Про Tor

Як згадувалося вище, спостерігач, який може стежити як за вами, так і за цільовим вебсайтом або вихідним вузлом Tor, може співвідносити часові інтервали вашого трафіку з входом у мережу Tor і з виходом з неї. Tor не захищає від такої моделі загроз.

У більш обмеженому сенсі зауважте, що якщо особа, що цензурує, або правоохоронний орган мають можливість проводити певні спостереження за частинами мережі, вони можуть перевірити підозру, базуючись на тому, що ви регулярно спілкуєтеся зі своїм другом, спостерігаючи за трафіком з обох кінців, співвідносячи час саме цього трафіку. Знову ж таки, це корисно лише для того, щоб переконатися, що сторони, які вже підозрюються у спілкуванні один з одним, дійсно роблять це. У більшості країн, підстави, необхідні для отримання ордера, набагато сильніші, ніж підтвердження того, що підозрювані спілкуються один з одним.

Крім того, оскільки Tor використовує схеми для кількох TCP-з’єднань, можливо пов’язувати неанонімний та анонімний трафік на даному вихідному вузлі, тому будьте обережні щодо програм, які ви запускаєте одночасно через Tor. Можливе рішення: запустіть окремі клієнти Tor для окремих програм.

Обмін інформацією в інтернеті засновано на моделі зберігання та пересилання, яку можна зрозуміти за аналогією з поштовим пересиланням, а саме: дані передаються у вигляді блоків, які називаються IP-датаграмами або пакетами. Кожен пакет містить вихідну IP-адресу (відправника) та IP-адресу призначення (одержувача), так само як звичайні листи містять поштові адреси відправника та одержувача. Шлях від відправника до одержувача включає кілька переходів маршрутизаторів, де кожен маршрутизатор перевіряє IP-адресу призначення та пересилає пакет ближче до місця призначення. Таким чином, кожен маршрутизатор між відправником і одержувачем дізнається, що відправник спілкується з одержувачем. Зокрема, ваш місцевий постачальник послугу інтернету може створити повний профіль вашого використання інтернету. Крім того, кожен сервер в інтернеті, який може бачити будь-який з пакетів, може відстежувати вашу поведінку.

Мета Tor – покращити вашу конфіденційність, надсилаючи ваш трафік через серію проксі. Ваша комунікація шифрується в кілька шарів і направляється через кілька переходів через мережу Tor до кінцевого одержувача. Більш детальну інформацію про цей процес можна знайти в цій візуалізації. Зауважте, що все, що ваш локальний постачальник послуг інтернету може спостерігати, це ваше спілкування з вузлами Tor. Аналогічно, сервери в інтернеті просто бачать, що з ними зв’язуються вузли Tor.

Загалом, Tor прагне розв'язати три проблеми конфіденційності:

По-перше, Tor не дозволяє вебсайтам та іншим сервісам дізнаватися про ваше місцеперебування, яке вони можуть використовувати для створення баз даних про ваші звички та інтереси. Завдяки Tor ваші інтернет-з’єднання не видають вас за замовчуванням — тепер ви можете обирати, скільки інформації розкривати під час окремого з'єднання.

По-друге, Tor не дозволяє людям, які спостерігають за вашим трафіком локально (як-от вашому постачальнику послуг інтернету або комусь із доступом до вашого домашнього Wi-Fi чи маршрутизатора), дізнаватися, яку інформацію ви отримуєте та звідки ви її отримуєте. Це також не дозволить їм вирішувати, що вам дозволено вивчати та публікувати – якщо ви можете отримати доступ до будь-якої частини мережі Tor, ви можете отримати доступ до будь-якого сайту в інтернеті.

По-третє, Tor направляє ваше з’єднання через кілька ретрансляторів Tor, тому жоден ретранслятор не зможе дізнатися, що ви робите. Оскільки ці вузли керуються різними особами чи організаціями, розподіл довіри забезпечує більшу безпеку, ніж старий підхід один перехід на проксі-сервер.

Зауважте, однак, що існують ситуації, коли Tor не може повністю розв'язати такі проблеми конфіденційності: дивіться запис нижче про інші атаки.

Назва «Tor» може позначати кілька різних компонентів.

Tor – це програма, запуск якої на власному комп’ютері допомагає захистити себе в інтернеті. Він захищає вас, перенаправляючи трафік через розподілену мережу ретрансляторів, якими керують волонтери по всьому світу: не дає комусь, хто спостерігає за вашим інтернет-з’єднанням, дізнатися, які сайти ви відвідуєте, і не дозволяє сайтам, які ви відвідуєте, дізнатися ваше фізичне місцеперебування. Цей набір волонтерських ретрансляторів називається мережею Tor.

