id: Гость   вход   регистрация
текущее время 12:00 28/03/2024
Владелец: ygrek (создано 30/10/2006 11:34), редакция от 18/10/2018 13:45 (автор: Frank) Печать
Категории: софт, анонимность, tor
создать
просмотр
редакции
ссылки

Tor


Оглавление документа:


Официальный сайт | Скачать | Документация
Поддерживаемые ОС: Windows / MacOS X / Linux / BSD / Unix

О программе


Tor — это анонимизирующая сеть. Клиент сети Tor с дополнительными программами Tor Browser Bundle (с сайта проекта можно скачать отдельно клиент и компоненты, затем настроить вручную) Tor обеспечивает скрытное нахождения в интернете, защищает от анализа и прослушивания трафика, скрывает IP адрес. Названные свойства достигаются за счет "многослойного" зашифрования передаваемого трафика для нескольких произвольно выбранных узлов сети Tor и последовательной трансляции через эти узлы к получателю (в итоге, последний Tor-узел и получатель не знают, кто передавал им трафик, а первый Tor-узел в цепочке не имеет представления о месте назначения).


!Внимание: Tor не станет каким-то волшебным образом защищать весь ваш трафик только за счет того, что вы его установили. Вам потребуется определенным образом перенастроить используемые программы, а также, возможно, пересмотреть свое поведение в Сети. Некоторые рекомендации приведены ниже.

Следует отметить, что анонимность достигается не "бесплатно". В частности, пропускная способность сети Tor ниже, чем при прямых соединениях, передача через сеть вводит определенные задержки, но, тем не менее, скорость остается, как правило, выше, чем при коммутируемом модемном подключении. Кроме того, Tor налагает некоторые ограничения на содержание передаваемых данных: к примеру, не прибегая к особым ухищрениям, через него невозможно отправить простое письмо из мэйл-клиента, что сделано для предотвращения использования сети для рассылки спама.

Obfsproxy


Obfsproxy — версия клиента Tor с маскировкой трафика, при её использовании найти установленное соединение с Tor сложнее. Блокировка трафика при использовании этой версии Tor маловероятна.
Обратите внимание, что на момент написания версия помечена, как alpha следовательно может содержать опасные ошибки.

Меры предосторожности


Важное предупреждение заключается в том, что Tor обеспечивает анонимность только на транспортном уровне, т.е. скрывает ваш IP-адрес от получателя и не позволяет выделить в потоке передаваемого через сеть трафика конкретно ваш. В то же время, Tor не волнует протокольный уровень и содержимое передаваемых вами данных. Вот что вам нужно иметь в виду перед установкой Tor, если вы рассчитываете получить достаточный уровень анонимности:


  • Если изменить настройки без понимания последствий плагины и различные надстройки для браузера могут тривиально раскрыть ваш IP (например, плагин Adobe Reader, позволяющий читать документы PDF в окне браузера, может обойти параметры прокси-сервера и открыть документ напрямую, минуя Tor, что разрушит вашу анонимность). Такие же действия могут выполнять Java-апплеты, компоненты ActiveX и Flash и др.

  • Для работы через Tor необходимо использовать последнюю версию TorBrowser из стандартного пакета. Простой установки дополнений из сборки на стандартный Firefox недостаточно и настройки недостаточно. В форке Firefox от проекта Tor пропатчен код.

  • Параметры прокси можно указывать и в других программах. В таком случае нужно:
    1. Указать socks-адрес Tor в соединяемой программе. Или указать все типы поддерживаемых протоколов (включая FTP, Gopher и др.) при использовании локального прокси – программы-посредника между Tor и программой (такая программа используется, если соединяемая не поддерживает socks). Настройка на примере COMODO Firewall.
    2. В Windows для направления соединения программы в Tor можно использовать программы проксификаторы. Для linux средства самой системы.
    Внимание. В этом случае следует понимать, что может выдать о вас соединяемая программа. Кроме этого появляются дополнительные способы обноружить пользователя Tor.
    Примечание. К сети Tor для большей анонимности можно подключать Torrent клиент, но это засоряет сеть Tor и может негативно на ней сказаться (на сети в общем).

