TOR'da Facebook. Bir açıklama var.

Bugün Facebook ortaya çıktı onun gizli servisi bu, kullanıcıların web sitenize daha dikkatli bir şekilde erişmesini sağlar. Kullanıcılar ve gazeteciler bizden cevaplarımızı sordu; Fikrimizi anlamanıza yardımcı olacak bazı noktalar burada.

Birinci bölüm: Evet, Facebook'u Tor'da ziyaret etmek bir çelişki değil

Bu bölümü eklemem gerektiğini fark etmemiştim, bugüne kadar bir gazeteciden Tor kullanıcılarının neden Facebook'u kullanmayacağına dair benden bir alıntı almayı uman bir haber aldım. Facebook'un gizlilik alışkanlıkları, zararlı gerçek isim politikaları ve size hakkınızda herhangi bir şey söyleyip söylememeleri hakkındaki (hala çok önemli) soruları bir kenara bırakırsak, buradaki kilit nokta şudur: anonimlik sadece hedeflerinizden saklanmak değildir.

İSS'nize Facebook'u ne zaman veya ziyaret ettiklerini bildirmeniz için hiçbir neden yoktur. Facebook'un yukarı akış ISS'sinin veya İnternet'i izleyen herhangi bir ajansın Facebook'u ne zaman veya ziyaret ettiklerini bilmeleri için hiçbir neden yoktur. Ve Facebook'a kendinizden bahsetmeyi seçerseniz, bunu yaparken bulunduğunuz şehri otomatik olarak keşfetmelerine izin vermeniz için hala bir neden yok.

Ayrıca, Facebook'a erişilemeyen bazı yerler olduğunu da unutmamalıyız. Bir süre önce Facebook'ta güvenlikten biriyle konuştum ve bana komik bir hikaye anlattı. Tor'la ilk tanıştığında ondan nefret ediyordu ve ondan korkuyordu çünkü "açıkça" onun kullanıcıları hakkında her şeyi öğrenmeye yönelik iş modelini zayıflatmayı amaçlamıştı. Sonra aniden İran Facebook'u engelledi, Facebook'taki Fars nüfusunun önemli bir kısmı Tor aracılığıyla Facebook'a erişmeye başladı ve Tor hayranı oldu çünkü aksi takdirde bu kullanıcılar saldırıya uğrayacaktı. Çin gibi diğer ülkeler de bundan sonra benzer bir yol izledi. "Kullanıcıların kendi verilerini kontrol etmelerine izin veren bir gizlilik aracı olarak Tor" ve "kullanıcılara hangi siteleri ziyaret edeceklerini seçme özgürlüğü veren bir iletişim aracı olarak Tor" arasındaki bu değişim, Tor kullanımlarının çeşitliliğiTor'un ne için olduğu hakkında ne düşünürseniz düşünün, onu düşünmediğiniz bir şey için kullanan bir kişi olduğunu garanti ederim.

İkinci bölüm: Gizli hizmetlerin daha geniş çapta benimsendiğini görmekten mutluyuz

Facebook'un bir .onion adresi eklemesinin Tor için harika olduğunu düşünüyorum. Gizli hizmetler için bazı zorlayıcı kullanım durumları vardır: örneğin, «Tor'un gizli hizmetlerini iyilik için kullanmak«, Her kullanıcının gizli bir hizmet olduğu Ricochet gibi yeni çıkacak merkezi olmayan sohbet araçlarının yanı sıra, verileri kaydetmek için casusluk yapmanın merkezi bir noktası yoktur. Ancak bu örnekleri, özellikle son yıllarda “hükümetin kapatmak istediği bir web sitem var” örneklerinin yaptığı tanıtımla karşılaştırıldığında çok fazla duyurmadık.

Gizli hizmetler çeşitli yararlı güvenlik özellikleri sağlarlar. İlk ve en çok düşünen - çünkü tasarım Tor devrelerihizmetin dünyanın neresinde olduğunu keşfetmek zor. Ama ikincisi, çünkü bir hizmetin adresi anahtarınızın karması, kendi kimlik doğrulamasını yaparlar: Verilen bir .onion adresini yazarlarsa, Tor istemciniz, adrese karşılık gelen özel anahtarı bilen hizmetle konuştuğunu garanti eder. Üçüncü iyi bir özellik, buluşma sürecinin, uygulama düzeyinde trafik şifrelenmemiş olsa bile uçtan uca şifreleme sağlamasıdır.

