<div style="font-family: Arial, sans-serif; font-size: 14px; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">Hello Tor community,</div><div style="font-family: Arial, sans-serif; font-size: 14px; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);"><br></div><div style="font-family: Arial, sans-serif; font-size: 14px; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">this e-mail applies to you if you are running an obfs4 (now known under the name <b>lyrebird</b>) bridge or want to do so in the future.</div><div style="font-family: Arial, sans-serif; font-size: 14px; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);"><br></div><div style="font-family: Arial, sans-serif; font-size: 14px; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">Some recent posts on this list has shown that traffic timing analysis can be used to locate a users or onion services guard nodes or bridges. This is not really something new.</div><div style="font-family: Arial, sans-serif; font-size: 14px; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);"><br></div><div style="font-family: Arial, sans-serif; font-size: 14px; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">For bridge users, there is a way to try to protect themselves against this, but your bridge configuration must support it.<br></div><div style="font-family: Arial, sans-serif; font-size: 14px; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);"><br></div><div style="font-family: Arial, sans-serif; font-size: 14px; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">By enabling iat-mode on your obfs4 /lyrebird bridge, then maybe DPI (Deep Packet Inspection) hardware can sometimes be defeated either entirely, or at least the process of tracking users can be slowed down.</div><div style="font-family: Arial, sans-serif; font-size: 14px; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);"><br></div><div style="font-family: Arial, sans-serif; font-size: 14px; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">OBFS4/Lyrebird support two times of traffic obfuscation:</div><div style="font-family: Arial, sans-serif; font-size: 14px; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);"><pre><blockquote style="border-left: 3px solid rgb(200, 200, 200); border-color: rgb(200, 200, 200); padding-left: 10px; color: rgb(102, 102, 102);">ServerTransportOptions obfs4 iat-mode=1<br></blockquote><br>This will make your bridge send MTU sized packets, in order to make<br>true packet size analysis harder.<br><br>There is also what the author of obfs4/Lyrebird called "paranoid mode":<br><blockquote style="border-left: 3px solid rgb(200, 200, 200); border-color: rgb(200, 200, 200); padding-left: 10px; color: rgb(102, 102, 102);"><pre>ServerTransportOptions obfs4 iat-mode=2</pre></blockquote>For each write, a variable length packet will be sent, which will result<br>in both making true packet size and <span>round trip time</span> analysis harder.<br><br>If your bridge is distributed by BridgeDB, the next time someone receives<br>a batch of bridges with your bridge in it, the bridge-line will have the iat-mode variable set to the one<br>you set on your bridge server.<br><br>Your bridge will still work even if you enable these defenses and a user chooses<br>to set iat-mode to 0 in his bridge line.<br><br>There is a small performance penalty for both mode 1 and 2, but nothing very severe.<br><br>I believe this, along with Vanguards, and so on, is needed to keep users and services somewhat secure.<br><br>Let me know what you think.<br></pre><pre><div><ul data-editing-info="{"orderedStyleType":1,"unorderedStyleType":2}"><li style="list-style-type: "- ";"><span>George<br></span></li></ul></div><div><br></div></pre></div>