Facebook в TOR. Есть объяснение.

Сегодня Facebook показал его скрытая служба что позволяет пользователям более тщательно заходить на ваш сайт. Пользователи и журналисты просили нас дать ответы; вот несколько моментов, которые помогут вам понять наше мнение.

Часть первая: Да, посещение Facebook через Tor - не противоречие

Я не понимал, что должен включать этот раздел, до сегодняшнего дня я получил известие от журналиста, который надеялся получить от меня цитату о том, почему пользователи Tor даже не используют Facebook. Оставляя в стороне (все еще очень важные) вопросы о привычках Facebook в отношении конфиденциальности, их вредоносной политике использования настоящих имен и о том, должны ли они рассказывать вам что-нибудь о вас, главное здесь то, что анонимность - это не просто скрытие от мест назначения.

Нет причин сообщать вашему интернет-провайдеру, когда или если они посещают Facebook. У вышестоящего интернет-провайдера Facebook или какого-либо агентства, контролирующего Интернет, нет причин знать, когда или посещают ли они Facebook. И если вы решите рассказать Facebook что-то о себе, по-прежнему нет причин позволять им автоматически обнаруживать город, в котором вы находитесь.

Также мы должны помнить, что есть места, куда нельзя попасть на Facebook. Некоторое время назад я разговаривал с кем-то из службы безопасности на Facebook, и он рассказал мне забавную историю. Когда он впервые встретился с Tor, он ненавидел и боялся этого, потому что он «явно» намеревался подорвать их бизнес-модель, чтобы узнать все о своих пользователях. Затем Иран внезапно блокирует Facebook, значительная часть персидского населения Facebook переключилась на доступ к Facebook через Tor, и он стал поклонником Tor, потому что в противном случае эти пользователи были бы взломаны. Другие страны, такие как Китай, после этого последовали аналогичной схеме. Этот сдвиг в его мыслях между «Tor как инструмент обеспечения конфиденциальности, позволяющий пользователям контролировать свои собственные данные» и «Tor как инструмент связи, дающий пользователям свободу выбора сайтов для посещения» является отличным примером разнообразие использования TorЧто бы вы ни думали о том, для чего нужен Tor, я гарантирую, что найдется человек, который использует его для чего-то, о чем вы не задумывались.

Часть вторая: мы рады видеть более широкое внедрение скрытых сервисов

Я думаю, что для Tor это здорово, что Facebook добавил адрес .onion. Есть несколько убедительных примеров использования скрытых сервисов: например, описанные в «использовать скрытые сервисы Tor во благо«, А также предстоящие децентрализованные инструменты чата, такие как Ricochet, где каждый пользователь является скрытой службой, поэтому нет центральной точки для шпионажа для сохранения данных. Но мы не особо публиковали эти примеры, особенно по сравнению с той рекламой, которую получили в последние годы примеры «У меня есть веб-сайт, которые правительство хочет закрыть».

Скрытые услуги они обеспечивают множество полезных свойств безопасности. Первый - и тот, о котором думают многие, - потому что в дизайне используются Схемы Tor, трудно определить, где находится служба в мире. Но второе, потому что адрес службы хеш вашего ключа, они само-аутентифицируются: если они вводят заданный адрес .onion, ваш Tor-клиент гарантирует, что он действительно обращается к службе, которая знает закрытый ключ, соответствующий этому адресу. Третья приятная особенность заключается в том, что процесс рандеву обеспечивает сквозное шифрование, даже если трафик на уровне приложений не зашифрован.

Поэтому я рад, что этот шаг Facebook поможет и дальше открывать умы людей, почему они хотят предлагать скрытые услуги, и поможет другим придумать новые способы использования скрытых услуг.

Еще одно хорошее значение здесь состоит в том, что Facebook серьезно относится к своим пользователям Tor. Сотни тысяч людей успешно используют Facebook на Tor в течение многих лет, но в наш век таких сервисов, как Википедия которые предпочитают не принимать взносы от пользователей, заботящихся о конфиденциальностиЭто освежает и обнадеживает, когда крупный веб-сайт решает, что его пользователи могут хотеть большей физической безопасности.

В качестве дополнения к этому оптимизму было бы грустно, если бы Facebook добавил скрытую службу, имел проблемы с троллями и решил, что они должны запретить пользователям Tor использовать их старый адрес. https://www.facebook.com/. Поэтому мы должны проявлять бдительность, помогая Facebook продолжать разрешать пользователям Tor получать к ним доступ с любого адреса.

Часть третья: ваш напрасный адрес не означает, что миру конец

Имя вашей скрытой службы - facebookcorewwwi.onion. Чтобы быть хешем открытого ключа, он не кажется случайным. Многие люди спрашивали, как они могут грубая сила по всему названию.

Короткий ответ заключается в том, что для первой половины («facebook»), которая составляет всего 40 бит, они генерировали ключи снова и снова, пока не получили те, чьи первые 40 бит хеша совпали с нужной строкой.