Більшість людей використовує Tor за допомогою Tor Browser — версія Firefox, яка виправляє багато проблем із конфіденційністю. Ви можете прочитати більше про Tor на нашій сторінці тут.

Проєкт Tor – це неприбуткова (благодійна) організація, яка підтримує та розробляє програмне забезпечення Tor.

Tor — це мережа маршрутизації onion. Коли у 2001-2002 роках ми розпочинали розробку та впровадження нового покоління маршрутизації onion, ми говорили людям, що працюємо над маршрутизацією onion, а вони казали: «Класно. Над якою саме?» Навіть якщо маршрутизація onion стала стандартним побутовим терміном, Tor народився з фактичного проєкту маршрутизації onion, яким керувала Дослідницька лабораторія ВМС.

(Це також має цікаве значення німецькою та турецькою мовами.)

Примітка: попри те, що термін походить від акроніма, Tor не пишеться як «TOR». Лише перша літера пишеться з великої. Насправді ми зазвичай можемо виділити людей, які не читали нашого вебсайту (а натомість дізналися все, що знають про Tor зі статей новин), за тим фактом, що вони пишуть його неправильно.

Ні, не видаляє. Вам потрібна окрема програма, яка розуміє ваш застосунок і протокол та знає, як очистити або «зачистити» дані, які вона надсилає. Tor Browser намагається, щоб дані на рівні застосунків, як-от рядок user-agent виглядали однаково для всіх користувачів. Однак браузер Tor нічого не може зробити з текстом, який ви вводите у форми.

Звичайний постачальник проксі-серверів налаштовує сервер десь в інтернеті та дозволяє використовувати його для передачі вашого трафіку. Це створює просту й легку для обслуговування структуру. Усі користувачі входять і виходять через той самий сервер. Провайдер може стягувати плату за використання проксі-сервера або фінансувати свої витрати за допомогою реклами на сервері. У найпростішій конфігурації вам не потрібно нічого встановлювати. Вам просто потрібно настроїти браузер для роботи з їхнім проксі-сервером. Прості проксі-сервери є прекрасним рішенням, якщо вам не потрібно захищати свою конфіденційність та анонімність в інтернеті, і ви довіряєте постачальнику послуг. Деякі прості постачальники послуг проксі-серверів використовують протокол SSL, щоб захистити ваше з’єднання з ними, що захищає вас від локальних підслуховувачів, наприклад у кафе з безплатним Wi-Fi.

Але у простих постачальників послуг проксі-серверів є одна велика вразливість. Постачальник знає хто ви, також він знає і те, що ви переглядаєте в інтернеті. Вони можуть бачити ваш трафік, коли він проходить через їхній сервер. У деяких випадках вони навіть можуть заглянути у ваш зашифрований трафік, коли передають його на ваш банківський сайт або в магазини електронної комерції. Ви повинні вірити, що постачальник не спостерігає за вашим трафіком, не додає власну рекламу у ваш трафік та не записує ваші особисті дані.

Tor передає ваш трафік через щонайменше 3 різні сервери, перш ніж відправити його до місця призначення. Оскільки для кожного з трьох ретрансляторів існує окремий рівень шифрування, той, хто спостерігає за вашим інтернет-з’єднанням, не може змінити або прочитати те, що ви надсилаєте в мережу Tor. Ваш трафік шифрується між клієнтом Tor (на вашому комп’ютері) і місцем, де він з’являється в іншій частині світу.

А перший сервер бачить, хто я?

Можливо. Найперший, якщо він поганець, із трьох серверів може бачити зашифрований трафік Tor, що надходить з вашого комп’ютера. Проте він не знає, хто ви та що робите через Tor. Він просто бачить «Ця IP-адреса використовує Tor». Ви все ще захищені від того, щоб цей вузол з’ясував, хто ви, і що ви дивитесь в Інтернеті.

Хіба третій сервер не бачить мій трафік?

Можливо. Третій, якщо він поганець, з трьох серверів може бачити трафік, який ви надіслали в Tor. Але він не знатиме, хто відправив цей трафік. Якщо ви використовуєте шифрування (як-от HTTPS), сервер знатиме лише місце призначення. Перегляньте цю візуалізацію Tor та HTTPS, щоб зрозуміти, як Tor і HTTPS взаємодіють.

Так.

Програмне забезпечення Tor — це безплатне програмне забезпечення. Це означає, що ми надаємо вам права розповсюджувати програмне забезпечення Tor, модифіковане або незмінене, за плату або безплатно. Вам не потрібно просити у нас спеціального дозволу.

Однак, якщо ви хочете розповсюджувати програмне забезпечення Tor, ви повинні дотримуватися нашої ЛІЦЕНЗІЇ. По суті, це означає, що вам потрібно додавати файл нашої ЛІЦЕНЗІЇ до будь-якої частини програмного забезпечення Tor, яке ви розповсюджуєте.

