Про Tor

Интернет-взаимодействие основано на модели хранения и пересылки, которую можно понять по аналогии с обычной почтой: данные передаются в блоках, называемых IP-датаграммами или пакетами. Каждый пакет включает в себя исходный IP-адрес (отправителя) и IP-адрес назначения (получателя), так же как обычные письма содержат почтовые адреса отправителя и получателя. Путь от отправителя к получателю включает в себя несколько переходов через маршрутизаторы, где каждый маршрутизатор проверяет IP-адрес назначения и пересылает пакет ближе к месту назначения. Таким образом, каждый маршрутизатор между отправителем и получателем узнает, что отправитель общается с получателем. В частности, ваш местный интернет-провайдер в состоянии создать полный профиль вашего использования Интернета. Кроме того, каждый сервер в Интернете, который может видеть любой из пакетов, может профилировать ваше поведение.

Цель Tor - улучшить вашу конфиденциальность, отправив ваш трафик через ряд прокси. Ваше сообщение шифруется в несколько слоев и маршрутизируется через несколько переходов через сеть Tor к конечному получателю. Более подробную информацию об этом процессе можно найти в этой визуализации. Обратите внимание, что ваш локальный интернет-провайдер может наблюдать сейчас то, что вы общаетесь с узлами Tor. Точно так же серверы в Интернете просто видят, что с ними связываются узлы Tor.

В общем, Tor стремится решить три проблемы конфиденциальности:

Во-первых, Tor не позволяет веб-сайтам и другим службам узнать ваше местоположение, которое они могут использовать для создания баз данных о ваших привычках и интересах. Благодаря Tor, по умолчанию ваши интернет-соединения не выдают вас — теперь вы можете выбирать, какой объем информации раскрывать для каждого соединения.

Во-вторых, Tor не позволяет людям, наблюдающим за вашим трафиком локально (например, ваш интернет-провайдер или кто-то, имеющий доступ к вашему домашнему Wi-Fi или маршрутизатору), узнать, какую информацию вы получаете и откуда вы ее получаете. Это также мешает им решать, что вам разрешено изучать и публиковать - если вы можете добраться до любой части сети Tor, вы можете получить доступ к любому сайту в Интернете.

В-третьих, Tor направляет ваше соединение через более чем один узел Tor, поэтому ни один узел не может узнать, что вы делаете. Поскольку эти узлы запущены разными лицами или организациями, распределение доверия обеспечивает большую безопасность, чем старый подход с прокси-сервер с одним переходом.

Обратите внимание, однако, что есть ситуации, когда Tor не может полностью решить эти проблемы конфиденциальности: см. запись об оставшихся атаках.

Как сказано выше, наблюдатель, который может следить как за вами, так и за целевым веб-сайтом или вашим выходным реле Tor, может сопоставить временные параметры вашего трафика при входе в сеть Tor, а также при выходе из нее. Tor не защищает от такой модели угроз.

Проще говоря, если цензоры или правоохранительные органы имеют доступ к некоторым участкам сети, они могут подтвердить свои подозрения, что вы регулярно общаетесь со своим другом, наблюдая за временем начала и окончания трафика на ваших участках сети. Опять же, это полезно только для проверки того, что стороны, которые уже подозреваются в общении друг с другом, делают это. В большинстве стран основания, необходимые для получения такого ордера, гораздо сильнее, чам подтверждение того, что подозреваемые общаются друг с другом.

Кроме того, поскольку Tor переиспользует цепочки для нескольких TCP-соединений, возможно связать неанонимный и анонимный трафик на данном исходном узле, поэтому будьте осторожны с приложениями, которые вы запускаете одновременно через Tor. Как одно из решений: запускайте разные клиенты Tor для разных приложений.

Слово "Tor" используют для обозначения разных сущностей.

Tor – компьютерная программа для защиты себя в интернете. Tor перенаправляет трафик между узлами распределённой сети серверов по всему миру. Их поддерживают волонтёры. Если кто-то принялся наблюдать за вами в сети, благодаря Tor он не сможет узнать, какие сайты вы посещаете. Сами сайты тоже не будут знать, где вы физически находитесь. Вся совокупность волонтёрских серверов называется "сеть Tor".

Чаще всего люди пользуются ей с помощью Tor Browser. Это браузер на основе Firefox, доработанный для большей приватности. Подробнее о Tor можно почитать здесь.

