О проекте Tor

Интернет-взаимодействие основано на модели хранения и пересылки, которую можно понять по аналогии с обычной почтой: данные передаются в блоках, называемых IP-датаграммами или пакетами. Каждый пакет включает в себя исходный IP-адрес (отправителя) и IP-адрес назначения (получателя), так же как обычные письма содержат почтовые адреса отправителя и получателя. Путь от отправителя к получателю включает в себя несколько переходов через маршрутизаторы, где каждый маршрутизатор проверяет IP-адрес назначения и пересылает пакет ближе к месту назначения. Таким образом, каждый маршрутизатор между отправителем и получателем узнает, что отправитель общается с получателем. В частности, ваш местный интернет-провайдер в состоянии создать полный профиль вашего использования Интернета. Кроме того, каждый сервер в Интернете, который может видеть любой из пакетов, может профилировать ваше поведение.

Цель Tor - улучшить вашу конфиденциальность, отправив ваш трафик через ряд прокси. Ваше сообщение шифруется в несколько слоев и маршрутизируется через несколько переходов через сеть Tor к конечному получателю. Более подробную информацию об этом процессе можно найти в этой визуализации. Обратите внимание, что ваш локальный интернет-провайдер может наблюдать сейчас то, что вы общаетесь с узлами Tor. Точно так же серверы в Интернете просто видят, что с ними связываются узлы Tor.

В общем, Tor стремится решить три проблемы конфиденциальности:

Во-первых, Tor не позволяет веб-сайтам и другим службам узнать ваше местоположение, которое они могут использовать для создания баз данных о ваших привычках и интересах. Благодаря Tor, по умолчанию ваши интернет-соединения не выдают вас — теперь вы можете выбирать, какой объем информации раскрывать для каждого соединения.

Во-вторых, Tor не позволяет людям, наблюдающим за вашим трафиком локально (например, ваш интернет-провайдер или кто-то, имеющий доступ к вашему домашнему Wi-Fi или маршрутизатору), узнать, какую информацию вы получаете и откуда вы ее получаете. Это также мешает им решать, что вам разрешено изучать и публиковать - если вы можете добраться до любой части сети Tor, вы можете получить доступ к любому сайту в Интернете.

В-третьих, Tor направляет ваше соединение через более чем один узел Tor, поэтому ни один узел не может узнать, что вы делаете. Поскольку эти узлы запущены разными лицами или организациями, распределение доверия обеспечивает большую безопасность, чем старый подход с прокси-сервер с одним переходом.

Обратите внимание, однако, что есть ситуации, когда Tor не может полностью решить эти проблемы конфиденциальности: см. запись об оставшихся атаках.

Как сказано выше, если у злоумышленника есть доступ к вашему трафику, а также трафику выходного узла Tor или конечного сайта, то злоумышленник может вычислить вас по времени, когда ваш трафик входит и выходит из сети Tor. К сожалению, Tor не защищён от такой атаки.

Проще говоря, если правоохранительные органы имеют доступ к некоторым участкам сети, они могут подтвердить свои подозрения, что вы регулярно общаетесь со свим другом, наблюдая за временем начала и окончания трафика на ваших участках сети. Повторюсь, что это возможно только для подтверждения, что подозреваемые общаются друг с другом. В большинстве стран, основания, необходимые для получения такого ордера, гораздо сильнее, чам подтверждение того, что подозреваемые общаются друг с другом.

Более того, можно связать анонимный трафик из выходного узла c тем же трафиком на сайт, на котором выполнен вход. Поэтому что Tor использует одно TCP-соединение одновременно для нескольких приложений. Поэтому будьте внимательны, какие приложения вы запускаете через Tor. Как одно из решений: запускайте разные клиенты Tor для разных приложений.

Слово "Tor" используют для обозначения разных сущностей.

Tor – компьютерная программа для защиты себя в интернете. Tor перенаправляет трафик между узлами распределённой сети серверов по всему миру. Их поддерживают волонтёры. Если кто-то принялся наблюдать за вами в сети, благодаря Tor он не сможет узнать, какие сайты вы посещаете. Сами сайты тоже не будут знать, где вы физически находитесь. Вся совокупность волонтёрских серверов называется "сеть Tor".