Bu yüzden, bu Facebook hareketinin, insanların neden gizli bir hizmet sunmak istediklerine dair zihinlerini açmaya devam etmesine ve başkalarının gizli hizmetler için daha fazla yeni kullanım düşünmesine yardımcı olacağından heyecan duyuyorum.

Buradaki bir başka iyi sonuç, Facebook'un Tor kullanıcılarını ciddiye alma taahhüdü vermesidir. Yüzbinlerce insan Facebook'u Tor'da yıllardır başarıyla kullanıyor, ancak günümüzün Wikipedia gibi hizmetler çağında gizliliği önemseyen kullanıcıların katkılarını kabul etmemeyi seçenlerKullanıcılarının daha fazla fiziksel güvenlik istemesinin uygun olduğuna karar veren büyük bir web sitesi görmek ferahlatıcı ve cesaret verici.

Bu iyimserliğin bir eki olarak, Facebook'un gizli bir servis eklemesi, trollerle ilgili bir sorunu olması ve Tor kullanıcılarının eski adreslerini kullanmasını engellemesi üzücü olurdu. https://www.facebook.com/. Bu nedenle Facebook'un Tor kullanıcılarının herhangi bir adresten onlara erişmesine izin vermeye devam etmesine yardımcı olma konusunda dikkatli olmalıyız.

Üçüncü Bölüm: Boş adresiniz dünyanın bittiği anlamına gelmez

Gizli servisinizin adı "facebookcorewwwi.onion" dur. Bir genel anahtarın karması olmak için, kesinlikle rastgele görünmüyor. Birçok insan nasıl yapabileceklerini soruyordu kaba kuvvet tüm adın üzerine.

Kısa cevap, sadece 40 bit olan ilk yarı için ("facebook"), hash'in ilk 40 biti istedikleri dizgeyle eşleşen bazılarını elde edene kadar anahtarları tekrar tekrar oluşturduklarıdır.

Daha sonra isimleri "facebook" ile başlayan bazı anahtarları vardı ve her birinin ikinci yarısına bakarak telaffuz edilebilir ve dolayısıyla akılda kalıcı heceli olanları seçtiler. "Corewwwi" onlar için en iyisi gibi görünüyordu - yani bir Tarih Facebook için neden makul bir isim olduğu konusunda - ve onun için gittiler.

Yani açıklığa kavuşturmak için, isteseler bu adı bir daha tam olarak üretmeleri mümkün olmayacaktı. "Facebook" ile başlayan ve telaffuz edilebilir hecelerle biten başka hashler üretebilirler, ancak bu, tüm gizli servis adında (80 bitin tümü) kaba kuvvet değildir. Matematiği daha fazla keşfetmek isteyenler için, «doğum günü saldırısı«. Ve öğrenmek isteyenler için (lütfen yardım edin!) Gizli servislerde yapmak istediğimiz iyileştirmeler hakkında, daha güçlü şifreler ve isimler dahil, bkz. «gizli servislerin sevgiye ihtiyacı var"ve Tor 224 önerisi.

Dördüncü bölüm: .onion adresi için bir https sertifikası hakkında ne düşünüyoruz?

Facebook sadece gizli bir hizmet sunmadı. Ayrıca gizli hizmetleri için bir https sertifikası aldılar ve tarayıcılarının kabul etmesi için Digicert tarafından imzalandı. Bu karar bazı üretti canlı tartışmalar CA / Tarayıcı topluluğunda, hangi tür adların resmi sertifikalara sahip olabileceğine karar verir. Bu tartışma hala devam ediyor, ancak bunlar benim bu konudaki ilk görüşlerim.

Çünkü: İnternet güvenliği topluluğu olarak insanlara https'nin gerekli olduğunu ve http'nin korkutucu olduğunu öğretiyoruz. Bu nedenle, kullanıcıların "https" dizesini en baştan görmek istemesi mantıklıdır.

Eksileri: .onion anlaşması temelde bunların hepsini ücretsiz olarak veriyor, bu yüzden insanları Digicert'e ödeme yapmaya teşvik ederek, belki de bir alternatif göstermeye devam etmemiz gerektiğinde sertifikasyon iş modelini güçlendiriyoruz.