Tor Project – некоммерческая благотворительная организация, которая разрабатывает и поддерживает программное обеспечение Tor.

Tor – сеть на основе "луковой маршрутизации" (The Onion Routing). Когда в 2001–2002 годах мы приступали к разработке нового поколения и реализации луковой маршрутизации, мы рассказывали людям, что работаем над луковой маршрутизацией, и они говорили: «Аккуратно. Какой?» С тех пор фраза "луковая маршрутизация" вошла в обиход. Но мы не забываем, что это название родилось от одноименного проекта Naval Research Lab.

(В немецком и турецком языках это слово имеет другие значения.)

Обратите внимание: хотя название "Tor" изначально было аббревиатурой, мы не пишем "TOR". Только первая буква – большая. Кстати, обычно легко узнать тех, кто никогда не читал наш сайт, а все знания о Tor почерпнул из новостей: такие люди неправильно пишут название сети.

Нет, не удаляет. Вам нужна отдельная программа, которая распознает ваше приложение и способ коммуникаций, и которая знает, как "вычищать" персональные данные. Tor Browser старается, чтобы данные на уровне приложений (напр. строка user-agent) выглядели одинаково для всех пользователей. При этом Tor Browser ничего не может поделать, например, с данными, которые сам пользователь вписывает в поля форм на сайтах.

Типичный прокси-провайдер устанавливает сервер где-то в Интернете и позволяет вам использовать его для ретрансляции вашего трафика. Это простая архитектура, которую легко поддерживать. Пользователи входят и выходят через один и тот же сервер. Провайдер может взимать плату за использование прокси или покрывать расходы за счёт рекламы. В самом простом случае вам не нужно ничего устанавливать. Достаточно настроить браузер для работы с прокси-сервером. Такой нехитрый прокси – отличное решение, если вам не нужны защита приватности и онлайновая анонимность. Но вы должны доверять провайдеру. Некоторые простые прокси используют SSL. Это позволяет защитить ваше подключение и оберегает вас от прослушки (например, в кафе с бесплатным wi-fi).

Простые прокси-провайдеры также создают единую точку отказа. Владелец сервиса знает, кто вы и что вы делаете в интернете. Он может следить за вашим трафиком, который проходит через его сервер. В некоторых случаях провайдер даже способен заглянуть в ваш зашифрованный трафик, когда передает его между вами и онлайн-банком (или интернет-магазином). Вам придется поверить, что провайдер не следит за вами, не фиксирует ваши персональные данные и не вставляет собственную рекламу в ваши коммуникации.

В сети Tor ваш трафик проходит через минимум три разных сервера перед тем, как попасть к месту назначения. Поскольку для каждого из трех реле существует отдельный уровень шифрования, кто-то, наблюдающий за вашим интернет-соединением, не сможет изменить или прочитать то, что вы отправляете в сеть Tor. Ваш трафик зашифрован на отрезке между клиентом Tor (на вашем устройстве) и точкой выхода где-то в сети интернет.

А первый сервер в цепочке видит, кто я?

Возможно. "Плохой" первый из трёх серверов может видеть зашифрованный трафик от вашего устройства. Но кто вы и что делаете в сети Tor – видно не будет. Вся информация: "Такой-то IP-адрес использует Tor". Вы все еще защищены от этого узла, выясняющего, кто вы и куда направляетесь в Интернете.

Может ли третий сервер видеть мой трафик?

Возможно. "Плохой" третий (из трех) сервер в цепочке может видеть ваш трафик в Tor. Но он не знает, кто отправитель. Если вы используете шифрование (например, HTTPS), серверу будет известно только место назначения. Подробнее о том, как взаимодействуют Tor и HTTPS см. схему Tor and HTTPS.

Да.

Tor – это свободное программное обеспечение. Это значит, что мы даем вам право распространять программное обеспечение Tor с изменениями или "как есть", бесплатно или за деньги. Не нужно просить у нас особое разрешение.

Но если вы хотите распространять Tor, надо соблюдать нашу лицензию. По сути, это означает, что вам нужно включить наш файл LICENSE вместе с любой частью программного обеспечения Tor, которую вы распространяете.

