Quant al Tor

Com ja hem esmentat, algú que pugui veure tant el teu trànsit com el del web de destí o el del teu node de sortida de Tor, llavors podrà correlar els temps del teu trànsit abans i després de sortir de la xarxa Tor. Tor no et defensa contra tal model d'amenaça.

En un cas més limitat, tingues en compte que si una agència censora o policial té l'habilitat d'obtenir observacions específiques de parts de la xarxa, llavors poden verificar la sospita que parlis sovint amb la teva amistat. Observant el teu i el seu trànsit, podria confirmar que els seus temps estan correlats. Recordem que això només és útil per verificar que totes les parts que ja se sospita que s'estiguin comunicant, ho estiguin fent. En la majoria de països, la sospita necessària per obtenir una ordre de registre ja pesa més que el que la correlació de temps podria proporcionar-los.

A més, com que Tor fa servir circuits per més d'una connexió TCP, llavors, en un node de sortida donat és possible d'associar trànsit anònim amb trànsit no anònim. Per tant, ves en compte amb quines aplicacions executes en paraŀlel a través de Tor. Potser fins i tot executa clients de Tor diferents per cada aplicació.

La comunicació per Internet es basa en un model d'emmagatzematge i reenviament que es pot entendre per analogia amb el correu postal: les dades es transmeten en blocs anomenats datagrames o paquets IP. Cada paquet inclou una adreça IP d'origen (del remitent) i una adreça IP de destinació (del receptor), de la mateixa manera que les cartes normals contenen adreces postals del remitent i del receptor. El camí del remitent al receptor implica diversos salts d'encaminadors, on cada encaminador inspecciona l'adreça IP de destinació i reenvia el paquet més a prop del seu destí. Així, cada encaminador entre emissor i receptor aprèn que l'emissor es comunica amb el receptor. En particular, la vostra proveïdora d'Internet local està en condicions de crear un perfil complet del vostre ús d'Internet. A més, tots els servidors d'Internet que poden veure qualsevol dels paquets poden perfilar el vostre comportament.

L'objectiu de Tor és millorar la vostra privadesa enviant el vostre trànsit a través d'una sèrie de servidors intermediaris. La vostra comunicació es xifra en diverses capes i s'encamina mitjançant diversos salts a través de la xarxa Tor fins al receptor final. Podeu trobar més detalls sobre aquest procés en aquesta visualització. Tingueu en compte que tot el que el vostre ISP local pot observar ara és que us esteu comunicant amb els nodes Tor. De la mateixa manera, els servidors d'Internet només veuen que els nodes Tor estan en contacte amb ells.

En termes generals, Tor pretén resoldre tres problemes de privadesa:

En primer lloc, Tor impedeix que els llocs web i altres serveis aprenguin la vostra ubicació, que poden utilitzar per crear bases de dades sobre els vostres hàbits i interessos. Amb Tor, les vostres connexions a Internet no us delaten per defecte; ara podeu tenir la possibilitat de triar, per a cada connexió, quanta informació revelar.

En segon lloc, Tor impedeix que la gent que vegi el vostre trànsit localment (com ara la vostra proveïdora d'Internet o algú amb accés al vostre wifi o encaminador de casa) aprengui quina informació esteu obtenint i d'on l'esteu obtenint. També els impedeix decidir què podeu aprendre i publicar: si podeu accedir a qualsevol part de la xarxa Tor, podeu accedir a qualsevol lloc d'Internet.

En tercer lloc, Tor encamina la vostra connexió a través de més d'un repetidor de Tor, de manera que cap repetidor pot saber què esteu fent. Com que aquests repetidors són gestionats per diferents individus o organitzacions, la distribució de la confiança proporciona més seguretat que l'antic enfocament de servidor intermediari d'un sol salt.

Tingueu en compte, però, que hi ha situacions en què Tor no resol aquests problemes de privadesa completament: vegeu l'entrada següent sobre atacs restants.

El nom «Tor» pot fer referència a uns quants components diferents.

Tor és un programa que podeu executar al vostre ordinador que us ajuda a mantenir-vos segur a Internet. Us protegeix fent rebotar les vostres comunicacions al voltant d'una xarxa distribuïda de repetidors gestionada per voluntaris d'arreu del món: impedeix que algú que vegi la vostra connexió a Internet aprengui quins llocs visiteu i evita que els llocs que visiteu aprenguin la vostra ubicació física. Aquest conjunt de repetidors voluntaris s'anomena xarxa Tor.

