Informazioni su Tor

La comunicazione su Internet si basa su un modello di store-and-forward che può essere inteso in analogia alla posta: I dati vengono trasmessi in blocchi chiamati datagrammi o pacchetti IP. Ogni pacchetto include un indirizzo IP di origine (del mittente) e un indirizzo IP di destinazione (del destinatario), proprio come le lettere ordinarie contengono gli indirizzi postali del mittente e del destinatario. Il percorso dal mittente al destinatario prevede più anelli di router, dove ogni router ispeziona l'indirizzo IP di destinazione e inoltra il pacchetto più vicino alla sua destinazione. In questo modo, ogni router tra il mittente e il destinatario viene a sapere che il mittente sta comunicando con il destinatario. In particolare, il vostro ISP locale è in grado di costruire un profilo completo del vostro utilizzo di Internet. Inoltre, ogni server in Internet che può vedere uno qualsiasi dei pacchetti può tracciare un profilo del vostro comportamento.

Lo scopo di Tor è quello di migliorare la privacy inviando il traffico attraverso una serie di proxy. La vostra comunicazione è crittografata a più livelli e instradata attraverso più passaggi nella rete Tor fino al destinatario finale. Maggiori dettagli su questo processo sono disponibili in questa visualizzazione. Si noti che tutto ciò che il vostro ISP locale può osservare ora è che state comunicando con i nodi Tor. Allo stesso modo, i server in Internet vedono solo che vengono contattati dai nodi Tor.

In generale, Tor mira a risolvere tre problemi di privacy:

In primo luogo, Tor impedisce ai siti web e ad altri servizi di conoscere la vostra posizione, che possono utilizzare per creare database sulle vostre abitudini e interessi. Con Tor, le vostre connessioni a Internet non vi rivelano per impostazione predefinita: ora potete scegliere, per ogni connessione, quante informazioni rivelare.

In secondo luogo, Tor impedisce a chi osserva il vostro traffico a livello locale (come il vostro ISP o qualcuno che ha accesso al vostro wifi o router di casa) di sapere quali informazioni state recuperando e da dove le state recuperando. Inoltre, impedisce loro di decidere cosa vi è permesso imparare e pubblicare: se potete raggiungere qualsiasi parte della rete Tor, potete raggiungere qualsiasi sito su Internet.

In terzo luogo, Tor instrada la connessione attraverso più di un relay Tor, in modo che nessun singolo relay possa sapere cosa si sta facendo. Poiché questi relay sono gestiti da persone o organizzazioni diverse, la distribuzione della fiducia offre maggiore sicurezza rispetto al vecchio approccio one hop proxy.

Si noti, tuttavia, che ci sono situazioni in cui Tor non riesce a risolvere completamente questi problemi di privacy: si veda la voce sottostante su attacchi rimanenti.

Come menzionato in precedenza, è possibile per un osservatore che può vedere sia voi che il sito web di destinazione o il vostro nodo di uscita Tor, correlare i tempi del vostro traffico mentre entra nella rete Tor e anche quando esce. Tor non si difende da questo modello di minaccia.

In un senso più limitato, si noti che se un censore o un'agenzia di polizia ha la capacità di ottenere l'osservazione specifica di parti della rete, è possibile per loro verificare il sospetto che si parli regolarmente con il proprio amico osservando il traffico ad entrambe le estremità e correlando la tempistica solo di quel traffico. Anche in questo caso, ciò è utile solo per verificare che le parti già sospettate di comunicare tra loro lo stiano facendo. Nella maggior parte dei paesi, il sospetto richiesto per ottenere un mandato ha già un peso maggiore di quello che potrebbe fornire la correlazione temporale.

Inoltre, poiché Tor riutilizza i circuiti per più connessioni TCP, è possibile associare il traffico non anonimo e quello anonimo a un determinato nodo di uscita, quindi fate attenzione a quali applicazioni eseguite contemporaneamente su Tor. Forse è il caso di eseguire client Tor separati per queste applicazioni.

Il nome "Tor" può riferirsi a diversi componenti.

Tor è un programma che puoi avviare sul tuo computer che ti aiuta a mantenerti al sicuro su Internet. Ti protegge facendo rimbalzare le tue comunicazioni su una rete distribuita di relè gestiti da volontari in tutto il mondo: impedisce a qualcuno che guarda la tua connessione Internet di apprendere quali siti visiti e impedisce ai siti che visiti di apprendere la tua posizione fisica. Questo insieme di relè volontari si chiama rete Tor.

Il modo in cui la maggior parte delle persone usa Tor è con Tor Browser, che è una versione di Firefox che risolve molti problemi di privacy. Puoi leggere di più su Tor sulla nostra pagina riguardo.

