Facebook на TOR. Є пояснення.

Сьогодні Facebook розкрив його прихована служба що дозволяє користувачам більш обережно отримати доступ до вашого веб-сайту. Користувачі та журналісти просили нас відповісти; ось кілька моментів, які допоможуть вам зрозуміти нашу думку.

Частина перша: Так, відвідування Facebook на Tor не є суперечливістю

Я не розумів, що повинен включати цей розділ, до сьогодні я почув від журналіста, який сподівався отримати від мене цитату про те, чому користувачі Tor навіть не користуються Facebook. Залишаючи осторонь (все ще дуже важливі) питання щодо звичок конфіденційності Facebook, їх шкідливої ​​політики щодо справжнього імені та того, чи повинні вони розповідати вам що-небудь про вас, головне тут полягає в тому, що анонімність - це не просто приховування від ваших напрямків.

Немає причин повідомляти свого постачальника послуг Інтернету, коли або якщо ви відвідуєте Facebook. Немає підстав для провайдера Facebook або будь-якого відомства, яке здійснює моніторинг Інтернету, знати, коли вони відвідують Facebook або якщо вони їх відвідують. І якщо ви вирішите сказати Facebook щось про себе, все одно немає підстав дозволяти їм автоматично виявляти місто, в якому ви перебуваєте.

Крім того, ми повинні пам’ятати, що є деякі місця, де недоступний Facebook. Деякий час тому я розмовляв з кимось із безпеки у Facebook, який розповів мені смішну історію. Коли він вперше зустрів Тор, він ненавидів це і боявся цього, оскільки він "явно" мав на меті підірвати його бізнес-модель - дізнатися все про своїх користувачів. Потім раптом Іран блокує Facebook, значна частина персидського населення у Facebook перейшла на доступ до Facebook через Tor, і він став шанувальником Tor, оскільки в іншому випадку цих користувачів було б зламано. Інші країни, такі як Китай, дотримувались подібної моделі після цього. Цей перехід у його свідомості між "Tor як інструмент конфіденційності, що дозволяє користувачам контролювати власні дані" та "Tor як інструмент комунікації, що дає користувачам свободу вибору сайтів, які потрібно відвідати" є чудовим прикладом різноманітність використання TorЩо б ви не думали про те, для чого призначений Tor, я гарантую, що є людина, яка використовує його для чогось, про що ви не розглядали.

Частина друга: ми раді бачити більш широке впровадження прихованих послуг

Я думаю, що для Tor чудово, що Facebook додав адресу .onion. Є кілька вагомих випадків використання прихованих служб: наприклад, описані в «використання прихованих сервісів Tor назавжди«, А також майбутні децентралізовані інструменти чату, такі як Ricochet, де кожен користувач є прихованою службою, тому немає центральної точки, щоб слідкувати за збереженням даних. Але ми не надто оприлюднювали ці приклади, особливо порівняно з публічністю, яку мали приклади “У мене є веб-сайт, який уряд хоче закрити” протягом останніх років.

Приховані послуги вони надають різноманітні корисні властивості захисту. Перший - і той, хто найбільше думає, - тому що дизайн використовує Тор-схеми, важко виявити, де служба знаходиться у світі. Але друге, бо адреса служби така хеш вашого ключа, вони самостійно аутентифікуються: якщо вони вводять дану адресу .onion, ваш клієнт Tor гарантує, що він насправді розмовляє зі службою, яка знає приватний ключ, який відповідає цій адресі. Хороша третя особливість полягає в тому, що процес рандеву забезпечує наскрізне шифрування, навіть коли трафік на рівні програми незашифрований.

Тож я радий, що цей крок у Facebook допоможе продовжувати відкривати розум людей щодо того, чому вони хочуть пропонувати приховану послугу, та допоможе іншим подумати про нові способи використання прихованих послуг.

Ще одним хорошим наслідком є ​​те, що Facebook зобов’язується серйозно сприймати своїх користувачів Tor. Сотні тисяч людей роками успішно використовують Facebook на Tor, але в сучасний вік таких служб, як Вікіпедія які вирішили не приймати внески від користувачів, які дбають про конфіденційністьЦе освіжає і підбадьорює бачити великий веб-сайт, який вирішує, що його користувачам нормально бажати більшої фізичної безпеки.

Як додаток до цього оптимізму було б сумно, якби Facebook додав приховану послугу, мав проблеми з тролями та вирішив, що вони повинні заборонити користувачам Tor використовувати свою стару адресу. https://www.facebook.com/. Тож ми повинні бути пильними, допомагаючи Facebook продовжувати дозволяти користувачам Tor доступ до них через будь-яку адресу.

Частина третя: ваша марна адреса не означає, що світ закінчився

Назва вашої прихованої послуги - "facebookcorewwwi.onion". Оскільки це хеш відкритого ключа, це, здається, не здається випадковим. Багато людей запитували, як вони можуть це зробити груба сила над цілою назвою.

Коротка відповідь полягає в тому, що протягом першої половини ("facebook"), а це лише 40 біт, вони знову і знову генерували ключі, поки не отримали ті, чиї перші 40 бітів хешу відповідали рядку, який вони бажали.

