openPGP в России / Новости / 2013 / Новые ветки стабильных версий Tor и Tor Browser Bundle

19.12 // Новые ветки стабильных версий Tor и Tor Browser Bundle

12 декабря стабильная версия Tor переведена на 0.2.4.19. Одним из основных нововведений является переход на криптографию на эллиптических кривых (ECC), с размерами ключей, которые позволяют снизить загрузку узлов, одновременно повысив стойкость шифрованного соединения. При этом использована кривая "curve25519" от Дэниэла Бернштейна, что является альтернативой стандарту НИСТ. Также ликвидированы потенциальные уязвимости с кэшированием на стороне клиента ответов DNS, которые могли сохраняться при смене исходящих узлов и служить своеобразными метками трафика; улучшена защита директорий скрытых сервисов; увеличен интервал работы со сторожевыми узлами.

С 19 декабря прекращается поддержка стабильных веток Торбраузера 2.x и 3.0. Всем пользователям рекомендуется перейти на TBB версии 3.5. В новой версии TBB отсутствует контроллер Vidalia, а запуск локального tor-процесса осуществляется непосредственно из самого TBB.

Источник: Tor-talk mailing list, The Torproject Blog.

На страницу: 1, 2, 3, 4, 5 След.

Комментарии [скрыть комментарии/форму]

—	unknown (26/12/2013 10:13) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Ссылка на ответ Роджера была дана в /comment74940.

—	*Гость* (26/12/2013 11:02) <#>

При этом использована кривая "curve25519" от Дэниэла Бернштейна

Существует ли способ доказать, что кривая выбрана не злонамеренно, и ни у кого нет к ней отмычки? Извиняюсь за оффтоп.

—	unknown (26/12/2013 13:14) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Вот объяснение file

бэкдора Dual_EC_DRBG на пальцах. Там можно вообще рэндомную кривую было бы выбирать, чтобы избавится от возможности закладок.

У Бернштейна и НИСТ кривые оптимизированные, но обоснование незлонамеренности критериев выбора кривой DJB приведено в работе.

—	*Гость* (31/12/2013 18:19) <#>

> увеличен интервал работы со сторожевыми узлами.

Raise the default time that a client keeps an entry guard from "1-2 months" to "2-3 months", as suggested by Tariq Elahi's WPES 2012 paper. (We would make it even longer, but we need better client load balancing first.) Also, make the guard lifetime controllable via a new GuardLifetime torrc option and a GuardLifetime consensus parameter. Start of a fix for bug 8240; bugfix on 0.1.1.11-alpha.

Теперь 2-3 месяца. Точное время жизни генерируется случайным образом, но так, чтобы оно попадало в этот интервал?

>> А объективно на сколько улучшилась криптография? Или это снова все в теории?

> Здесь знают ответ :) В таблице.

Если я понял правильно, криптостойкость симметричного ключа в 128 бит там приравнивают к длине RSA-ключей в 3072 бита. При всём этом в GnuPG при генерации RSA-ключей вроде до сих пор 2048 — дефолт. Кто из них занижает/завышает оценки на безопасность?

При заходе по ссылке на сайт АНБ в логах TBB:

Redirection loop trying to set HTTPS on:
  http://www.nsa.gov/business/programs/elliptic_curve.shtml
(falling back to HTTP)
Redirection loop trying to set HTTPS on:
  http://www.nsa.gov/_root/images/nav_home-off.jpg
(falling back to HTTP)
Redirection loop trying to set HTTPS on:
  http://www.nsa.gov/_root/css/main.css
(falling back to HTTP)
Redirection loop trying to set HTTPS on:
  http://www.nsa.gov/_root/images/header.jpg
(falling back to HTTP)

Чувствуется что-то явно нездоровое в этом.

> До этого Tor использовал только DH-1024, что требовало намного больше ресурсов, а увеличить длину асимметричного ключа до DH-2048 было нереально — потребовалось бы слишком много ресурсов.

Если АНБ сможет факторизовать ключи DH-1024, которые ранее использовались в Tor, оно сможет расшифровать его трафик?

> программы при запуске из такой консоли … глючат, тормозят и падают.

Первый раз о таком слышу.

> Как один из вариантов, в эмуляторах консоли неправильно подхватываются параметры иксового окружения, в отличие от запускалок.

Всю жизнь думал, что иксовое окружение как раз формируется в терминале настройками (скрипт с прописываемыми переменными ~/.xsession и конфиг ~/.Xresources). Можно ещё добавить конфиги оконного менеджера, но сам он ничего в настройках иксов не меняет и не лезет, куда его не просили.