Чаще всего люди пользуются ей с помощью Tor Browser. Это браузер на основе Firefox, доработанный для большей приватности. Подробнее о Tor можно почитать здесь.

Tor Project – некоммерческая благотворительная организация, которая разрабатывает и поддерживает программное обеспечение Tor.

Tor – сеть на основе "луковой маршрутизации" (The Onion Routing). Когда в 2001–2002 годах мы приступали к разработке нового поколения и реализации луковой маршрутизации, мы рассказывали людям, что работаем над луковой маршрутизацией, и они говорили: «Аккуратно. Какой?» С тех пор фраза "луковая маршрутизация" вошла в обиход. Но мы не забываем, что это название родилось от одноименного проекта Naval Research Lab.

(В немецком и турецком языках это слово имеет другие значения.)

Обратите внимание: хотя название "Tor" изначально было аббревиатурой, мы не пишем "TOR". Только первая буква – большая. Кстати, обычно легко узнать тех, кто никогда не читал наш сайт, а все знания о Tor почерпнул из новостей: такие люди неправильно пишут название сети.

Нет, не удаляет. Вам нужна отдельная программа, которая распознает ваше приложение и способ коммуникаций, и которая знает, как "вычищать" персональные данные. Tor Browser старается, чтобы данные на уровне приложений (напр. строка user-agent) выглядели одинаково для всех пользователей. При этом Tor Browser ничего не может поделать, например, с данными, которые сам пользователь вписывает в поля форм на сайтах.

Типичный прокси – сервер в интернете, который выполняет роль посредника для вашего трафика. Это простая модель, которую легко поддерживать. Пользователи входят и выходят через один и тот же сервер. Провайдер может взимать плату за использование прокси или покрывать расходы за счёт рекламы. В самом простом случае вам не нужно ничего устанавливать. Достаточно настроить браузер для работы с прокси-сервером. Такой нехитрый прокси – отличное решение, если вам не нужны защита приватности и онлайновая анонимность. Но вы должны доверять провайдеру. Некоторые простые прокси используют SSL. Это позволяет защитить ваше подключение и оберегает вас от прослушки (например, в кафе с бесплатным wi-fi).

Но у простых прокси-сервисов есть одна большая уязвимость. Владелец сервиса знает, кто вы и что вы делаете в интернете. Он может следить за вашим трафиком, который проходит через его сервер. В некоторых случаях провайдер даже способен заглянуть в ваш зашифрованный трафик, когда передает его между вами и онлайн-банком (или интернет-магазином). Вам придется поверить, что провайдер не следит за вами, не фиксирует ваши персональные данные и не вставляет собственную рекламу в ваши коммуникации.

В сети Tor ваш трафик проходит через минимум три разных сервера перед тем, как попасть к месту назначения. Каждый из этих узлов добавляет новый уровень шифрования. Если кто-то наблюдает за вашим трафиком, у него не получится прочесть или изменить то, что вы отправляете по сети Tor. Ваш трафик зашифрован на отрезке между клиентом Tor (на вашем устройстве) и точкой выхода где-то в сети интернет.

А первый сервер в цепочке видит, кто я?

Возможно. Первый из трёх серверов может видеть зашифрованный трафик от вашего устройства. Но кто вы и что делаете в сети Tor – видно не будет. Вся информация: "Такой-то IP-адрес использует Tor". Но этот узел по-прежнему не может узнать, кто вы и что смотрите в интернете.

Может ли третий сервер видеть мой трафик?

Возможно. Третий сервер в цепочке может видеть ваш трафик в Tor. Но он не знает, кто отправитель. Если вы используете шифрование (например, HTTPS), серверу будет известно только место назначения. Подробнее о том, как взаимодействуют Tor и HTTPS см. схему Tor and HTTPS.

Да.

Tor – бесплатная программа. Это значит, что мы даем вам право распространять программное обеспечение Tor с изменениями или "как есть", бесплатно или за деньги. Не нужно просить у нас особое разрешение.

Но если вы хотите распространять Tor, надо соблюдать нашу лицензию. Вы должны прикладывать файл с нашим лицензионным соглашением к любому продукту, который распространяете.