La majoria de la gent utilitza Tor amb el Navegador Tor, que és una versió de Firefox que soluciona molts problemes de privadesa. Podeu llegir més sobre Tor a la nostra pàgina Quant a Tor.

El Projecte Tor és una organització sense ànim de lucre (caritat) que manté i desenvolupa el programari Tor.

Tor és la xarxa d'encaminament onion. Quan estàvem començant el disseny i la implementació de la nova generació de l'encaminament onion el 2001-2002, li explicàvem a la gent que estàvem treballant en l'encaminament onion i ens deien "Genial. En quin?" Tot i que l'encaminament onion s'ha convertit en un terme estàndard, Tor va néixer del projecte d'encaminament onion realitzat pel Naval Research Lab.

(També té un bon significat en alemany i turc.)

Nota: tot i que originàriament prové d'un acrònim, Tor no s'escriu "TOR". Només la primera lletra està en majúscula. De fet, normalment podem detectar persones que no han llegit cap dels nostres llocs web (i, en canvi, han après tot el que saben sobre Tor dels articles de notícies) pel fet que l'escriuen malament.

No, no ho fa. Cal que utilitzeu un altre programa que comprengui eixa aplicació i el seu protocol, i que conegui com netejar o «agranar» les dades que hi envia. El Navegador Tor prova de mantenir les dades a escala d'aplicació, com ara la cadena d'agent d'usuari, uniforme per a tots els usuaris. Tanmateix, el Navegador Tor no pot fer res amb el text que escriviu als formularis.

Un servidor intermediari típic configura un servidor arreu a internet i us permet utilitzar-lo per a reconduir el vostre trànsit. Això crea una arquitectura simple i fàcil de mantenir. Tots els usuaris entren i se'n van a través del mateix servidor. El proveïdor podria cobrar per utilitzar el servidor, o finançar els seus costs mitjançant publicitat al servidor. Amb la configuració més simple, no heu d'instal·lar res. Només cal que dirigiu el navegador al servidor intermediari. Els servidors intermediaris simples són solucions adequades si no voleu protegir la vostra privadesa i anonimat en línia, i confieu que el proveïdor no faci res dolent. Alguns servidors simples utilitzen SSL per a fer segura la vostra connexió, i això us protegeix contra tafaners locals, com els que podríeu trobar en un cafè amb WiFi gratis.

Els servidors intermediaris simples també creen un punt de fallada únic. El proveïdor coneix qui sou i on navegueu en internet. Poden veure el vostre transit mentre passa a través del seu servidor. De vegades, inclús poden veure el vostre trànsit xifrat mentre l'envien al lloc web del vostre banc o comerç electrònic. Heu de confiar que el proveïdor no està vigilant el vostre trànsit, injectant els seus anuncis en el flux de dades, o enregistrant els vostres detalls personals.

El Tor passa el vostre trànsit a través de, com a mínim, 3 servidors diferents abans d'enviar-lo al seu destí. Ningú que vigili la vostra connexió a internet pot modificar ni llegir el que esteu enviat a la xarxa Tor, perquè hi ha una capa separada de xifratge per a cadascun dels tres relés. El vostre trànsit es xifra entre el client Tor (en el vostre equip) i on surt, en algun altre lloc del planeta.

I el primer servidor no veu on sóc?

Possiblement. Un primer servidor dolent pot veure que des del vostre equip arriba trànsit Tor xifrat. Tot i això, no sap qui sou i què esteu fent en la xarxa Tor. Gairebé no veu «Aquesta IP està utilitzant el Tor». De tota manera, la protecció fa que aquest servidor no pugui esbrinar ni qui sou ni on aneu en la internet.

Pot veure el meu trànsit el tercer servidor?

Possiblement. Un tercer servidor dolent pot veure el trànsit que envieu al Tor. Però no sabrà qui l'ha enviat. Si utilitzeu algun xifratge (com ara HTTPS), només sabrà quin és el seu destí. Consulteu aquest gràfic de Tor i HTTPS per entendre com interactuen Tor i HTTPS.

Sí.