> Прежде видалия минуту (и скорость компьютера мало влияла) вычитывала информацию по всем доступным узлам сети, проверяла успешность подключения, и лишь затем запускала браузер. С новым TBB старт происходит быстро, ничего прежнего не вычитывает и как следствие ничего не знает про тор и его цепочки.

Не совсем так. Сначала запускается Tor. Как только Tor успешно запущен, запускается окно firefox. Если есть проблемы с запуском Tor'а, окно firefox'а не появится. А чтобы Tor запустился, он должен получить достаточно информации из сети, чтобы построить цепочки, только после этого он рапортует

Tor has successfully opened a circuit. Looks like client functionality is working

> информация о её использовании совместно с TBB 3.5 будет публиковаться в специальном FAQ.

По ссылке:

How do I disable JavaScript?
…
If you want to be extra safe, use both the about:config setting and NoScript.

В упор не понимаю, почему «both»? Если через about:config уже полностью отключено, какой смысл лезть в настройки NoScript? Он может случайно включить JS, даже если в about:config стоит javascript.enabled=false?

> Вот последние приоритеты только за текущий месяц. Некоторые из пунктов (как например "224 Next-Generation Hidden Services in Tor") требуют окола года непростой работы.

Вообще, если посмотреть на этот лист... Это только changelog, а не полное описание всего и вся, которое есть в тикетах и коментах к ним. Но даже чтобы не просто прочитать, а хотя бы бегло пробежаться глазами по одним только заголовкам changelog'а, уже нужно минут 15. А если внимательно вдумчиво прочитать его весь — уже час или больше. Вникнуть в то, что сделано, просмотрев все тикеты — работа на несколько дней минимум. Чтобы просто более-менее детально себе представлять, что сейчас происходит в Tor Project, надо заниматься чтением рассылки и их сайта круглые сутки. И это только TBB, не говоря уже о других программах для безопасности. Я вынужден констатировать, что современный Tor — это страшный гигантский комбайн, монстр, в котором уже столько всего наворочено, что одиночке пришлось бы несколько лет пухнуть над всей информацией, чтобы детально понять, как он сейчас работает и почему протокол именно таков.

> Глубокое сращивание это JS версия Tor клиента в виде расширения для браузера.

Они бы и до этого дошли,^* да, боюсь, производительность JS для таких масштабных задач их бы вряд ли устроила. Впрочем, сама идея написать Tor-клиент на JS звучит весело. ☺

> Вот объяснение fileбэкдора Dual_EC_DRBG на пальцах.

Во фразах

NIST and NSA, with some participation from CSE

Most of work on standards done by US federal employees (NIST and NSA, with some help from CSE)

CSE глазами автоматически читается как CNE, ничего не могу с собой поделать. ☹

> Там можно вообще рэндомную кривую было бы выбирать, чтобы избавится от возможности закладок. У Бернштейна и НИСТ кривые оптимизированные, но обоснование незлонамеренности критериев выбора кривой DJB приведено в работе.

Как-то это неубедительно звучит. Если бы каждый для себя генерировал кривую, то можно было бы на рандом сослаться. Но, как я понимаю, стороны (в общем случае друг другу недоверяющие) должны договориться о выборе кривой. И одна сторона может предложить кривую, которая кажется рандомной, а реально у неё к ней отмычка есть. Может такое быть?

То же касается предложений к стандартам, оптимизированных кривых и т.д. Хорошо, пусть кто-то предложил метод, описал его и предъявил результат. Как мне потом проверить, что результат действительно случаен? Как можно приписать случайность конкретному числу? Мы же со свечкой не стояли, когда автор кривой её генерировал. Не имею ничего против djb, но всё-таки на основе чего выстраивается доверие к кривым в ECC? Насколько исчерпывающий аудит предложенных констант может провести постороннее лицо?

^*А что, это удобно: ничего устанавливать в браузер не нужно; зашёл по ссылке — подхватил ~~вирь~~ Tor, теперь всё само работает ~~и анонимно и безопасно~~.

—	unknown (31/12/2013 19:49, исправлен 31/12/2013 19:55) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

>Если АНБ сможет факторизовать ключи DH-1024, которые ранее использовались в Tor, оно сможет расшифровать его трафик?

Да. Об этом в форуме неоднократно упоминалось. Последнее обсуждение здесь.

>Чувствуется что-то явно нездоровое в этом.

Большинство страниц сайта работает через https, но не все. В "Https everywhere" правил для этого сайта нет, так что проблема или фича на стороне сервера.

что современный Tor — это страшный гигантский комбайн, монстр, в котором уже столько всего наворочено, что одиночке пришлось бы несколько лет пухнуть над всей информацией, чтобы детально понять, как он сейчас работает и почему протокол именно таков.

s/Tor/OpenSource//g

Если бы каждый для себя генерировал кривую, то можно было бы на рандом сослаться. Но, как я понимаю, стороны (в общем случае друг другу недоверяющие) должны договориться о выборе кривой. И одна сторона может предложить кривую, которая кажется рандомной, а реально у неё к ней отмычка есть. Может такое быть?

