Дело в том, что в материалах, которые мне посчастливилось обнаружить, обсуждается техническое устройство. Обсуждение организации можно встретить на форумах (в частности, на вашем), но и там требуется некоторый объём начальных знаний, чтобы понять смысл обсуждаемого. Конечно, я человек догадливый и сам могу догадаться, но хотелось бы знать точно. Вопросы:
- анонимность обеспечивается таким образом, что клиенты используют чужие IP-адреса (чужие имена)?
- требуется ли от каждого клиента, чтобы он представлял свой IP-адрес другим клиентам, то есть был exit-node? (догадываюсь, что нет)
- если клиент не является exit-node, считается это личерством, как в file-sharing сетях? (то есть клиент использует ресурсы сети, но сам ресурсов не предоставляет, за что все неличеры его дружно ненавидят)
- может ли стать exit-node любой клиент, или это привилегия?
- если я exit-node, как мне защититься от противозаконных действий, выполняемых другими клиентами под моим именем?
- могу ли я допускать входящие соединения только от тех клиентов, которых я знаю, защитит ли это от опасности в предыдущем пункте?
Спасибо за внимание.
А как удостовериться, что мы скачали именно тот клиент, если возможна MiM-атака?
Качать только сорцы и внимательно их пролистывать?
комментариев: 9796 документов: 488 редакций: 5664
Иначе скачайте с сайта https://www.torproject.org ключи и сверяйте подписи вручную. Для защиты от MiTM можете скачивать по разным каналам, попросить кого-то из знакомых сверить подпись и т.д.
Собственно, который я тоже скачал из интернета.
Вот это уже должно давать большую гарантию, да. Скажем, по телефону.
Ясно, спасибо.
Вот прямая ссылка на детальную инструкцию, как это сделать: https://www.torproject.org/verifying-signatures.html (русского перевода к сожалению нет)
Главное в такой цепочке проверок, если вы не можете использовать Сеть доверия, убедиться что вас не отмитмили при получении pgp ключей. (правда для успеха вас должны митмить перманентно, включая ваше скачивание дистрибутивов, cекурный серфинг через https указанной страницы и т.д.)
комментариев: 271 документов: 13 редакций: 4
А автор программы — не мир? :) Автор программы заходит на собственный сайт анонимно, скачивает ключ, проверяет ключ. Это легко.
комментариев: 9796 документов: 488 редакций: 5664
Но ведь Сеть доверия предполагает и личные встречи, обмен ключами вживую. Поэтому контролировать надо все коммуникации, не только цифровые. Напоминает голливуд с матрицей и шоу трумана. Впрочем как знать, голливуд ли. Вместо владельца ключа, на реальных встречах можно использовать живой аналог цифрового митма – андроида.
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 11558 документов: 1036 редакций: 4118
:DDDDDDDDDD Аутсорсинг, однако. :-)