Однако большинство людей, задающих нам этот вопрос, хотят распространять не только программу Tor. Они хотят распространять Tor Browser. Сюда входит Firefox Extended Support Release и расширение NoScript. Вам нужно выполнять лицензионные условия и для этих программ. Оба расширения Firefox распространяются по лицензии GNU General Public License, а Firefox ESR – по лицензии Mozilla Public License. Самый простой способ выполнить условия этих лицензий – включать исходный код этих программ везде, где вы включаете наш комплект программного обеспечения.

Убедитесь, что вы не вводите ваших пользователей в заблуждение относительно того, что такое Tor, кто делает Tor, какие возможности даёт (и не даёт) этот продукт. У нас также есть FAQ по торговой марке.

Есть множество программ, которые работают с Tor. Мы не проводили достаточно глубокое исследование того, как они влияют на анонимность пользователей. Поэтому мы не станем советовать вам конкретные программы. В нашей wiki есть список инструкций для Torификации определенных приложений, который поддерживается сообществом. Пожалуйста, пополняйте его и помогите нам заботиться о точности данных!

Большинство использует браузер Tor. Он позволяет безопасно работать в сети через Tor. Использовать Tor с другими браузерами опасно и не рекомендуется.

В Tor совершенно точно нет никаких бэкдоров (умышленно созданных нами уязвимостей).

Мы знаем нескольких умных юристов, которые говорят, что вряд ли кто-то попытается заставить нас добавить его в нашей юрисдикции (США). Если такая просьба прозвучит, мы будем сопротивляться, и (юристы говорят) у нас есть шансы выиграть.

Мы никогда не станем встраивать бэкдор в Tor. Создание бэкдора было бы грандиозной безответственностью по отношению к нашим пользователям и создало бы дурной прецедент для разработчиков программ безопасности. Если бы мы осознанное внедрили бэкдор в наши программы для обеспечения безопасности, нашей профессиональной репутации пришел бы конец. Больше никто и никогда не смог бы доверять нашим программам – с полным на то основанием!

Впрочем, у злоумышленников есть немало изощрённых способов испортить людям жизнь. Они могут попытаться выдать себя за нас. Или взломать наши компьютеры. Или ещё что-нибудь в этом духе. Tor – продукт с открытым кодом. Советуем всегда сверяться с источником (или хотя бы уточнять разницу с предыдущими версиями), чтобы исключить подозрения. Если мы (или распространители Tor) перестанем давать вам доступ к исходному коду, это будет тревожный признак. Есть смысл проверять PGP-подписи к релизам. Так вы сможете убедиться, что никто не вмешался в работу сайтов, где распространяются программы.

Кроме того, в Tor могут найтись непреднамеренные ошибки, ограничивающие вашу анонимность. Мы периодически находим и ликвидируем ошибки, связанные с анонимностью. Лучше всегда использовать самую свежую версию Tor.

Tor (как и все современные практические проекты анонимности с низкой задержкой) не работает, когда злоумышленник может видеть оба конца канала связи. Например, предпололжим, что атакующий контролирует или может наблюдать за входным реле и за сайтом, который вы посещаете. В этом случае исследовательское сообщество не знает ни одной практической архитектуры с низкой задержкой, которая могла бы надежно помешать злоумышленнику сопоставить информацию об объеме и времени на двух сторонах.

Так что же нам делать? Предположим, что злоумышленник контролирует или может наблюдать за C реле. Предположим, что всего есть N узлов. Если вы выбираете новые входные и выходные реле каждый раз, когда используете сеть, злоумышленник сможет сопоставить весь отправляемый вами трафик с вероятностью около (С/N)2. Но профилирование для большинства пользователей так же плохо, как и постоянное отслеживание: они хотят делать что-то часто и незаметно для злоумышленника, и атакующий, заметивший это один раз, так же плох, как и атакующий, замечающий это чаще. Таким образом, выбор множества случайных входов и выходов не дает пользователю шанса избежать профилирования со стороны такого рода злоумышленников.

Решением являются "входные реле": каждый клиент Tor случайным образом выбирает несколько реле для использования в качестве точек входа и использует только эти реле для первого перехода. Если эти реле не контролируются и не наблюдаются, злоумышленник не сможет победить никогда, и пользователь будет в безопасности. Если эти реле наблюдаются или контролируются злоумышленником, он видит более значительную часть пользовательского трафика - но при этом пользователь профилируется не больше, чем раньше. Поэтому у пользователя появляется шанс защититься от атакующего (порядка (n-c)/n), тогда как раньше у него его не было.