  • Небезопасное использование cookies способно разрушить анонимность, несмотря на использование Tor. В лучшем случае cookies следует полностью отключить или грамотно контролировать.

  • DNS-запросы программ, идущие в обход сети Tor к DNS-серверу провайдера, столь же опасны. Следует заблокировать фаерволом доступ TorBrowser (форк firefox из сборки) ко всем адресам кроме локального (127.0.0.1) на порт используемый для связи с Tor.

  • И, наконец, будьте внимательны к тому, что публикуете в Сети. Если вы используете Tor, но при этом сообщаете в каком-нибудь форуме свое реальное имя или никнэйм, которым пользуетесь при неанонимных подключениях, то винить Tor будет не в чем.

См. также /FAQ/Анонимность

Полезные дополнения и пакеты


Tor BrowserКоманда разработчиков Tor и Стивен Мёрдок из Кэмбриджа поддерживают собственный дистрибутив браузера Firefox, преднастроенного на безопасную работу через сеть Tor. Помимо Firefox пакет Tor Browser включает сам Tor-клиент, контроллер Vidalia, локальный прокси Polipo и расширение Torbutton (укреплённая экспериментальная версия) для браузера. Все программы настроены на совместную работу и запуск одним кликом мыши. Пакет особенно рекомендован начинающим пользователям.
TailsTails – это "живая" (live) операционная система, которая направлена на сохранение вашей конфиденциальности и анонимности. Она помогает вам использовать Интернет анонимно и обходить цензуру практически в любом месте, где бы вы ни находились, и на любом компьютере, но не оставлять никаких следов, если вы явно этого не попросите. Это полная операционная система, предназначенная для использования с USB-накопителя или DVD-диска независимо от исходной операционной системы компьютера. Это бесплатное программное обеспечение, основанное на Debian GNU/Linux. Tails поставляется с несколькими встроенными приложениями, предварительно настроенными с учетом безопасности: веб-браузер, клиент обмена мгновенными сообщениями, почтовый клиент, офисный пакет, редакторы изображения и звука и т.п.
PortableTorСществовал в прошлом, сейчас является стандартным для систем Windows. Портативный пакет Tor, не требующий инсталляции на компьютер. Работает с флэшки или любого другого носителя, позволяя сохранять сетевую анонимность, находясь за общественным компьютером или там, где недоступна установка программ.
JanusVMПредставляет собой виртуальную машину (на базе Linux), действующую в роли локального прокси-сервера. Внешнее соединение с провайдером устанавливается из виртуальной машины JanusVM (которая принудительно заворачивает весь проходящий трафик в Tor), а пользовательская host-система (Windows или Linux) подключается к виртуальной по внутреннему VPN-соединению. Следует понимать, что при этом виртуализируется только сетевой адаптер, а не браузер, поэтому плагины всё равно нужно отключать.

 
На страницу: 1, 2, 3, 4, 5, 6, 7 След.
Комментарии [скрыть комментарии/форму]
— unknown (22/03/2014 13:56)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Там лежит такой файл, для текущей версии он здесь. В нём контрольные суммы всех сборок текущей версии. В Linux по нему можно проверить свой вариант TBB командой:

Этот файл может (и должен) быть подписан всеми доверенными подписями. Так принято распространять образы Linux-систем, собранные пакеты и пр.


Вы по аналоговым модемным линиям эпохи 90-х годов прошлого века файлы скачиваете? Если он просто случайно побьётся, то скорее архив не распакуется. Проверка нужна не для этого. Злоумышленник может подменить и файл и контрольную сумму. Нужна защита от него, а не от случайной ошибки.


Давно уже неактуально. Сайт могут взломать, подменив программу прямо на нём. Могут получить фальшивый сертификат SSL и вклиниться посредине, подменив вам программу в процессе скачивания. Всё доверие только к подписям самих файлов или их хэшей. Это позволяет размещать файлы на зеркалах, торрентах, где угодно.

Судя по опубликованным тактикам АНБ, которые являются общими для спецслужб, хакеров-взломщиков и других злоумышленников, их представители захватывают контроль над каналами связи, сетевым оборудованием и компьютерами админов проектов, так что неполадки с подписями могут свидетельствовать о подозрительной активности.