Люди, которые задают этот вопрос, как правило, не имеют в виду какие-то программы. Они хотят распространять конкретно Tor Browser. Сюда входит выпуск расширенной поддержки Firefox и расширение NoScript. Вам нужно выполнять лицензионные условия и для этих программ. Оба расширения Firefox распространяются по лицензии GNU General Public License, а Firefox ESR – по лицензии Mozilla Public License. Самый простой способ выполнить условия лицензий – распространять эти продукты вместе с их исходным кодом.

Убедитесь, что ваши пользователи не запутаются и смогут понять, что такое Tor, кто делает Tor, какие возможности даёт (и не даёт) этот продукт. У нас также есть FAQ по торговым маркам.

Есть множество программ, которые работают с Tor. Мы не проводили достаточно глубокое исследование того, как они влияют на анонимность пользователей. Поэтому мы не станем советовать вам конкретные программы. В нашем wiki есть список инструкций для Tor-ориентированных приложений, который поддерживается сообществом. Пожалуйста, пополняйте его и помогите нам заботиться о точности данных!

Большинство использует Tor Browser. Он позволяет безопасно работать в сети через Tor. Использовать Tor с другими браузерами опасно и не рекомендуется.

В Tor совершенно точно нет никаких закладок (умышленно созданных нами уязвимостей).

У нас есть хорошие юристы. Они говорят, что просьба встроить в Tor закладку маловероятна в нашей юрисдикции (США). Если такая просьба прозвучит, мы будем сопротивляться, и (юристы говорят) у нас есть шансы выиграть.

Мы никогда не станем встраивать в Tor закладки. Создание закладки было бы грандиозной безответственностью по отношению к нашим пользователям и создало бы дурной прецедент для всех разработчиков программ. Если бы мы осознанное внедрили "лазейку" в наши программы для обеспечения безопасности, нашей профессиональной репутации пришел бы конец. Больше никто и никогда не смог бы доверять нашим программам – с полным на то основанием!

Впрочем, у злоумышленников есть немало изощрённых способов испортить людям жизнь. Они могут попытаться выдать себя за нас. Или взломать наши компьютеры. Или ещё что-нибудь в этом духе. Tor – продукт с открытым кодом. Советуем всегда сверяться с источником (или хотя бы уточнять разницу с предыдущими версиями), чтобы исключить подозрения. Если мы (или распространители Tor) перестанем давать вам доступ к исходному коду, это будет тревожный признак. Есть смысл проверять PGP-подписи к релизам. Так вы сможете убедиться, что никто не влез на сайт, где распространяются программы.

Кроме того, в Tor могут найтись непреднамеренные ошибки, ограничивающие вашу анонимность. Мы периодически находим и ликвидируем такие ошибки. Лучше всегда использовать самую свежую версию Tor.

Tor (как и все прочие онлайн-анонимайзеры) уязвим, если атакующий имеет доступ к входному и выходному узлам трафика. Например, предпололжим, что атакующих имеет доступ к входному узлу и сайту, который вы посещаете. Пока не существует надежного спосбоа предотвратить такую атаку, поэтому атакующий может сопоставить время и объем трафика на входе и выходе.

Так что же делать? Предположим, что атакующий имеет доступ к С узлам. Предположим что всего N узлов. Если каждый раз при входе в сеть вы используете случайные входные и выходные узлы, то вероятность, что атакующий получит доступ к вашему входному и выходному трафику - (С/N)^2. Большинство пользователей хотят полностью скрыть свой трафик и при этом пользуются Tor регулярно. Для таких пользователей неприемлемо, чтобы атакующий получил доступ к входному и выходному трафику хотя бы раз. Повторная атака на входной и выходной трафик для этих пользователей уже не так критична, как первая. Поэтому перекючение между случайными входными и выходными узлами, рано или поздно, позволит атакующему получить доступ к вашему входному и выходному узлу одновременно.

Entry guards позволяют свести шансы атакующего к минимуму. Tor-клиент выбирает несколько входных узлов и использует только их. Если у атакующего нет доступа к этим узлам, то он уже икогда не получит доступ к вашему трафику. Даже если у атакующего есть доступ к этим узлам, он получит доступ к большему объёму трафика, но шансы получить доступ к такому трафику у него всё-равно ниже. Поэтому у пользователя появляется шанс защититься от атакующего с помощью Entry Guards, а без них в долгосрочной перспективе никаких шансов - нет.