Lehine: Aslında https, hizmetin (Facebook sunucu grubu) Tor programı ile aynı yerde olmaması durumunda biraz daha fazlasını sunar. Web sunucusunun ve Tor işleminin aynı makinede olmasının bir gereklilik olmadığını ve Facebook gibi karmaşık bir yapılandırmada muhtemelen olmamaları gerektiğini unutmayın. Bu son milin kurumsal ağınızın içinde olduğu iddia edilebilir, bu yüzden şifrelenmemiş olması kimin umurunda, ama bence "ssl orada eklendi ve kaldırıldı" ifadesi bu tartışmayı sona erdirecek.

Eksileri: Bir site bir sertifika alırsa, kullanıcılara bunun "gerekli" olduğunu daha da güçlendirecek ve daha sonra kullanıcılar diğer sitelere neden sertifika almadıklarını sormaya başlayacaklar. Gizli bir hizmete sahip olmak için Digicert'e para ödemeniz gereken yerde bir heves başladığından veya şüpheli olduğunu düşünmeyeceklerinden endişeleniyorum - özellikle de anonimliğine değer veren gizli hizmetler sertifika almakta zorlanacak.

Bir alternatif, Tor Browser'a https içeren .onion adreslerinin korkutucu bir pop-up uyarısını hak etmediğini söylemek olabilir. Bu yönde daha titiz bir yaklaşım, gizli bir hizmetin soğan özel anahtarıyla imzalanmış kendi https sertifikasını oluşturması ve Tor Browser'a bunları nasıl doğrulayacağını söylemesidir - temelde .onion adresleri için merkezi olmayan bir CA, çünkü bunlar otomatik kimlik doğrulayıcılar. O zaman, etki alanındaki e-postaları okuyup okuyamayacaklarını ve genel olarak mevcut CA modelini tanıyıp okuyamayacaklarını varsaymak gibi saçmalıklardan geçmeleri gerekmez.

Bir model de hayal edebiliriz Evcil Hayvan isimleri kullanıcı Tor Tarayıcıya bu .onion adresinin "Facebook" olduğunu söyleyebilir. Ya da daha basit bir yaklaşım, eski / etc / hosts modelini kullanarak kendi CA'mız gibi "bilinen" gizli hizmet yer imlerinin bir listesini Tor Tarayıcı'ya getirmek olabilir. Bu yaklaşım, hangi siteleri desteklememiz gerektiğine dair siyasi soruyu gündeme getirecektir.

Bu nedenle, bu tartışmanın hangi yöne gitmesi gerektiğine karar vermedim. "Kullanıcılara https'yi kontrol etmeyi öğretiyoruz, bu yüzden kafalarını karıştırmayalım" ifadesini destekliyorum, ancak aynı zamanda bir sertifika almanın saygın bir hizmete sahip olmak için gerekli bir adım haline geldiği kaygan durum için de endişeleniyorum. Lehinde veya aleyhinde başka ikna edici argümanlarınız varsa bize bildirin.

Beşinci Bölüm: Ne Yapmalı?

Hem tasarım hem de güvenlik açısından, gizli servislerin hala sevgiye ihtiyacı var. Geliştirilmiş tasarımlar için planlarımız var (bkz. Tor 224 önerisi) ancak bunu gerçekleştirmek için yeterli paramız veya geliştiricimiz yok. Bu hafta bazı Facebook mühendisleriyle gizli hizmetin güvenilirliği ve ölçeklenebilirliği hakkında konuşuyorduk ve Facebook'un gizli hizmetleri iyileştirmeye yardımcı olmak için geliştirme çabası göstermeyi düşünmesinden heyecan duyuyoruz.

Ve son olarak, insanlara .onion sitelerinin güvenlik özelliklerini öğretmekten bahsetmişken, "gizli hizmetler" in artık buradaki en iyi ifade olup olmadığını merak ediyorum. Bunlara başlangıçta "gizli konum hizmetleri" adını verdik ve kısa sürede kısaltarak yalnızca "gizli hizmetler" olarak adlandırıldı. Ancak hizmetin konumunu korumak, sahip oldukları güvenlik özelliklerinden yalnızca biridir. Belki de bu korumalı hizmetler için yeni bir isim için bir yarışma yapmalıyız? "Soğan hizmetleri" gibi bir şey bile insanları ne olduklarını öğrenmeye zorlarsa daha iyi olabilir.