Уж не из-за Эринн ли проверяли в своё время виртуалки, на которых компилились бинарники TBB? Смешно если у них виртуалка под это дело (по крайней мере с виндой, для сборки виндовых версий), находится на хостинге, который им физически может быть даже неподконтролен.
— Гость (22/03/2014 19:21)   <#>
Проверил:
WARNING: This key is not certified with a trusted signature!
Перевел:
ВНИМАНИЕ: Этот ключ не заверен доверенной подписью!

— Гость (22/03/2014 20:52)   <#>
Если он просто случайно побьётся, то скорее архив не распакуется. Проверка нужна не для этого.

Не, для этого тоже нужна.
Года для назад, я скачивал MapUpdate (карты для навигатора) объем около 1Гб, скачал и иконка на файле появилась.
Когда устанавливал уже в самом конце примерно 97 процентов ошибка и всё откатилось назад, попробовал ещё раз, тоже самое. Пришлось скачать ещё раз, сравнил файлы по содержимому – разные. Скачал в третий раз, при сравнении файлов два последних были одинаковые. Карты установились. Время потратил много.
И ещё был случай, скачал архив (плохо скачался) распаковал, понимаю файлы не все, скачал еще раз, всё стало на свои места. Хорошо архивчик был маленький по объему.
— Гость (22/03/2014 22:16)   <#>

У всех кто собирает TBB стоит виртуалка, контролируется набором скриптов из gitian. В виртуалке крутится ubuntu (потому как gitian родом оттуда). Под все платформы сборка производится с использование кроссплатформенных инструментов. Каждый кто собирает одну и ту-же версию TBB должен получить готовый дистрибутив с идентичным хэшем в результате. Разработчики используют разные устройства для сборки TBB, кто-то свой лэптоп, кто-то арендованный сервер. Обычно перед дистрибуцией они сверяют хэши результатов у не менее чем трёх независимых сборщиков. Каждый может собрать конкретную версию TBB сам и проверить, что результат совпадает до байта.
— Гость (22/03/2014 22:31)   <#>

Происходит примерно так. Если они сидят в чате (но могут и через мыло). Один постит хэши для своей сборки, второй тоже. Раз хэши совпали, то можно подписать результат и начать заливать дистрибутив и подпись. Каждый подписывает локально свой результат, но от перемены подписей ничего по сути не поменяется, потому как результат одинаковый.
— Гость (23/03/2014 01:18)   <#>

Странно, у меня в этой директории есть только debian-archive-keyring.gpg и debian-archive-removed-keys.gpg. Нужно установить дополнительный пакет какой-нибудь? Если да, то как же до установки пакета сличались подписи на пакетах?


Сложность подбора коллизий ранее уже обсуждалась [1], [2].


Даже если бы такого файла не было, а были бы только файлы PGP-подписей, хэши оттуда можно было бы, в принципе, выудить (с технической точки зрения подпись — подпись хэша от данных). Не знаю, делается ли такая процедура встроенным функционалом GnuPG.


Это где-то задекларировано на сайте Tor-проекта? Можете показать ссылку?


Ну так заверьте! Только проведите перед этим комплекс мер по установлению подлинности ключа, чтобы факт заверения не был чистой формальностью: от того, что GnuPG перестанет выдавать предупреждение, безопасность сама по себе не улучшится, и защита от MITM тоже. Для параноиков есть чисто локальные подписи — lsign.


Кстати, уже не впервой...
— sentaus (23/03/2014 01:45)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Нужно установить дополнительный пакет какой-нибудь?

debian-keyring наверно поставить надо.
— Гость (23/03/2014 01:55)   <#>

Они декларируют identical packages
Сверка нескольких независимых результатов перед анонсом новой версии это проверка для них самих, очередной раз убедиться, что хэши совпали.
— Гость (23/03/2014 07:25)   <#>

Действительно. После инсталляции там много нового появилось, в том числе — debian-keyring.pgp, который есть файл нулевого размера. И расширение для UNIX'ов странное.