Потім у них були кілька ключів, імена яких починалися на "facebook", і вони переглядали другу половину кожного, щоб вибрати ті, що мають яскраво виражені, а отже, і запам'ятовуються склади. "Corewwwi" здався їм найкращим - тобто вони могли прийти з Історія про те, чому це розумна назва для Facebook - і вони пішли за нею.

Тож для уточнення вони не змогли б точно назвати це ім’я, якби захотіли. Вони можуть створювати інші хеші, які починаються з "facebook" і закінчуються вимовляними складами, але це не груба сила для всієї прихованої назви служби (всі 80 бітів). Для тих, хто хоче вивчати математику далі, читайте про «напад на день народження«. А тим, хто хоче дізнатись (будь ласка, допоможіть!) Про вдосконалення, які ми хотіли б внести у приховані служби, включаючи надійніші паролі та імена, див.приховані послуги потребують прихильності"і пропозиція Tor 224.

Частина четверта: Що ми думаємо про сертифікат https для адреси .onion?

Facebook не просто створив приховану послугу. Вони також отримали https-сертифікат для своєї прихованої послуги, і він підписаний Digicert, щоб їх браузери прийняли його. Це рішення породило деякі жваві дискусії у спільноті CA / Browser, яка вирішує, які імена можуть мати офіційні сертифікати. Ця дискусія все ще розробляється, але це мої перші погляди на це.

Для: Ми, спільнота безпеки в Інтернеті, навчаємо людей, що https необхідний, а http - страшний. Тому має сенс, що користувачі хочуть бачити рядок "https" попереду.

Недолік: рукостискання .onion в основному дає все це безкоштовно, тому, заохочуючи людей платити Digicert, ми посилюємо сертифікаційну бізнес-модель, коли, можливо, нам слід продовжувати демонструвати альтернативу.

Для: https насправді пропонує трохи більше, у випадку, коли служба (ферма серверів Facebook) знаходиться не там, де програма Tor. Пам'ятайте, що веб-сервер і процес Tor не повинні бути на одній машині, і в такій складній конфігурації, як Facebook, вони, ймовірно, не повинні бути. Можна стверджувати, що ця остання миля знаходиться всередині вашої корпоративної мережі, тому кого цікавить, якщо вона не зашифрована, але я думаю, що фраза "ssl додано та видалено там" закінчить цей аргумент.

Мінуси: якщо сайт отримає сертифікат, він ще більше підтвердить користувачам, що він "необхідний", а потім користувачі почнуть запитувати інші сайти, чому його немає. Я стурбований тим, що мода почнеться там, де вам потрібно заплатити гроші Digicert, щоб мати приховану послугу, або вони не вважатимуть це підозрілим - тим більше, що прихованим службам, які цінують їх анонімність, важко отримати сертифікат.

Альтернативою було б повідомити браузер Tor, що адреси .onion із https не заслуговують на страшне спливаюче попередження. Більш скрупульозний підхід у цьому напрямку полягає у створенні способу для прихованої служби генерувати власний сертифікат https, підписаний своїм цибульним приватним ключем, і повідомляти Tor Browser, як їх перевірити - в основному це децентралізований ЦС для адрес .onion, оскільки вони автоматично автентифікатори. Тоді їм не потрібно було б проходити безглуздя, роблячи вигляд, чи можуть вони читати електронні листи в домені, і взагалі просуваючи поточну модель ЦС.

Ми також могли б уявити модель імена домашніх тварин де користувач може повідомити своєму браузеру Tor, що ця .onion адреса "є" Facebook. Або більш простим підходом було б включити в браузер Tor список "відомих" прихованих закладок сервісів - таких як наш власний ЦС, використовуючи стару модель / etc / hosts. Такий підхід порушить політичне питання, які сайти ми повинні підтримувати.

Тож я ще не вирішив, в якому напрямку, на мою думку, має йти ця дискусія. Я солідарний з "ми вчимо користувачів перевіряти https, тому давайте не будемо їх плутати", але я також переживаю через слизьку ситуацію, коли отримання сертифікації стає необхідним кроком для отримання авторитетної послуги. Повідомте нас, якщо у вас є інші вагомі аргументи за чи проти.

Частина п’ята: Що залишається зробити?

Що стосується як дизайну, так і безпеки, приховані послуги все ще потребують прихильності. У нас є плани щодо вдосконаленого дизайну (див пропозиція Tor 224), але у нас недостатньо коштів або розробників, щоб це здійснити. Цього тижня ми спілкувались з деякими інженерами Facebook про надійність та масштабованість прихованої служби, і ми раді, що Facebook розглядає зусилля щодо розробки, щоб допомогти вдосконалити приховані послуги.

І нарешті, говорячи про навчання людей про функції безпеки сайтів .onion, мені цікаво, чи "приховані служби" тут не найкраща фраза. Спочатку ми називали їх "послугами прихованого місцезнаходження", що швидко скоротили до "прихованих служб". Але захист місця розташування служби - лише одна із функцій безпеки, яку вони мають. Може, нам слід провести конкурс, щоб розіграти нову назву цих захищених послуг? Навіть щось на зразок "цибулевих сервізів" може бути кращим, якщо вони змусять людей дізнатися, що вони є.