Il Tor Project è un'organizzazione no profit (benefica) che mantiene e sviluppa il software Tor.

Tor è la rete di instradamento onion. Qundo noi abbiamo iniziato la nuova generazione di implementazione del protocollo di routing nel 2001-2002, noi sponsorizzavamo questo progetto, ed essi dicevano "cosa?" Anche se il protocolo onion è diventato un termine familiare, Tor è nato dal progetto onion routing project iniziato dai laboratori di ricerca del Neval .

(ha anche un bel significato in tedesco e in turco.)

Nota: anche se originariamente deriva da un acronimo, Tor non si scrive "TOR". Solo la prima lettera è maiuscola. In effetti, di solito possiamo individuare le persone che non hanno letto niente del nostro sito (e hanno invece imparato tutto ciò che sanno su Tor dagli articoli di notizie) dal fatto che lo scrivono in modo errato.

No, non lo fa. Hai bisogno di un programma separato che comprenda la tua applicazione e il protocollo e sappia come pulire o cancellare i dati inviati. Tor Browser cerca di mantenere uniformi i dati a livello di applicazione, come la stringa user-agent, per tutti gli utenti. Tor Browser, tuttavia, non può fare nulla per il testo che digiti nei moduli.

Un tipico fornitore proxy imposta un server da qualche parte su internet e ti consente di utilizzarlo per inoltrare il tuo traffico. Questo crea un'architettura semplice e facile da mantenere. Tutti gli utenti entrano ed escono dallo stesso server. Il fornitore può addebitare un costo per l'utilizzo del proxy o finanziare i propri costi tramite pubblicità sul server. Nella configurazione più semplice, non è necessario installare nulla. Devi solo indirizzare il tuo browser verso il loro server proxy. Semplici fornitori proxy sono ottime soluzioni se non desideri protezioni per la tua privacy e il tuo anonimato online e ti fidi che il fornitore non compia cattive azioni. Alcuni semplici fornitori proxy utilizzano SSL per mettere in sicurezza la tua connessione verso di loro, proteggendoti dagli intercettatori locali, come quelli in un bar con internet wifi gratuito.

I fornitori proxy semplici creano anche un singolo punto di fallimento. Il fornitore conosce sia chi sei sia che cosa guardi su internet. Possono vedere il tuo traffico mentre passa attraverso il loro server. In alcuni casi, possono persino vedere all'interno del tuo traffico cifrato mentre lo inoltrano al tuo sito bancario o ai negozi di e-commerce. Devi fidarti che il fornitore non stia monitorando il tuo traffico, non stia inserendo i propri annunci nel tuo flusso di traffico o non stia registrando i tuoi dati personali.

Tor passa il tuo traffico attraverso almeno 3 server diversi prima di inviarlo a destinazione. Poiché esiste uno strato separato di cifratura per ciascuno dei tre relè, qualcuno che guarda la tua connessione internet non può modificare o leggere ciò che stai inviando nella rete Tor. Il tuo traffico viene cifrato tra il client Tor (sul tuo computer) e il luogo dove esce da qualche parte nel mondo.

Il primo server non vede chi sono io?

Probabilmente. Il primo dei tre server, se malevolo, può vedere il traffico Tor cifrato proveniente dal tuo computer. Non sa però chi sei e cosa stai facendo su Tor. Vede solamente "Questo indirizzo IP sta utilizzando Tor". Sei ancora protetto dal fatto che questo nodo possa capire chi sei e dove stai andando su Internet.

Può il terzo server vedere il mio traffico?

Probabilmente. Il terzo server, se malevolo, può vedere il traffico che hai inviato a Tor. Non saprà chi ha inviato questo traffico. Se stai utilizzando una cifratura (come HTTPS), conoscerà solo la destinazione. Si veda questa visualizzazione di Tor e HTTPS per capire come Tor e HTTPS interagiscono.

Sì.

Il software Tor è software libero. Ciò significa che ti diamo il diritto di ridistribuire il software Tor, modificato o non, a pagamento o gratuitamente. Non devi chiederci il permesso.

Comunque, se vuoi ridistribuire il software Tor devi seguire la nostra LICENZA. In sostanza, ciò significa che devi includere il nostro file di LICENZA insieme a qualsiasi parte del software Tor che stai distribuendo.

La maggior parte delle persone che ci pongono questa domanda, tuttavia, non vogliono distribuire solo il software Tor. Vogliono distribuire il Tor Browser. Questo include Firefox Extended Support Release e l'estensione NoScript. Dovrai seguire le licenze anche per questi programmi. Entrambe queste estensioni di Firefox sono distribuite sotto la GNU General Public License, mentre Firefox ESR è rilasciato sotto la Mozilla Public License. Il modo più semplice per rispettare le loro licenze è includere il codice sorgente di questi programmi ovunque si includano i pacchetti stessi.

