依赖这个前提成立。若 relay 被扣押后可以交出内容,就会侵蚀整个系统赖以运作的信任,而这正是我们要解决的问题。

本文将讨论无状态、无磁盘操作系统如何提升 relay 安全,范围从固件到用户空间,重点放在软件完整性与抵抗物理攻击的能力。这项工作来自 Osservatorio Nessuno 在意大利运营出口 relay 的实践经验。relay 的管理方式会因地区、技术能力、预算和司法环境而有很大差异。我们希望推动讨论,而不是给出唯一模型。

Arti 2.2.0 发布:HTTP CONNECT、RPC 与 relay 开发进展

以下内容的原文翻译来自这篇文章,叙述主语为 Tor Project:

Tor

Arti 是 Tor Project 正在以 Rust 开发的新一代 Tor 实现。2.2.0 版的核心重点,是把先前偏实验性质的连接方式推进到更可落地的状态:HTTP CONNECT 现在在完整构建中可用,并默认启用。此外,RPC 客户端与管理能力也有明显升级,并同步修复了一项低严重度安全问题。

对在企业网络、校园网络或公共网络中使用 Tor 的人来说,HTTP CONNECT 可用性提升非常关键;对把 Arti 集成到现有服务的开发者来说,RPC 的非阻塞与事件循环集成也能降低实现成本。整体来看,这是一个同时推进“可部署性”与“可运维性”的版本。

Tails 7.6 发布说明

Tails

Tails 7.6 于 2026 年 3 月 26 日公告。此版在对抗网络审查桌面集成两方面都有可感知的改动:Tor 连接流程可直接协助你获取网桥;密码管理则改由 GNOME Secrets 承担,取代内置的 KeePassXC

新功能

自动 Tor 网桥

你现在可以在 Tails 的 Tor 连接助手里,直接了解什么是 Tor 网桥(Tor bridges)。

Tor 网桥是不公开列举的 Tor 中继,用来隐藏你正在连接 Tor 的事实。若你所在网络会封锁连到 Tor,可以把网桥作为进入 Tor 网络的第一跳,借此绕过审查。

在 Tails 7.6 中,打开 Tor 连接时可选择 自动连接到 Tor(Connect to Tor automatically)。若无法直接连上 Tor 网络,网桥配置界面会多一项 根据你所在区域申请 Tor 网桥(Ask for a Tor bridge based on your region)。

此功能与 Tails 以外的 Tor Browser 自 11.5 版起(2022 年 7 月)在连接助手采用的技术相同。Tails 会通过 Tor Project 的 Moat API 下载较可能在你所在区域有效的网桥信息;为了规避审查,这段连接会以 域前置(domain fronting)伪装成访问其他网站。

台湾以及东亚/东南亚各地的读者:各地的审查模式不尽相同,但套路往往似曾相识——TLS 拦截、路由上的手脚,或是只对部分应用「看似放行」的软性封锁。若 Tails 映像能在产品界面内直接呈现获取网桥的流程,就能降低门槛,减轻记者、律师与公民社会志愿者在承担运营风险之余,还得从博客文章背下整套网桥流程的负担。

GNOME Secrets

在 Tails 7.6 中,Secrets 密码管理器取代 KeePassXC

Secrets 界面更简洁,且与 GNOME 桌面集成更好;例如屏幕键盘、光标大小等无障碍相关功能,在 Secrets 上可以再次正常配合使用。

Secrets 与 KeePassXC 使用相同的文件格式存储密码,因此可自动尝试解锁你先前在 KeePassXC 使用的数据库。若你仍需要 KeePassXC 的高级功能,可将 KeePassXC 安装为附加软件

Secrets 主要快捷键与 KeePassXC 类似,并多搭配 Shift(与 Ctrl 并用):

  • Shift+Ctrl+C:复制密码
  • Shift+Ctrl+V:复制网址
  • Shift+Ctrl+B:复制用户名
  • Shift+Ctrl+T:复制一次性密码(OTP)

若要查看 Secrets 的完整快捷键列表,请按 Ctrl+?

