Зеркало Facebook в Tor


Новость отсюда Хабр[link1], офф. источник[link2].

Произошло то, что как бы совсем не ждали, совершенно. У Facebook появилось официальное зеркало в Tor.
facebookcorewwwi.onion/


Это сколько нужно пробрутить ключей, чтобы получить такой адрес? Все буквы, кроме последней, в некотором смысле, "красивы". Мне кажется это очень странным. Он[link3] пишет, что случайно сбрутили. Что скажете?

Комментарии
— SATtva (01/11/2014 11:19)   

"Альтернативный адрес" было бы точнее.


P[link4]art three: their vanity address doesn't mean the world has ended

Their hidden service name is "facebookcorewwwi.onion". For a hash of a public key, that sure doesn't look random. Many people have been wondering how they brute forced the entire name.

The short answer is that for the first half of it ("facebook"), which is only 40 bits, they generated keys over and over until they got some keys whose first 40 bits of the hash matched the string they wanted.

Then they had some keys whose name started with "facebook", and they looked at the second half of each of them to pick out the ones with pronouncable and thus memorable syllables. The "corewwwi" one looked best to them — meaning they could come up with a story about why that's a reasonable name for Facebook to use — so they went with it.
Гость (01/11/2014 14:15)   
Это как сахар солью посыпать.. Зачем им это нужно? Обойти цензуру?
Гость (01/11/2014 19:07)   
So to be clear, they would not be able to produce exactly this name again if they wanted to.

Нет. Если известна затравка и генератор, то многие могут повторить. Спецслужбам, как я полагаю, известно и то, и другое: они поднимут записи переговоров сотрудников и всякие контракты фб на поставку оборудования, и смогут догадаться, какой генератор и семя использовались. Ещё можно прийти с обыском. А можно просто вытребовать у фб ключи.
Гость (01/11/2014 22:30)   
какой генератор и семя использовались.

А кто сказал, что семя должно храниться? С обыском прийти можно, но какой смысл, здесь же тор используется не для сокрытия положения сервера.
Гость (15/02/2015 09:07)   
Есть правила для всех, а есть правила для серьёзных игроков рынка. Если очень хочется, можно для локальных доменов, таких как onion, официальный сертификат выпустить в обход всех процедур и в нарушение всех требований к сертификации:

T[link5]he existing Facebook .onion URL was issued by Digicert under a loophole in certificate issuance requirements.

Это ещё один камень в огород PKI.
— unknown (15/02/2015 16:28)   
А на домен *.* сертификаты не выдают? Хотя, такое браузер не пропустит.
Гость (16/02/2015 08:26)   

[АНБ]
Мы поговорим с Mozilla на предмет включения нужного патча в их код.
[/АНБ]
Гость (18/02/2015 00:00)   


а я вот такие домены нашёл на прожашу http://like5lopsforfuck.onion Like 5 Lops For Fuck
Гость (19/02/2015 00:02)   

When you buy a domain, I will keep no record of its key whatssoever.
Once you have confirmed the receipt and validity of the key, all associated data will be deleted from our servers.

Так все и поверили.

Смысл отпечатков в том, что они случайны. Проблему запоминаемости надо решать не брутом, а каким-то иным способом. Стало модно брутить и PGP-отпечатки и onion-адреса... много ли в этом смысла окромя пафоса?
— unknown (19/02/2015 09:22)   
Примерно столько же, сколько в красивых номерах автомобилей.

Ссылки
[link1] http://habrahabr.ru/post/242145/

[link2] https://www.facebook.com/notes/protect-the-graph/making-connections-to-facebook-more-secure/1526085754298237

[link3] http://archives.seul.org/tor/talk/Oct-2014/msg00433.html

[link4] https://blog.torproject.org/blog/facebook-hidden-services-and-https-certs

[link5] https://lists.torproject.org/pipermail/tor-dev/2014-November/007853.html