Inoltre, dovresti assicurarti di non confondere i tuoi lettori su cosa sia Tor, chi lo produce e quali proprietà fornisce (e non fornisce). Guarda le nostre FAQ marchio per i dettagli.

Esistono molti altri programmi che puoi utilizzare con Tor, ma non abbiamo studiato i problemi di anonimato a livello di applicazione per ognuno di loro abbastanza bene da poter raccomandare una configurazione sicura. La nostra wiki ha una lista di istruzioni mantenuta dalla community per usare Tor con applicazioni specifiche. Per favore aggiungi a questa lista e aiutaci a mantenerla accurata!

La maggior parte delle persone utilizza Tor Browser, che include tutto ciò di cui hai bisogno per navigare in modo sicuro usando Tor. L'uso di Tor con altri browser è pericoloso e non raccomandato.

Non c'è assolutamente nessuna backdoor in Tor.

Conosciamo alcuni avvocati in gamba che affermano che è improbabile che qualcuno cercherà di farcene aggiungere uno nella nostra giurisdizione (Stati Uniti). Se ce lo chiedono, noi li combatteremo, e (dicono gli avvocati) probabilmente vinceremo.

Non inseriremo mai una backdoor in Tor. Pensiamo che inserire una backdoor in Tor sarebbe tremendamente irresponsabile verso i nostri utenti, e un brutto precedente per i software di sicurezza in generale. Se inserissimo deliberatamente una backdoor nel nostro software di sicurezza, la nostra reputazione professionale verrebbe distrutta. Nessuno si fiderebbe più del nostro software - per ovvi motivi!

Detto questo, ci sono ancora molti attacchi che qualcuno potrebbe tentare. Qualcuno potrebbe impersonarci, o hackerare i nostri computer, o qualcosa del genere. Tor è open source, e dovresti sempre verificare il codice sorgente (o almeno le differenze dall'ultima versione) per cose sospette. Se noi (o i fornitori che ti hanno dato Tor) non ti diamo accesso al codice sorgente, è un chiaro segnale che sta succedendo qualcosa di strano. Dovreste anche controllare le firme PGP sulle release, per assicurarvi che nessuno abbia fatto casino con i siti di distribuzione.

Inoltre, potrebbero esserci bug accidentali in Tor che potrebbero influire sul tuo anonimato. Troviamo e correggiamo periodicamente i bug relativi all'anonimato, quindi assicurati di mantenere Tor aggiornato.

Tor (come tutti gli attuali progetti pratici di anonimato a bassa latenza) fallisce quando l'attaccante può vedere entrambe le estremità del canale di comunicazione. Ad esempio, supponiamo che l'aggressore controlli o osservi il relay Tor che scegliete per entrare nella rete e controlli o osservi anche il sito web che visitate. In questo caso, la comunità di ricerca non conosce alcun progetto pratico a bassa latenza che possa impedire in modo affidabile all'aggressore di correlare le informazioni sul volume e sulla tempistica dei due lati.

Quindi, cosa dovremmo fare? Supponiamo che l'attaccante controlli, o possa osservare, C relè. Supponiamo che ci siano N relè in totale. Se l'utente seleziona nuovi relè di ingresso e di uscita ogni volta che utilizza la rete, l'aggressore sarà in grado di correlare tutto il traffico inviato dall'utente con una probabilità intorno a (c/n)2. In questo caso, la comunità di ricerca sa che l'utente non è in grado di vedere il traffico dell'utente. Ma per la maggior parte degli utenti la profilazione è altrettanto negativa quanto l'essere sempre tracciati: vogliono fare qualcosa spesso senza che l'aggressore se ne accorga, e l'aggressore che se ne accorge una volta è altrettanto negativo quanto l'aggressore che se ne accorge più spesso. In questo modo, scegliendo molte entrate e uscite casuali, l'utente non ha alcuna possibilità di sfuggire alla profilazione da parte di questo tipo di attaccanti.

La soluzione è quella delle "guardie d'ingresso": ogni client Tor seleziona a caso alcuni relè da usare come punti d'ingresso e utilizza solo quelli per il primo hop. Se questi relè non sono controllati o osservati, l'attaccante non può vincere, mai, e l'utente è al sicuro. Se questi relè sono osservati o controllati dall'attaccante, quest'ultimo vede una frazione maggiore del traffico dell'utente, ma l'utente non è comunque più profilato di prima. Quindi, l'utente ha qualche possibilità (dell'ordine di (n-c)/n) di evitare il profiling, mentre prima non ne aveva nessuna.

