Facebook på TOR. Der er en forklaring.

I dag afslørede Facebook hans skjulte tjeneste der giver brugerne adgang til dit websted mere omhyggeligt. Brugere og journalister har bedt os om vores svar; her er nogle punkter, der hjælper dig med at forstå vores mening.

Første del: Ja, at besøge Facebook på Tor er ikke en modsigelse

Jeg var ikke klar over, at jeg skulle inkludere dette afsnit, indtil jeg i dag hørte fra en journalist, der håbede på at få et tilbud fra mig om, hvorfor Tor-brugere ikke engang ville bruge Facebook. Bortset fra de (stadig meget vigtige) spørgsmål om Facebooks privatlivsvaner, deres skadelige virkelige politik, og om de skal fortælle dig noget om dig eller ej, er nøglen her, at anonymitet gemmer sig ikke kun fra dine destinationer.

Der er ingen grund til at lade din internetudbyder vide, hvornår eller hvis de besøger Facebook. Der er ingen grund til, at Facebooks upstream-internetudbyder eller ethvert bureau, der overvåger Internettet, ved, hvornår eller hvis de besøger Facebook. Og hvis du vælger at fortælle Facebook noget om dig, er der stadig ingen grund til at lade dem automatisk opdage den by, du befinder dig i, mens du gør det.

Vi skal også huske, at der er nogle steder, hvor Facebook ikke kan tilgås. Jeg talte med nogen fra sikkerhed på Facebook for nogen tid siden, der fortalte mig en sjov historie. Da han først mødte Tor, hadede han og frygtede det, fordi han "klart" havde til hensigt at underminere deres forretningsmodel om at lære alt om deres brugere. Derefter blokerer Iran pludselig Facebook, en god del af den persiske befolkning på Facebook skiftede til at få adgang til Facebook via Tor, og han blev en fan af Tor, fordi ellers ville disse brugere være blevet hacket. Andre lande som Kina fulgte et lignende mønster efter det. Det skift i hans sind mellem "Tor som et privatlivsværktøj, der giver brugerne mulighed for at kontrollere deres egne data" og "Tor som et kommunikationsværktøj, der giver brugerne friheden til at vælge, hvilke websteder de vil besøge" er et godt eksempel på mangfoldigheden af ​​Tor brugerUanset hvad du tænker på, hvad Tor er til, garanterer jeg, at der er en person, der bruger det til noget, du ikke har overvejet.

Del to: Vi er glade for at se en bredere anvendelse af skjulte tjenester

Jeg synes det er dejligt for Tor, at Facebook tilføjede en .onion-adresse. Der er nogle overbevisende brugssager for skjulte tjenester: for eksempel dem, der er beskrevet i «ved hjælp af Tor's skjulte tjenester for godt«, Samt de kommende decentrale chatværktøjer som Ricochet, hvor hver bruger er en skjult tjeneste, så der er ikke noget centralt punkt at spionere for at gemme data. Men vi har ikke offentliggjort disse eksempler meget, især i forhold til den omtale, som eksemplerne "Jeg har et websted, som regeringen vil lukke" har haft i de seneste år.

Skjulte tjenester de giver en række nyttige sikkerhedsegenskaber. Den første - og den, der mest tænker - fordi design bruger Tor kredsløb, er det svært at finde ud af, hvor tjenesten er placeret i verden. Men det andet, fordi adressen på en tjeneste er hash af din nøgle, de er selvgodkendende: hvis de indtaster en given .onion-adresse, garanterer din Tor-klient, at den faktisk taler til den service, der kender den private nøgle, der svarer til adressen. En dejlig tredje funktion er, at rendezvous-processen giver ende-til-ende-kryptering, selv når applikationsniveau trafik er ukrypteret.

Så jeg er begejstret for, at dette Facebook-træk hjælper med at fortsætte med at åbne folks sind for, hvorfor de ønsker at tilbyde en skjult tjeneste og hjælpe andre med at tænke på flere nye anvendelser til de skjulte tjenester.

En anden god implikation her er, at Facebook forpligter sig til at tage sine Tor-brugere seriøst. Hundredtusinder af mennesker har med succes brugt Facebook på Tor i årevis, men i nutidens tidsalder af tjenester som Wikipedia der vælger ikke at acceptere bidrag fra brugere, der er interesserede i privatlivets fredDet er forfriskende og opmuntrende at se et stort websted beslutte, at det er okay, at brugerne ønsker mere fysisk sikkerhed.

Som et tillæg til den optimisme ville det være trist, hvis Facebook tilføjede en skjult tjeneste, havde et problem med trolde og besluttede, at de skulle forhindre Tor-brugere i at bruge deres gamle adresse. https://www.facebook.com/. Så vi skal være opmærksomme på at hjælpe Facebook med at fortsætte med at give Tor-brugere adgang til dem via enhver adresse.

Del tre: din forgæves adresse betyder ikke, at verden er forbi

Navnet på din skjulte tjeneste er "facebookcorewwwi.onion". For at være hash af en offentlig nøgle virker det bestemt ikke tilfældigt. Mange mennesker spurgte, hvordan de kunne klare sig brute force over hele navnet.

Det korte svar er, at de i første halvdel ("facebook"), som kun er 40 bit, genererede nøgler igen og igen, indtil de fik nogle, hvis første 40 bit af hash matchede den streng, de ønskede.