Про детерминированные сборки — это всё понятно. Я имел в виду, откуда взялось конкретное число три. Сходу в новости об этом там не вижу. Ткните пальцем. :)
— Гость (23/03/2014 14:09)   <#>

Некуда. Число три было взято из наблюдения за числом подписей которые публикуют разработчики. Могли бы и 6 и 10, но наверно ждать их всех устанут. Могли бы и 2. Или вообще 1, если считать, что сбоев нет и получаются "детерминированные" сборки. Может они АНБ опасаются, ведь 3 лучше 2.

То, что разработчики сверяют хэши сборок это факт почерпнутый из наблюдения в чате.
— unknown (23/03/2014 17:50)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Keyring мантейнеров не используется в проверке пакетов из самого дистрибутива. В проверке пакетов используется общий заверяющий ключ дистрибутива, а ключи мантейнеров — для построения доверия к ним и между ними.

Побочный эффект для пользователя Debian — через этот keyring-пакет, он может протянуть цепочку доверия от своего дистрибутива к ключам торпроджекта и к некоторым другим проектам. А вот к оригинальным разработчикам GnuPG, как выясняется, не может.

Рекомендуется кейринги из пакетов в конфиг на постоянной основе GnuPG не подключать (не прописывать) и не обновлять их штатными способами GnuPG, а только задавать как временные внешние кейринги через ком.-строку.
— Гость (24/03/2014 00:18)   <#>

Это понятно. Файлы, принадлежащие пакетам, должны обновляться только пакетным менеджером, иначе появится путанница и несовместимость. А собственный кейринг вообще лучше разбить на несколько непересекающихся, каждый — для своей роли: абоненты по переписке; ключи для сверки софта; старые уже ненужные ключи (бэкапы), которые вряд ли понадобятся и т.д.


Мейнтейнер пакета, который заверяет этим ключом конкретный пакет, на что опирается? На PGP-подпись разработчика и сеть доверия?
— Гость (24/03/2014 00:19)   <#>

Их irc-канала в смысле?
— unknown (24/03/2014 11:34)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664


Между собой мэнтейнеры дистрибутива переписываются своими ключами, сверяются и подают пакет на подпись общим ключом дистра. Пакетный менеджер пользователя имеет дело только с этим ключом, всё доверие висит на нём. Если где-то будет подмена, так, что пакет пройдёт процедуру финального подписывания, то пользователь ничего по самой подписи не выявит. Но если подмена рано или поздно всплывёт, то внутри проекта можно будет раскрутить всю цепочку подписей обратно и выявить, на какой стадии был сбой, компрометация или злоупотребление доверием.

Один из разработчиков Tor (Lunar) входит и в торпроджект, и в Debian, их ключи взаимно подписаны. Мэнтейнеры GnuPG из Debian, возможно, в команду разрабов самого GnuPG (апстрим) не входят. Каким-то образом доверие к ключу Вернера они установили, но по каким-то причинам (может даже идеологическим) взаимные подписи друг другу не поставили. Возможно, у них даже есть аккаунт в апстриме, хотя они туда активно не коммитят. Возможно, они регулярно получают от Вернера подписанные сообщения персонально или в рассылке, но, к примеру, напрямую с Вернером не встречались. Могут быть ещё какие-то варианты, по которым они считают, что не выполнили все условия для простановки взаимных экспортируемых подписей доверия.

Когда хэши Tor подписываются несколькими разрабами — это возможность частично увидеть и проверить вручную построение отношений доверия между отдельными разработчиками, чего нет при централизованном подписании ключом проекта. С другой стороны, разрабам Tor неудобно объяснять, почему кто-то подписал текущую версию, а кто-то — нет. Транслировать в блог свои жизненные события, отпуска, поездки, больничные и пр. отмазки как-то не очень удобно.
— SATtva (24/03/2014 15:24)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Всё-таки 0x4F25E3B6 совсем короткий отпечаток и коллизия к нему подбирается элементарно, а 0x249B39D24F25E3B6 — длиннее, хотя тоже не очень. Но это по крайней мере максимум длины, по которому можно искать на серверах.

ЕМНИП, в текущей версии SKS это ограничение сняли, искать можно по всему отпечатку.
На страницу: 1, 2, 3, 4, 5, 6, 7 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3