El Tor és programari lliure. Això significa que us donem els drets per a distribuir el programari Tor, tant modificat com sense modificar, tant de pagament com gratis. No cal que ens demaneu cap permís en concret.

Tot i això, si voleu redistribuir el Tor, haureu de seguir la nostra LLICÈNCIA. En resum, això significa que cal que inclogueu el nostre fitxer de LLICÈNCIA junt amb qualsevol part del programari Tor que distribuïu.

De tota manera, la majoria dels qui ens pregunten sobre això no volen distribuir només el Tor. Volen distribuir el Navegador Tor. Això inclou el Firefox Extended Support Release, i el complement NoScript. També cal que seguiu la llicència d'aquests programes. Ambdós complements del Firefox es distribueixen sota la GNU General Public License; en canvi, el Firefox ESR s'allibera sota la Mozilla Public License. La forma més senzilla d'obeir les seves llicències és incloure el codi font d'eixos programes a tots els llocs on inclogueu els mateixos programes.

També haureu d'assegurar-vos de no confondre els vostres lectors sobre què és el Tor, qui el fa, i quines propietats proporciona (i quines no). Mireu les nostres PMF sobre la marca per a més detalls.

Hi ha una gran quantitat d'altres programes que podeu utilitzar amb el Tor, però no hem investigat prou, a un nivell detallat, els problemes d'anonimat de tots ells per a poder recomanar una configuració segura. La nostra wiki té una llista d'instruccions mantinguda per la comunitat per a Torificar aplicacions específiques. Si us plau, contribuïu a aquesta llista i ajudeu-nos a mantenir-la precisa!

La majoria de gent utilitza el Navegador Tor, que inclou tot el que necessiteu per a navegar per la web amb seguretat utilitzant el Tor. L'ús de Tor amb altres navegadors és perillós i no recomanat.

No hi ha cap porta del darrere en el Tor.

Coneixem uns quants advocats molt intel·ligents que diuen que és molt poc probable que ningú no ens faci afegir-ne cap en la nostra jurisdicció (Estats Units d'Amèrica). Si ho intenten, els plantarem cara, i (els advocats diuen que) probablement guanyarem.

Mai no posarem cap porta del darrere en el Tor. Pensem que posar-li una porta del darrere al Tor seria tremendament irresponsable de cara als nostres usuaris, i un precedent dolent per a la seguretat del programari en general. Si alguna vegada posem una porta posterior deliberada al nostre programari de seguretat, arruïnaria la nostra reputació professional. Ningú tornaria a confiar en el nostre programari, per excel·lents raons!

Però, dit això, hi ha multitud d'atacs subtils que la gent podria intentar. Algú podria fer-se passar per nosaltres, o colar-se en els nostres ordinadors, o alguna cosa similar. El Tor és de codi obert, i sempre hauríeu de comprovar el codi (o almenys les diferències amb la versió anterior) si hi noteu alguna cosa sospitosa. Si nosaltres (o els distribuïdors que us han donat Tor) no us donem accés al codi font, això és un senyal de que alguna cosa no va bé. També hauríeu de comprovar les signatures PGP a les versions, per assegurar-vos que ningú no ha manipulat els llocs de distribució.

A més d'això, podrien haver-hi errors accidentals en el Tor que podrien afectar el vostre anonimat. Trobem i corregim periòdicament errors relacionats amb l'anonimat, així que assegureu-vos que teniu actualitzada la vostra versió del Tor.

Tor (com tots els dissenys pràctics d'anonimat de baixa latència actuals) falla quan l'atacant pot veure els dos extrems del canal de comunicacions. Per exemple, suposem que l'atacant controla o mira el repetidor Tor que trieu per entrar a la xarxa i també controla o mira el lloc web que visiteu. En aquest cas, la comunitat d'investigació no coneix cap disseny pràctic de baixa latència que pugui impedir de manera fiable que l'atacant correlacioni la informació de volum i temps dels dos costats.

Aleshores, què hem de fer? Suposem que l'atacant controla, o pot observar, C repetidors. Suposem que hi ha N repetidors en total. Si seleccioneu nous repetidors d'entrada i sortida cada vegada que utilitzeu la xarxa, l'atacant podrà correlacionar tot el trànsit que envieu amb probabilitat al voltant de (c/n)2. Però la creació de perfils és, per a la majoria d'usuaris, tan dolent com ser rastrejat tot el temps: volen fer alguna cosa sovint sense que un atacant s'adoni, i que l'atacant ho noti només una vegada és tan dolent com si l'atacant se n'adonés més sovint. Per tant, escollir moltes entrades i sortides aleatòries no ofereix a l'usuari cap possibilitat d'escapar del perfil d'aquest tipus d'atacant.