Derefter havde de nogle nøgler, hvis navne begyndte med "facebook", og de så på anden halvdel af hver for at vælge dem med udtalt og derfor mindeværdig stavelse. Den "corewwwi" virkede dem bedst - hvilket betyder at de kunne komme med en Historie om hvorfor det er et rimeligt navn for Facebook at bruge - og de gik efter hende.

Så for at præcisere, ville de ikke være i stand til nøjagtigt at producere dette navn igen, hvis de ville. De kunne producere andre hashes, der starter med "facebook" og slutter med udtalt stavelser, men det er ikke brutal kraft på hele det skjulte servicenavn (alle 80 bits). For dem, der ønsker at udforske matematik yderligere, skal du læse om «fødselsdagsangreb«. Og for dem, der ønsker at lære (hjælp venligst!) Om de forbedringer, vi gerne vil gøre for de skjulte tjenester, herunder stærkere adgangskoder og navne, se «skjulte tjenester har brug for kærlighed"og Tor 224-forslaget.

Del fire: Hvad synes vi om et https-certifikat til en .onion-adresse?

Facebook oprettede ikke bare en skjult tjeneste. De fik også et https-certifikat til deres skjulte tjeneste, og det er underskrevet af Digicert, så deres browsere accepterer det. Denne beslutning frembragte nogle livlige diskussioner i CA / Browser-samfundet, der bestemmer, hvilken slags navne der kan have officielle certifikater. Denne diskussion er stadig i gang, men det er mine tidlige synspunkter på dette.

For: Vi, internetsikkerhedsfællesskabet, lærer folk, at https er nødvendigt, og at http er skræmmende. Så det giver mening, at brugerne vil se strengen "https" foran.

Ulempe: .onion-håndtrykket giver dybest set alt dette gratis, så ved at tilskynde folk til at betale Digicert styrker vi certificeringsforretningsmodellen, når vi måske fortsætter med at demonstrere et alternativ.

Til fordel: Faktisk tilbyder https lidt mere, i det tilfælde hvor tjenesten (Facebook-serverfarmen) ikke er på samme sted som Tor-programmet. Husk, at det ikke er et krav, at webserveren og Tor-processen er på den samme maskine, og i en kompliceret konfiguration som Facebook burde de sandsynligvis ikke være. Man kan argumentere for, at denne sidste kilometer er inde i dit virksomheds netværk, så hvem er ligeglad med, hvis den ikke er krypteret, men jeg tror, ​​at sætningen "ssl tilføjet og fjernet der" vil afslutte dette argument.

Ulemper: Hvis et websted får et certifikat, forstærker det yderligere for brugerne, at det er "nødvendigt", og derefter begynder brugerne at spørge andre websteder, hvorfor de ikke har et. Jeg er bekymret for, at en mode begynder, hvor du skal betale Digicert-penge for at have en skjult tjeneste, ellers vil de ikke synes, det er mistænkeligt - især da skjulte tjenester, der værdsætter deres anonymitet, ville have svært ved at have et certifikat.

Et alternativ ville være at fortælle Tor Browser, at .onion-adresser med https ikke fortjener en skræmmende pop op-advarsel. En mere omhyggelig tilgang i den retning er at have en måde, hvorpå en skjult tjeneste kan generere sit eget https-certifikat underskrevet med sin private løgnøgle og fortælle Tor Browser, hvordan man verificerer dem - dybest set en decentral CA for .onion-adresser, da de er auto-godkendere. Så behøver de ikke at gå igennem vrøvlet med at foregive at se, om de kan læse e-mails på domænet og generelt fremme den nuværende CA-model.

Vi kunne også forestille os en model af kæledyrsnavne hvor brugeren kan fortælle deres Tor Browser, at denne .onion-adresse "er" Facebook. Eller den mere ligefremme tilgang ville være at bringe en liste over "kendte" skjulte servicebogmærker i Tor Browser - som vores egen CA ved hjælp af den gamle / etc / hosts-model. Denne tilgang vil rejse det politiske spørgsmål om, hvilke websteder vi skal støtte.

Så jeg har endnu ikke besluttet mig for, hvilken retning jeg synes, denne diskussion skal tage. Jeg sympatiserer med "vi lærer brugerne at tjekke https, så lad os ikke forveksle dem", men jeg bekymrer mig også om den glatte situation, hvor at få en certificering bliver et nødvendigt skridt for at have en velrenommeret service. Fortæl os, hvis du har andre overbevisende argumenter for eller imod.

Del fem: Hvad er der tilbage at gøre?

Med hensyn til både design og sikkerhed, skjulte tjenester har stadig brug for kærlighed. Vi har planer om forbedret design (se Tor 224-forslaget) men vi har ikke nok midler eller udviklere til at få det til at ske. Vi talte med nogle Facebook-ingeniører i denne uge om pålideligheden og skalerbarheden af ​​den skjulte tjeneste, og vi er glade for, at Facebook overvejer at lægge udviklingsindsats for at forbedre de skjulte tjenester.

Og endelig, når jeg taler om at lære folk om sikkerhedsfunktionerne på .onion-websteder, spekulerer jeg på, om "skjulte tjenester" ikke længere er den bedste sætning her. Vi kaldte dem oprindeligt "skjulte placeringstjenester", som hurtigt blev forkortet til bare "skjulte tjenester". Men at beskytte tjenestens placering er kun en af ​​de sikkerhedsfunktioner, de har. Måske skulle vi have en konkurrence om at udlænke et nyt navn til disse beskyttede tjenester? Selv noget som "løgstjenester" kan være bedre, hvis de tvinger folk til at lære, hvad de er.