用 ADR 记录决策:Tor 系统管理团队的新做法

以下内容原文翻译来自以下文章,主词角色为 Tor Project TPA 团队:

文末另有一节「台湾项目与社群的现状」,整理台湾在地脉络与为什么值得引进 ADR,欢迎直接跳读。

Tor

在 Tor Project 的系统管理员团队(俗称 TPA)里,我们最近改变了做决策的方式,这代表你会从我们这边收到更清楚的沟通:无论是即将进行的变更,或是针对某项提案的具体问题。

请注意,这项变更只影响 TPA 团队。在 Tor 内部,每个团队都有自己协调与决策的方式,目前这套流程只在 TPA 使用。我们鼓励 Tor 内外其他团队评估这套做法,看看是否能改善你们的流程与文件。

Arti 2.1.0 更新发布

以下内容的原文翻译来自这篇文章,叙述主语为 Tor Project:

Tor

Arti 是我们正在进行的项目,用于使用 Rust 开发新一代的 Tor 客户端。我们现在很高兴地宣布最新版本 Arti 2.1.0 的发布。

在这个版本中,我们投入了大量与中继(relay)支持和 RPC 开发相关的工作。虽然 Arti 目前仍然无法作为 Tor 中继节点使用,但我们已经看到了稳定的进展,离让开发者在中继角色上测试 Arti 越来越近。同时,我们也对配置系统做了全面翻新,引入基于 derive-deftly 的新架构,让未来扩展和维护 Arti 的配置更加轻松。

本次更新也包含多项错误修复、代码清理,以及对 CI 基础设施的改进,为后续的开发铺平道路。

OONI 全新的匿名凭证系统

翻译说明:OONI 依赖全球志愿者上传网络审查观测数据,但随着参与者增加,虚假数据或错误测量也可能混入,影响数据库的可信度。传统做法如 IP 封锁、要求账户登录或设备认证,会暴露志愿者身份,与 OONI 保护隐私的承诺相冲突。因此 OONI 转向匿名凭证:用密码学方式验证「这笔测量来自符合条件的 OONI Probe」,却不揭露用户是谁、身在何处,也不让不同网络的活动被串起来。以下内容将介绍 OONI 如何打造这套系统。

以下内容原文翻译来自以下文章,主词角色为 OONI:

在先前的文章中,我们已说明为什么 OONI 需要匿名凭证系统,并整理了这类系统必须满足的信息安全与隐私需求。核心挑战在于:OONI 必须在「不建立任何可能暴露用户身份、或造成跨网络追踪的识别码」的前提下,仍能对上传的测量结果建立可信度1

匿名凭证(anonymous credentials)提供一种密码学机制:可以在不暴露用户是谁、身在何处、也不把其活动在不同网络之间串起来的情况下,验证 OONI Probe 的某些属性(例如长期参与程度或测量量)。

Tor 使用者文件的新家

以下內容原文翻譯來自以下文章,主詞角色為 Tor:

Tor 使用者文件的新家

隐私技术的力量,取决于人们能否顺利使用它。每天有数百万人依靠 Tor 来保护他们在网络上的隐私与自由。不过直到现在,想找到问题的答案,常常不得不在不同网站之间来回切换:一个是 Tor 浏览器手册,另一个是支持门户。这种碎片化的体验不仅不便于浏览,也不利于维护。

因此,我们一直在努力简化大家获取 Tor 使用帮助的方式。

Tails 7.0 发布

Tails

我们非常高兴地向您介绍 Tails 7.0,这是首个基于 Debian 13(代号 Trixie)和 GNOME 48(代号 Bengaluru)的 Tails 版本。Tails 7.0 带来了许多内建应用程序的新版本。

追忆

Tails 7.0 献给 Lunar(1982–2024)的追忆。Lunar 是 Tails 的贡献者、Tor 的志愿者、自由软件黑客以及社区组织者。

在 Tails 的发展历程中,Lunar 始终与我们并肩作战。从最初的项目萌芽到最终与 Tor 的合并,他提供了明智的技术建议、富有创意的产品设计点子、外展支持以及关怀的组织建议。

除了在 Tor 的贡献之外,Lunar 还致力于多个非常成功的自由软件项目,如 Debian 项目——Tails 所基于的 Linux 发行版,以及协助我们验证 Tails 版本完整性Reproducible Builds 项目。

Lunar 的离去,对于我们的社区以及他所参与的其他许多社区都是莫大的损失。

另见其他项目写给 Lunar 的纪念文章