Подробнее можно прочесть в An Analysis of the Degradation of Anonymous Protocols, Defending Anonymous Communication Against Passive Logging Attacks, и особенно Locating Hidden Servers.

Ограничение количества входных узлов также позволяет бороться с теми, кто хочет самостоятельно запустить несколько узлов Tor, чтобы собрать все IP адреса пользователей Tor. (даже не зная какие сайты посещают пользователи сети Tor, атакующие всё равно могут навредить пользователям, зная только их IP адреса.) Однако, даже ограничение количества входных узлов (Entry Guards) только промежуточный этап к системк Directory guard.

Tor использует множества различных ключей для трех целей: 1) шифрование трафика внутри сети Tor, 2) удостоверение подлинности (аутентификация), чтобы приложения понимали, что они общаются с реальными узлами Tor и 3) цифровые подписи, что бы все приложения имели доступ к одному и тому же набору узлов.

Шифрование: все соединения в сети Tor шифруются с помощью протокола TLS, поэтому атакующий не может расшифровать кому конкретно направляется трафик. Далее клиент Tor устанавливает эфемерный ключ шифрования с каждым узлом в цепи; эти дополнительные уровни шифрования означают, что только выходной узел может считывать ячейки. Обе стороны сбрасывают ключ цепи, когда цепь заканчивается, поэтому регистрация трафика, а затем взлом узла, чтобы обнаружить ключ, не будет работать.

Аутентификация: Каждый узел Tor имеет открытый ключ расшифровки, называемый "onion ключ". Каждый узел меняет свой onion-ключ раз в четыре недели. Когда клиент Tor устанавливает схемы, на каждом этапе он требует, чтобы узел Tor доказал знание своего onion-ключа. Таким образом, первый узел в пути не может просто подделать остальную часть пути. Поскольку клиент Tor выбирает путь, он может убедиться, что получает свойство Tor "распределенное доверие": ни один узел в пути не может знать как о клиенте, так и о том, что клиент делает.

Координация: Как клиенты узнают, что такие узлы существуют, и как они узнают, что у них есть правильные ключи для них? Каждый узел имеет долгосрочный открытый ключ подписи, называемый "идентифицирующий ключ". Каждый управляющий сервер дополнительно имеет "ключ подписи каталога". Центры каталогов предоставляют подписанный список всех известных ретрансляторов, и в этом списке находится набор сертификатов от каждого ретранслятора (самозаверяющих их идентификационным ключом) с указанием их ключей, местоположений, политики выхода и т. д. Таким образом, если злоумышленник не сможет контролировать большинство центров каталогов (по состоянию на 2022 год существует 8 центров каталогов), он не сможет обманом заставить клиент Tor использовать другие ретрансляторы Tor.

Как клиенты узнают о действующих управляющих серверах?

Программное обеспечение Tor поставляется со встроенным списком местоположения и открытым ключом для каждого управляющего сервера. Таким образом, единственный способ обмануть пользователей в использовании поддельной сети Tor - это дать им специально модифицированную версию программного обеспечения.

Как пользователи узнают, что у них есть необходимое программное обеспечение?

Когда мы распространяем исходный код или пакет, мы подписываем его цифровой подписью с помощью GNU Privacy Guard. См. инструкции по проверке подписи Tor Browser.

Чтобы быть уверенным, что он действительно подписан нами, вам нужно встретиться с нами лично и получить копию отпечатка нашего ключа GPG, или вам нужно знать кого-то, у кого он имеется. Если вы обеспокоены атакой такого уровня, мы рекомендуем вам связаться с сообществом безопасности и найти возможность личной встречи.

Tor меняет узлы каждые 10 минут, если это соединение работает без сбоев. (если эти узлы перестают работать, Tor сразу же подключается к другим узлам)

При этом приложения-мессенджеры, использующие только одно TCP-соединение (по протоколу IRC) будт использовать одно и то же соединение неограниченно долго. Мы не переключаем отдельные потоки с одной цепочки на другую. В противном случае злоумышленник с частичным наблюдением сети со временем получит множество возможностей связать вас с конечным адресатом вместо одной.