Затем у них было несколько ключей, имена которых начинались с «facebook», и они посмотрели на вторую половину каждого из них, чтобы выбрать те, которые имеют произносимые и, следовательно, запоминающиеся слоги. "Corewwwi" казался им лучшим - то есть они могли прийти с история о том, почему это разумное имя для Facebook - и они пошли за ней.

Чтобы уточнить, они не смогли бы воспроизвести это имя снова, если бы захотели. Они могут создавать другие хэши, которые начинаются на «facebook» и заканчиваются произносимыми слогами, но это не грубая сила для всего имени скрытой службы (все 80 бит). Для тех, кто хочет глубже изучить математику, прочтите статью «атака на день рождения«. А для тех, кто хочет узнать (пожалуйста, помогите!) Об улучшениях, которые мы хотели бы внести в скрытые службы, включая более надежные пароли и имена, см. «скрытые услуги нуждаются в привязанности«и предложение Tor 224.

Часть четвертая: что мы думаем о сертификате https для адреса .onion?

Facebook не просто создал скрытый сервис. Они также получили https-сертификат для своей скрытой службы, подписанный Digicert, поэтому их браузеры примут его. Это решение произвело оживленные дискуссии в сообществе CA / Browser, которое решает, какие имена могут иметь официальные сертификаты. Это обсуждение все еще находится в разработке, но это мои первые взгляды на это.

Для: Мы, сообщество интернет-безопасности, учим людей, что https необходим, а http - это страшно. Поэтому логично, что пользователи хотят видеть впереди строку «https».

Против: рукопожатие .onion в основном дает все это бесплатно, поэтому, поощряя людей платить Digicert, мы усиливаем бизнес-модель сертификации, хотя, возможно, нам следует продолжать демонстрировать альтернативу.

За: действительно, https предлагает немного больше, в случае, если сервис (ферма серверов Facebook) находится не в том же месте, что и программа Tor. Помните, что веб-сервер и процесс Tor не обязательно должны находиться на одном компьютере, а в сложной конфигурации, такой как Facebook, этого, вероятно, не должно быть. Кто-то может возразить, что эта последняя миля находится внутри вашей корпоративной сети, так что кого волнует, не зашифрована ли она, но я думаю, что фраза «ssl добавлен и удален там» положит конец этому аргументу.

Минусы: если сайт получит сертификат, это еще больше убедит пользователей, что он «необходим», и тогда пользователи начнут спрашивать другие сайты, почему у них его нет. Я опасаюсь, что начнется прихоть, когда вам нужно будет заплатить Digicert деньги за скрытый сервис, иначе они не сочтут это подозрительным - тем более, что скрытым сервисам, которые ценят свою анонимность, будет сложно получить сертификат.

Альтернативой было бы сообщить браузеру Tor, что адреса .onion с https не заслуживают страшного всплывающего предупреждения. Более тщательный подход в этом направлении - создать способ для скрытой службы генерировать свой собственный https-сертификат, подписанный его луковым закрытым ключом, и сообщать браузеру Tor, как их проверять - по сути, это децентрализованный ЦС для адресов .onion, поскольку они автоаутентификаторы. Тогда им не нужно будет заниматься чепухой, притворяться, будто они могут читать электронные письма в домене, и вообще продвигать текущую модель CA.

Мы также могли представить себе модель имена домашних животных где пользователь может сообщить своему браузеру Tor, что этот адрес .onion "принадлежит" Facebook. Или более простой подход - внести в браузер Tor список «известных» скрытых сервисных закладок - таких как наш собственный центр сертификации, используя старую модель / etc / hosts. Такой подход поднимет политический вопрос о том, какие сайты мы должны поддерживать.

Так что я еще не решил, в каком направлении, по моему мнению, должна развиваться эта дискуссия. Я поддерживаю принцип «мы учим пользователей проверять https, поэтому не будем их путать», но меня также беспокоит скользкая ситуация, когда получение сертификата становится необходимым шагом для получения надежного сервиса. Сообщите нам, если у вас есть другие веские аргументы за или против.

Часть пятая: что остается делать?

Что касается дизайна и безопасности, скрытые службы все еще нуждаются в любви. У нас есть планы по улучшению дизайна (см. предложение Tor 224), но у нас нет достаточно средств или разработчиков, чтобы это произошло. На этой неделе мы говорили с некоторыми инженерами Facebook о надежности и масштабируемости скрытых служб, и мы очень рады, что Facebook рассматривает возможность разработки, чтобы помочь улучшить скрытые службы.

И, наконец, говоря об обучении людей функциям безопасности сайтов .onion, я задаюсь вопросом, не является ли здесь «скрытые сервисы» лучшим выражением. Первоначально мы называли их «службами скрытого местоположения», что было быстро сокращено до «скрытых служб». Но защита местоположения службы - лишь одна из функций безопасности, которыми они обладают. Может быть, нам стоит провести конкурс на розыгрыш нового названия для этих защищенных сервисов? Даже что-то вроде «луковых услуг» может быть лучше, если они заставят людей узнать, что они собой представляют.