Однак більшість людей, які ставлять нам це запитання, не мають на увазі розповсюдження лише програмного забезпечення Tor. Вони хочуть розповсюджувати саме Браузер Tor. Це включає Firefox Extended Support Release і розширення NoScript. Вам також потрібно буде дотримуватися ліцензії і на ці програми. Обидва ці розширення Firefox розповсюджуються за GNU General Public License, тоді як Firefox ESR випускається за Mozilla Public License. Найпростіший спосіб дотримуватися їхніх ліцензій — поширювати ці продукти разом з вихідним кодом цих програм.

Крім того, ви повинні переконатися, що не заплутуєте своїх користувачів щодо того, що таке Tor, хто його створює та які властивості він надає (і не надає). Щоб отримати докладнішу інформацію, перегляньте розділ поширені запитання про торгову марку.

Існує багато програм, які ви можете використовувати з Tor, але ми недостатньо добре досліджували питання анонімності на рівні програм, щоб дати конкретні рекомендації. У нашій wiki, яка підтримується спільнотою, є список інструкцій для Tor-орієнтованих застосунків. Будь ласка, поповнюйте цей список і допоможіть нам зберегти його точність!

Більшість людей використовує Tor Browser, який містить усе необхідне для безпечного перегляду вебсторінок за допомогою Tor. Використовувати Tor з іншими браузерами небезпечно і не рекомендується.

У Tor абсолютно точно немає жодних навмисно залишених вразливостей.

У нас є добрі юристи. Вони кажуть, що прохання вбудувати у Tor вразливість малоймовірне в нашій юрисдикції (США). Якщо хтось попросить нас про таке, ми будемо з ними боротися, й (за словами юристів), маємо виграти.

Ми ніколи не вбудовуватимемо вразливості у Tor. Ми вважаємо, що такі вразливості у Tor були б надзвичайно безвідповідальним кроком для наших користувачів та й поганим прецедентом для безпекового програмного забезпечення в цілому. Якщо ми коли-небудь свідомо додамо вразливість у наше безпекове програмне забезпечення, це зруйнує нашу професійну репутацію. Ніхто більше не довірятиме нашому програмному забезпеченню — з повним на то правом!

Але, незважаючи на це, є ще багато витончених атак, які зловмисники можуть спробувати. Хтось може видавати себе за нас, або зламати наші комп’ютери чи щось подібне. Tor – програмне забезпечення із відкритим кодом. Радимо завжди звірятися з джерелом (або хоча б уточнювати різницю з попередніми версіями), щоб унеможливити підозри. Якщо ми (або розповсюджувачі, які надали вам Tor) не надамо вам доступу до вихідного коду, це вірна ознака, що може відбуватися щось не те. Ви також повинні перевірити підписи PGP релізів, щоб переконатися, що ніхто не вліз у сайти дистриб'юторів.

Крім того, у Tor можуть бути ненавмисні помилки, які можуть вплинути на вашу анонімність. Ми періодично знаходимо та виправляємо помилки, пов’язані з анонімізацією, тому переконайтеся, що ваші версії Tor найновіші.

Tor (як і всі поточні конструкції анонімності з низькою затримкою) не працює, коли зловмисник може бачити обидва кінці каналу зв’язку. Наприклад, припустимо, що зловмисник контролює або спостерігає за ретранслятором Tor, який ви вибрали для входу в мережу, а також контролює або спостерігає за вебсайтом, який ви відвідуєте. Поки не існує надійного способу запобігти такій атаці, оскільки нападник може зіставити час та обсяг трафіку на вході та виході.

Отже, що нам робити? Припустимо, що зловмисник контролює або може спостерігати за кількістю ретрансляторів C. Припустимо, що загальна кількість ретрансляторів дорівнює N. Якщо при вході в мережу ви використовуєте випадкові вхідні та вихідні ретранслятори, то ймовірність, що нападник отримає доступ до вашого вхідного та вихідного трафіку дорівнює (С/N)2. Але профілювання для більшості користувачів так само погано, як і постійне відстеження: вони хочуть робити щось часто без стеження з боку противника, проте противник, який стежив один раз, так само погано, як і постійне стеження. Тому перемикання між випадковими вхідними та вихідними вузлами врешті-решт дозволить нападнику розпочати профілювання.

Рішення — «охоронці входу» або вхідні вузли: кожен клієнт Tor випадковим чином вибирає кілька вузлів для використання точками входу, і використовує лише ці вузли для першого переходу. Якщо ці вузли не контролюються або не відстежуються, противник ніколи не зможе перемогти, отже користувач у безпеці. Якщо ці вузли контролюються або відстежуються противником, він бачить більшу частину трафіку користувача, але шанси на профілювання користувача все одно невеликі. Таким чином, користувач має певний шанс (за формулою (n-c)/n) уникнути профілювання, тоді як раніше у нього його не було.

