openPGP в России / Форум / Анонимность в Интернет / вопросы новичка по организации Tor

Дело в том, что в материалах, которые мне посчастливилось обнаружить, обсуждается техническое устройство. Обсуждение организации можно встретить на форумах (в частности, на вашем), но и там требуется некоторый объём начальных знаний, чтобы понять смысл обсуждаемого. Конечно, я человек догадливый и сам могу догадаться, но хотелось бы знать точно. Вопросы:

анонимность обеспечивается таким образом, что клиенты используют чужие IP-адреса (чужие имена)?
требуется ли от каждого клиента, чтобы он представлял свой IP-адрес другим клиентам, то есть был exit-node? (догадываюсь, что нет)
если клиент не является exit-node, считается это личерством, как в file-sharing сетях? (то есть клиент использует ресурсы сети, но сам ресурсов не предоставляет, за что все неличеры его дружно ненавидят)
может ли стать exit-node любой клиент, или это привилегия?
если я exit-node, как мне защититься от противозаконных действий, выполняемых другими клиентами под моим именем?
могу ли я допускать входящие соединения только от тех клиентов, которых я знаю, защитит ли это от опасности в предыдущем пункте?

Спасибо за внимание.

На страницу: 1, 2 След.

Комментарии

—	*Гость* (01/07/2009 11:04) <#>

Я, возможно, некрофил, извиняюсь.

>Список DA и их временных ключей жёстко вшит в сам исходник/исполнимый_файл тора

А как удостовериться, что мы скачали именно тот клиент, если возможна MiM-атака?
Качать только сорцы и внимательно их пролистывать?

—	unknown (01/07/2009 11:31, исправлен 01/07/2009 11:32) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

В (Debian) Linux это проблема решается просто – gpg-ключи части разработчиков Тора заверены главным ключём дистрибутива, если вы доверяете своему дистрибутиву и знаете его ключ, то от этого автоматически проверяется цепочка доверия ко всем пакетам, в т.ч. и к тору.

Иначе скачайте с сайта https://www.torproject.org ключи и сверяйте подписи вручную. Для защиты от MiTM можете скачивать по разным каналам, попросить кого-то из знакомых сверить подпись и т.д.

—	*Гость* (01/07/2009 11:53) <#>

>вы доверяете своему дистрибутиву и знаете его ключ

Собственно, который я тоже скачал из интернета.

>попросить кого-то из знакомых сверить подпись

Вот это уже должно давать большую гарантию, да. Скажем, по телефону.

Ясно, спасибо.

—	*Гость* (01/07/2009 11:57) <#>

Иначе скачайте с сайта https://www.torproject.org ключи и сверяйте подписи вручную.

Вот прямая ссылка на детальную инструкцию, как это сделать: https://www.torproject.org/verifying-signatures.html (русского перевода к сожалению нет)
Главное в такой цепочке проверок, если вы не можете использовать Сеть доверия, убедиться что вас не отмитмили при получении pgp ключей. (правда для успеха вас должны митмить перманентно, включая ваше скачивание дистрибутивов, cекурный серфинг через https указанной страницы и т.д.)

—	*Гость* (03/07/2009 01:10) <#>

Я, возможно, извращенец, но есть один тонкий воркэрануд против

Для защиты от MiTM можете скачивать по разным каналам, попросить кого-то из знакомых сверить подпись и т.д.

а именно следующий: почему все думаю, что MITM будет делать ваш провайдер, а не провайдер сервиса откуда вы скачиваете ключи? Атака будет куда более мощная: весь мир будет думать, что ключ – такой-то (ибо он таков откуда ни скачай), и лишь автор программы иначе. Или цэ давно не америка?

—	poptalk (03/07/2009 06:41) профиль/связь <#> комментариев: 271 документов: 13 редакций: 4

почему все думаю, что MITM будет делать ваш провайдер, а не провайдер сервиса откуда вы скачиваете ключи? Атака будет куда более мощная: весь мир будет думать, что ключ – такой-то (ибо он таков откуда ни скачай), и лишь автор программы иначе.

А автор программы — не мир? :) Автор программы заходит на собственный сайт анонимно, скачивает ключ, проверяет ключ. Это легко.

—	unknown (03/07/2009 09:03) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Или ему кто-то из знакомых в шифрованном письме или разработчиков опять же стукнет в рассылке (где могут регулярно подписывать свои сообщения): а чегой-то у вас ключ внезапно поменялся?

—	*Гость* (03/07/2009 09:52) <#>

Сценарий Гость (03/07/2009 01:10) гарантирован через в митм наоборот, когда контролируются все коммуникации владельца ключа.

Но ведь Сеть доверия предполагает и личные встречи, обмен ключами вживую. Поэтому контролировать надо все коммуникации, не только цифровые. Напоминает голливуд с матрицей и шоу трумана. Впрочем как знать, голливуд ли. Вместо владельца ключа, на реальных встречах можно использовать живой аналог цифрового митма – андроида.

—	unknown (03/07/2009 10:13, исправлен 03/07/2009 10:15) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Если вам повсюду начнут мерещиться андроиды и гуманоиды, всё происходящее кажется как-бы нереальным, вы чувствуете себя внутри какого-то шоу или голливудского фильма – знайте: вас атакуют! Проверьте целостность своих коммуникаций с внешним миром. В этом вам помогут специалисты в белых халатах. :)

—	*Гость* (03/07/2009 11:02) <#>

Или посмотрите фильмы "Матрица", "Револьвер", "ВНУРТЕННЯЯ ИМПЕРИЯ", "Они живы", "Город тьмы", "Шоу Трумана",..., а также google:НЛО+документальный

—	SATtva (03/07/2009 19:38) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Проверьте целостность своих коммуникаций с внешним миром. В этом вам помогут специалисты в белых халатах. :)

:DDDDDDDDDD Аутсорсинг, однако. :-)

На страницу: 1, 2 След.

Ваша оценка документа [показать результаты]