Подробнее можно прочесть в An Analysis of the Degradation of Anonymous Protocols, Defending Anonymous Communication Against Passive Logging Attacks, и особенно Locating Hidden Servers.

Ограничение количества входных узлов также позволяет бороться с теми, кто хочет самостоятельно запустить несколько узлов Tor, чтобы собрать все IP адреса пользователей Tor. (Даже не зная какие сайты посещают пользователи сети Tor, атакующие всё равно смогут навредить, имея на руках только списки пользователей). Однако эта функция не станет по-настоящему полезной до тех пор, пока мы не перейдем к архитектуре "directory guard".

Tor использует множества различных ключей для трех целей: 1) шифрование трафика внутри сети Tor, 2) удостоверение подлинности (аутентификация), чтобы приложения понимали, что они общаются с реальными узлами Tor и 3) цифровые подписи, что бы все приложения имели доступ к одному и тому же набору узлов.

Шифрование: все соединения в сети Tor шифруются с помощью протокола TLS, поэтому атакующий не может расшифровать кому конкретно направляется трафик. Далее клиент Tor устанавливает эфемерный ключ шифрования с каждым узлом в цепи; эти дополнительные уровни шифрования означают, что только выходной узел может считывать ячейки. Обе стороны сбрасывают ключ цепи, когда цепь заканчивается, поэтому регистрация трафика, а затем взлом узла, чтобы обнаружить ключ, не будет работать.

Аутентификация: Каждый узел Tor имеет открытый ключ расшифровки, называемый "onion ключ". Каждое реле чередует свой onion-ключ каждые четыре недели. Когда клиент Tor устанавливает схемы, на каждом этапе он требует, чтобы узел Tor доказал знание своего onion-ключа. Таким образом, первый узел в пути не может просто подделать остальную часть пути. Поскольку клиент Tor выбирает путь, он может убедиться, что получает свойство Tor "распределенное доверие": ни один узел в пути не может знать как о клиенте, так и о том, что клиент делает.

Координация: Как клиенты узнают, что такие узлы существуют, и как они узнают, что у них есть правильные ключи для них? Каждый узел имеет долгосрочный открытый ключ подписи, называемый "идентифицирующий ключ". Каждый управляющий сервер дополнительно имеет "ключ подписи каталога". Центры каталогов предоставляют подписанный список всех известных ретрансляторов, и в этом списке находится набор сертификатов от каждого ретранслятора (самозаверяющих их идентификационным ключом) с указанием их ключей, местоположений, политики выхода и т. д. Таким образом, если злоумышленник не сможет контролировать большинство центров каталогов (по состоянию на 2022 год существует 8 центров каталогов), он не сможет обманом заставить клиент Tor использовать другие ретрансляторы Tor.

Как клиенты узнают о действующих управляющих серверах?

Программное обеспечение Tor поставляется со встроенным списком местоположения и открытым ключом для каждого управляющего сервера. Таким образом, единственный способ обмануть пользователей в использовании поддельной сети Tor - это дать им специально модифицированную версию программного обеспечения.

Как пользователи узнают, что у них есть необходимое программное обеспечение?

Когда мы распространяем исходный код или пакет, мы подписываем его цифровой подписью с помощью GNU Privacy Guard. См. инструкции по проверке подписи Tor Browser.

Чтобы быть уверенным, что он действительно подписан нами, вам нужно встретиться с нами лично и получить копию отпечатка нашего ключа GPG, или вам нужно знать кого-то, у кого он имеется. Если вы обеспокоены атакой такого уровня, мы рекомендуем вам связаться с сообществом безопасности и найти возможность личной встречи.

Tor будет повторно использовать ту же цепочку для новых потоков TCP в течение 10 минут, пока цепочка работает нормально. (Если цепочка перестает работать, Tor сразу же создает новую цепочку)

Однако стоит иметь в виду, что один поток TCP (например, долгое подключение по протоколу IRC) будет использовать одну и ту же цепочку неограниченно долго. Мы не переключаем отдельные потоки с одной цепочки на другую. В противном случае злоумышленник, имеющий доступ к части сети, со временем получит не один, а множество шансов связать вас с вашим пунктом назначения.