10.06 // PRISM против Tor


Сейчас, как только все услышали[link1] о существовании программы слежки PRISM[link2], многие стали разводить спекуляции на тему того, как это скажется на Tor.

К сожалению, остаётся большая нехватка информации, необходимой для ясного понимания того, что происходит в действительности, особенно в свете противоречивой информации между первичным материалом[link3] и заявлениями о невовлечённости Google, Facebook, Apple.

Это очевидное противоречие означает, что пока всё ещё трудно точно оценить влияние этой программы на Tor и это продвигает вперёд предположения о самых худших сценариях.

Например, один из самых плохих вариантов включает использование милитаризированных эксплойтов[link4] для компрометации оборудования датацентров этих фирм. Менее грозной, но всё ещё беспокоящей возможностью является выдача кляп-ордеров для персонала датацентров из среднего и низшего звена с целью установки потайных ходов, а также следящего оборудования без какого-либо взаимодействия с юридическим и исполнительным звеном самих этих фирм.

Мы постараемся сохранить анализ по поводу этих спекуляций и сценариев вторжения до момента получения большего количества доступной информации (также мы можем независимо описать опасность[link5] использования властями милитаризированных информационных уязвимостей).

На данный момент давайте рассмотрим, что Tor может сделать, какие средства совместно с Tor могут усилить защиту ваших коммуникаций, какие усилия требуются для того, чтобы нам было легче защитить коммуникации на примере существующей централизованной инфраструктуры, скомпрометированной АНБ, Китаем, Ираном или любой другой стороной, которая управляет ключами от царства.

Ключевой задачей ПО Tor является сокрытие вашей идентичности от вашего получателя и сокрытие идентичности вашего получателя и содержимого ваших коммуникаций от наблюдателей на вашей стороне соединения. Сам по себе, Tor не защищает содержимое исходных коммуникаций по мере того, как они выходят за пределы сети Tor. Это значит, что Tor полезен при защите от некоторых видов анализа метаданных, но это также значит, что Tor лучше использовать совместно с другими средствами.

Посредством использования HTTPS-everywhere[link6] в Торбраузере[link7] во многих ситуациях мы можем защитить содержимое ваших коммуникаций в случае, если часть сети Tor и/или инфраструктура вашего получателя скомпрометирована слежкой. EFF показывает это на превосходной интерактивной иллюстрации[link8], помогающей проиллюстрировать и прояснить свойства этих сочетаний.

Совместное использование Tor с дополнительным ПО, таким как TorBirdy[link9], Enigmail[link10], OTR[link11] и Diaspora[link12], также может защитить содержимое ваших коммуникаций в случаях, когда инфраструктура коммуникаций (Google/Facebook) скомпрометирована.

Однако, реально интересным случаем использования Tor перед лицом просеивающей слежки, является не то, что Tor может защищать от анализа сведения о ваших учётных записях в gmail/facebook (фактически, Tor никогда не сможет реально защитить метаданные использования учётных записей), но Tor и скрытые сервисы являются актуальным блоком создания систем, в которых никакой единственной стороне невозможно получить полные метаданные, сведения о частоте коммуникаций или содержимое.

Скрытые сервисы Tor — это произвольные точки коммуникации, которые устойчивы как к анализу метаданных, так и к слежке.

Простой (для развёртывания) пример скрытого сервиса, значительно препятствующий такому типу слежки — это XMPP[link13]-клиент, совмещающий в себе XMPP-cервер и скрытый сервис Tor. Такие коммуникационные P2P системы (где клиенты сами являются серверами) одновременно и безопасны от начальной до конечной точки связи и одновременно не имеют единого центрального сервера, который бы обладал сведениями о метаданных. Такие коммуникации приватны, псевдонимны и не включают единой центральной стороны или посредника.

Более сложные примеры могут включать использование Diaspora[link14] или других децентрализованных социальных сетей[link15].

Несмотря на эти убедительные примеры использования и мощные возможности комбинированных средств, проект Tor не питает иллюзий, что такие более продвинутые конфигурации будут лёгкими, удобными в использовании или приемлемыми для широкой публики.

Мы понимаем, что огромное количество работы должно быть выполнено даже для таких базовых средств, как Tor Browser, TorBirdy, EnigMail и OTR для того, чтобы работать прозрачно и безопасно для большинства пользователей, не считая столь сложных комбинаций как XMPP или Diaspora на базе скрытых сервисов.

Помимо этого, скрытые сервисы сами по себе требуют дополнительных мер по доработке[link16] ещё только для того, чтобы достигнуть их изначально задуманного уровня безопасности, не считая проблемы масштабирования на большое число конечных точек связи.

Являясь Open Source проектом с ограниченным уровнем ресурсов, мы рады вкладам от сообщества, которые помогут сделать любое ПО лучше работающим с Tor или помощи в улучшении работы самого Tor.

Если вы не разработчик, но всё ещё хотите помочь нам в успехе нашей миссии защиты коммуникаций всего мира, пожалуйста делайте пожертвования[link17]! Это тоже важное дело.

Мы будем держать вас в курсе по мере раскрытия точных подробностей этой программы.

© Mike Perry

Источник: The Tor Blog[link18]

Ссылки
[link1] http://www.pgpru.com/novosti/2013/anbsshasleditzapoljzovateljamikrupnejjshihtehnologicheskihkompanijj

[link2] https://en.wikipedia.org/wiki/PRISM_(surveillance_program)

[link3] http://www.washingtonpost.com/wp-srv/special/politics/prism-collection-documents/

[link4] http://www.reuters.com/article/2013/05/10/us-usa-cyberweapons-specialreport-idUSBRE9490EL20130510

[link5] http://www.thebulletin.org/web-edition/op-eds/cyberweapons-bold-steps-digital-darkness

[link6] https://www.eff.org/https-everywhere

[link7] https://www.torproject.org/download/download-easy.html

[link8] https://www.eff.org/pages/tor-and-https

[link9] https://addons.mozilla.org/en-us/thunderbird/addon/torbirdy/

[link10] http://www.enigmail.net/home/index.php

[link11] https://en.wikipedia.org/wiki/Off-the-Record_Messaging#Client_support

[link12] https://joindiaspora.com/

[link13] https://en.wikipedia.org/wiki/Xmpp

[link14] https://en.wikipedia.org/wiki/Diaspora_(software)

[link15] https://en.wikipedia.org/wiki/Comparison_of_software_and_protocols_for_distributed_social_networking

[link16] http://www.pgpru.com/novosti/2013/proekttorpriglashaetpomochjvrazrabotkeskrytyhservisov

[link17] https://www.torproject.org/donate/donate.html.en

[link18] https://blog.torproject.org/blog/prism-vs-tor