В обычном DH и DSA можно брать параметры (не кривой, а g и p) от НИСТ, к которым также были подозрения, а в SSL есть опция самому сгенерировать
такие параметры. Только это несколько ресурсоёмко. Если обе стороны хотят использовать неконвенциональные параметеры — теоретически они могут их сгенерировать через совместный рэндом или необязательно даже рэндом, любое значение для запуска детерминированного ГПСЧ.

Как мне потом проверить, что результат действительно случаен? Как можно приписать случайность конкретному числу? Мы же со свечкой не стояли, когда автор кривой её генерировал.

Nothing up my sleeve number.

Для какого-то алгоритма встречалось описание, когда использовали такое число для запуска конвенционального ГПСЧ и строгие критерии останова оптимизации на ограниченном количестве чисел выхода. Примерно как «генерируем 10000 параметров, из них выбираем самый лучший, вероятность таким путём получить параметр с предопределёнными для закладки свойствами низка до такой-то величины».

В конкурсе AES и особенно SHA-3 отсутствие закладок в константах нужно было доказывать.

—	*Гость* (31/12/2013 20:48) <#>

[notice] Owning controller connection has closed -- exiting now.
Segmentation fault
Tor Browser exited abnormally.  Exit code: 139

Однажды это должно было случиться точно так же, как это уже случалось со всеми предыдущими версиями.

—	*Гость* (06/01/2014 03:00) <#>

> В обычном DH и DSA можно брать параметры (не кривой, а g и p) от НИСТ, к которым также были подозрения, а в SSL есть опция самому сгенерировать такие параметры. Только это несколько ресурсоёмко.

А в Tor как выбираются эти параметры? Взяты со стандарта или сгенерены самостоятельно?

—	unknown (06/01/2014 17:16) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Теперь там нет g и p, там ECC и "curve25519".

—	*Гость* (06/01/2014 17:51) <#>

А ранее было как? Не знаете?

—	unknown (06/01/2014 18:36, исправлен 06/01/2014 18:45) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Точно не знаю, старая версия DH называлась в торе "TAP", новая "NTor", можно поискать по описанию старых версий протокола.

Динамический выбор p для DH использовался в бриджах, для узлов его тоже хотели ввести, но не помню, чем дело закончилось. А статические параметры были взяты то ли с какого-то rfc, то ли так, как по умолчанию у серверов Apache.

Для g вроде всегда использовалось только число 2.

—	*Гость* (06/01/2014 22:23, исправлен 06/01/2014 22:46) <#>

For Diffie-Hellman, we use a generator (g) of 2. For the modulus (p), we
use the 1024-bit safe prime from rfc2409 section 6.2 whose hex
representation is:

"FFFFFFFFFFFFFFFFC90FDAA22168C234C4C6628B80DC1CD129024E08"
"8A67CC74020BBEA63B139B22514A08798E3404DDEF9519B3CD3A431B"
"302B0A6DF25F14374FE1356D6D51C245E485B576625E7EC6F44C42E9"
"A637ED6B0BFF5CB6F406B7EDEE386BFB5A899FA5AE9F24117C4B1FE6"
"49286651ECE65381FFFFFFFFFFFFFFFF"

—	*Гость* (06/01/2014 22:26) <#>

Спецификация протокола Tor.

—	*Гость* (07/01/2014 04:08) <#>

А где сейчас можно взять предыдущую обычную последнюю версию, не 3.5 ?

—	unknown (07/01/2014 14:47) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

https://www.torproject.org/dist/torbrowser/

Только в версиях до 3.5 неисправленные баги, критичные для деанонимизации — что-то связанное с обработкой изображений.

—	*Гость* (26/01/2014 21:53) <#>

> При этом использована кривая "curve25519" от Дэниэла Бернштейна, что является альтернативой стандарту НИСТ.

В логах Tor:

XXX XX XX:XX:XX.XXX [notice] We were built to run on a XX-bit CPU, with OpenSSL X.X.X or later, but with a version of OpenSSL that apparently lacks accelerated support for the NIST P-224 and P-256 groups. Building openssl with such support (using the enable-ec_nistp_64_gcc_128 option when configuring it) would make ECDH much faster.

Просто так получилось, что данные опции ускоряют не только НИСТовские кривые, но и Бернштейновские? Иначе как объяснить упоминание НИСТ?

На страницу: 1, 2, 3, 4, 5 След.

Ваша оценка документа [показать результаты]