Per saperne di più, consultare Un'analisi del degrado dei protocolli anonimi, Difendere le comunicazioni anonime dagli attacchi di registrazione passiva e soprattutto Individuare i server nascosti.

Limitare i nodi di ingresso può anche aiutare a contrastare gli aggressori che vogliono gestire alcuni nodi Tor ed enumerare facilmente tutti gli indirizzi IP degli utenti Tor. (Anche se non possono sapere con quali destinazioni parlano gli utenti, potrebbero comunque essere in grado di fare cose brutte con un semplice elenco di utenti). Tuttavia, questa funzione non diventerà veramente utile fino a quando non si passerà anche a un progetto di "directory guard".

Tor utilizza una varietà di chiavi diverse, con tre obiettivi in mente: 1) la crittografia per garantire la privacy dei dati all'interno della rete Tor, 2) l'autenticazione in modo che i client sappiano che stanno parlando con i relay a cui intendevano parlare e 3) le firme per assicurarsi che tutti i client conoscano lo stesso set di relay.

Crittografia: in primo luogo, tutte le connessioni in Tor utilizzano la crittografia dei collegamenti TLS, quindi gli osservatori non possono guardare all'interno per vedere a quale circuito è destinata una determinata cella. Inoltre, il client Tor stabilisce una chiave di crittografia effimera con ogni relay del circuito; questi ulteriori livelli di crittografia fanno sì che solo il relay di uscita possa leggere le celle. Entrambe le parti scartano la chiave del circuito quando il circuito termina, quindi registrare il traffico e poi introdursi nel relay per scoprire la chiave non funzionerà.

Autenticazione: Ogni relay Tor ha una chiave di decrittazione pubblica chiamata "onion key". Ogni relay ruota la propria chiave a cipolla ogni quattro settimane. Quando il client Tor stabilisce i circuiti, a ogni passo richiede che il relay Tor dimostri di conoscere la sua chiave a cipolla. In questo modo, il primo nodo del percorso non può semplicemente fare lo spoofing del resto del percorso. Poiché il client Tor sceglie il percorso, può assicurarsi di ottenere la proprietà di "fiducia distribuita" di Tor: nessun singolo relay nel percorso può conoscere sia il client che ciò che il client sta facendo.

Coordinamento: Come fanno i client a sapere quali sono i relay e come fanno a sapere che hanno le chiavi giuste per loro? Ogni relay ha una chiave di firma pubblica a lungo termine chiamata "identity key". Ogni autorità di directory dispone inoltre di una "chiave di firma della directory". Le autorità di directory forniscono una lista firmata di tutti i relay conosciuti, e in quella lista ci sono una serie di certificati di ogni relay (autofirmati dalla loro chiave di identità) che specificano le loro chiavi, le posizioni, le politiche di uscita e così via. Quindi, a meno che l'avversario non riesca a controllare la maggior parte delle autorità di directory (al 2022 ci sono 8 autorità di directory), non può ingannare il client Tor per fargli usare altri relay Tor.

Come fanno i client a sapere quali sono le autorità di directory?

Il software Tor viene fornito con un elenco incorporato della posizione e della chiave pubblica di ogni autorità di directory. Quindi l'unico modo per ingannare gli utenti e indurli a utilizzare una falsa rete Tor è fornire loro una versione appositamente modificata del software.

Come fanno gli utenti a sapere di avere il software giusto?

Quando distribuiamo il codice sorgente o un pacchetto, lo firmiamo digitalmente con GNU Privacy Guard. Vedere le istruzioni su come verificare la firma di Tor Browser.

Per essere certi che sia davvero firmato da noi, dovete averci incontrato di persona e aver ottenuto una copia dell'impronta digitale della nostra chiave GPG, oppure dovete conoscere qualcuno che l'abbia fatto. Se siete preoccupati per un attacco di questo livello, vi consigliamo di partecipare alla comunità della sicurezza e di iniziare a incontrare persone.

Tor riutilizzerà lo stesso circuito per nuovi flussi TCP per 10 minuti, finché il circuito funziona bene. (Se il circuito si interrompe, Tor passa immediatamente a un nuovo circuito).

Ma si noti che un singolo flusso TCP (ad esempio una lunga connessione IRC) rimarrà sullo stesso circuito per sempre. Non ruotiamo i singoli flussi da un circuito all'altro. Altrimenti, un avversario con una visione parziale della rete avrebbe molte possibilità nel tempo di collegarvi alla vostra destinazione, invece di una sola possibilità.