Ви можете прочитати більше в Аналізі деградації анонімних протоколів, Захисті анонімного обміну даними від пасивних атак журналювання, та, особливо, у Пошуці прихованих серверів.

Обмеження ваших вхідних вузлів також допомагає проти зловмисників, які хочуть запустити кілька вузлів Tor і легко облікувати всі IP-адреси користувачів Tor. (Попри те, що зловмисники не можуть дізнатися які сайти відвідують користувачі, вони все одно можуть їм нашкодити, маючи тільки список IP адрес.) Однак навіть обмеження кількості вхідних вузлів лише проміжний етап до системи керівних вузлів.

Tor використовує різноманітні ключі для трьох цілей: 1) шифрування для забезпечення конфіденційності даних у мережі Tor, 2) автентифікація, щоб клієнти знали, що вони обмінюються інформацією з тим ретранслятором, з яким вони мали намір це робити, та 3) підписи, щоб переконатися, що всі клієнти мають доступ до того ж самого набору ретрансляторів.

Шифрування: по-перше, усі з'єднання в Tor використовують шифрування протоколу TLS, тому спостерігачі не можуть зазирнути всередину, щоб побачити, до якої схеми направляється інформація. Далі, клієнт Tor встановлює недовговічний ключ шифрування для кожного ретранслятора у схемі; ці додаткові шари шифрування означають, що тільки вихідний ретранслятор може зчитувати дані. Обидві сторони скидають ключ схеми, коли схема закінчується, тому відстежування трафіку, а потім зламування ретранслятора для виявлення ключа, не працюватимуть.

Автентифікація: кожний ретранслятор Tor має відкритий ключ розшифровки, який називається «ключ onion». Кожен ретранслятор змінює свій ключ кожні чотири тижні. Коли клієнт Tor встановлює схеми, на кожному кроці він вимагає, щоб ретранслятор Tor підтвердив знання свого ключа onion. Таким чином, перший вузол шляху не може просто підробити решту шляху. Оскільки клієнт Tor вибирає шлях, він може переконатися, що отримує властивість Tor «розподілена довіра»: жоден ретранслятор на шляху не може знати ані про клієнта, ані про те, що клієнт робить.

Координація: як клієнти знають, що такий ретранслятор існує, і як вони знають, що у них є відповідні ключі? Кожен ретранслятор має довгостроковий відкритий ключ цифрового підпису, який називається «ключ ідентифікації». Кожен керівний сервер додатково має «керівний ключ цифрового підпису». Керівний сервер надає підписаний список усіх відомих ретрансляторів, і в цьому списку є набір сертифікатів для кожного ретранслятора (самостійно підписані їхнім ключем ідентичності) з зазначенням їхніх ключів, локацій, політики виходу тощо. Таким чином, якщо рекламодавець може контролювати більшість керівних серверів (станом на 2022 рік існує 8 керівних серверів), він зможе обманом змусити клієнт Tor використовувати інші ретранслятори Tor.

Звідки клієнти знають що таке керівний сервер?

Програмне забезпечення Tor постачається з вбудованим списком розташування та відкритим ключем для кожного керівного сервера. Таким чином, єдиний спосіб обдурити користувачів, щоб ті використовували підставну мережу Tor – це надати їм спеціально модифіковану версію програмного забезпечення.

Як користувачі дізнаються, що мають правильне програмне забезпечення?

Коли ми поширюємо вихідний код або пакунок, ми підписуємо його цифровим підписом з допомогою GNU Privacy Guard. Дивіться інструкції щодо перевірки підпису Tor Browser.

Щоб бути впевненим, що він дійсно підписаний нами, ви повинні зустрітися з нами особисто та отримати копію нашого відбитка ключа GPG, або вам потрібно знати когось, хто точно володіє таким відбитком. Якщо вас турбує атака на цьому рівні, ми рекомендуємо вам приєднатися до спільноти безпеки та почати обговорювати ці питання.

Tor змінює схему для нових потоків TCP кожні 10 хвилин, якщо ця схема працює без збоїв. (Якщо схема виходить з ладу, Tor негайно перемикається на нову схему.)

Однак застосунки, що використовують лише одне TCP-з'єднання (протокол IRC), використовуватимуть те саме з'єднання необмежено довго. Ми не переводимо окремі потоки від однієї схеми до іншої. Інакше супротивнику з можливістю часткового перегляду мережі з часом буде надано забагато шансів зв’язати вас із вашим сайтом призначення, а не лише один шанс.