La solució són els "guardes d'entrada": cada client de Tor selecciona uns quants repetidors a l'atzar per utilitzar-los com a punts d'entrada i només utilitza aquests repetidors per al seu primer salt. Si aquests relleus no es controlen ni s'observen, l'atacant no pot guanyar, mai, i l'usuari està segur. Si aquests repetidors són observats o controlats per l'atacant, l'atacant veu una part més gran del trànsit de l'usuari, però tot i així l'usuari no té més perfil que abans. Així, l'usuari té alguna possibilitat (de l'ordre de (n-c)/n) d'evitar la creació de perfils, mentre que abans no en tenia cap.

Podeu llegir-ne més a Anàlisi de la degradació dels protocols anònims, Defensa de la comunicació anònima contra els atacs de registre passiu, i especialment Localitzant servidors ocults.

Restringir els vostres nodes d'entrada també pot ajudar contra atacants que volen executar uns quants nodes de Tor i enumerar fàcilment totes les adreces IP dels usuaris de Tor. (Tot i que no poden saber a quines destinacions parlen els usuaris, encara poden fer coses dolentes amb només una llista d'usuaris.) Tanmateix, aquesta característica no serà realment útil fins que també passem a un disseny de "guardes de directoris".

Tor utilitza una varietat de claus diferents, amb tres objectius en ment: 1) xifratge per garantir la privadesa de les dades dins de la xarxa Tor, 2) autenticació perquè els clients sàpiguen que estan parlant amb els repetidors amb els quals volen parlar i 3) signatures per assegurar-se que tots els clients coneixen el mateix conjunt de repetidors.

Xifratge: primer, totes les connexions a Tor utilitzen el xifratge d'enllaç TLS, de manera que els observadors no poden mirar dins per veure a quin circuit està destinada una cèl·lula determinada. A més, el client de Tor estableix una clau de xifratge efímera amb cada repetidor del circuit; aquestes capes addicionals de xifratge signifiquen que només el repetidor de sortida pot llegir les cel·les. Ambdues parts descarten la clau del circuit quan el circuit s'acaba, de manera que registrar el trànsit i després entrar al repetidor per descobrir que la clau no funcionarà.

Autenticació: cada repetidor de Tor té una clau de desxifrat pública anomenada "clau onion". Cada repetidor fa girar la seva clau onion cada quatre setmanes. Quan el client de Tor estableix circuits, a cada pas demana que el repetidor de Tor demostri el coneixement de la seva clau onion. D'aquesta manera, el primer node del camí no només pot falsejar la resta del camí. Com que el client de Tor tria el camí, pot assegurar-se d'obtenir la propietat de "confiança distribuïda" de Tor: cap repetidors de la ruta pot saber tant el client com el que està fent.

Coordinació: com saben els clients què són els repetidors i com saben que tenen les claus adequades per a ells? Cada repetidor té una clau de signatura pública a llarg termini anomenada "clau d'identitat". Cada autoritat del directori té, a més, una "clau de signatura del directori". Les autoritats del directori proporcionen una llista signada de tots els repetidors coneguts, i en aquesta llista hi ha un conjunt de certificats de cada repetidor (auto-signat per la seva clau d'identitat) especificant les seves claus, ubicacions, polítiques de sortida, etc. Així, tret que l'adversari pugui controlar la majoria de les autoritats del directori (a partir del 2022 hi ha 8 autoritats del directori), no poden enganyar el client de Tor perquè utilitzi altres repetidors de Tor.

Com saben els clients quines són les autoritats del directori?

El programari de Tor inclou una llista integrada d'ubicacions i claus públiques per a cada autoritat de directori. Per tant, l'única manera d'enganyar els usuaris perquè utilitzin una xarxa Tor falsa és oferir-los una versió del programari especialment modificada.

Com saben els usuaris que tenen el programari adequat?

Quan distribuïm el codi font o un paquet, el signem digitalment amb GNU Privacy Guard. Consulteu les instruccions sobre com comprovar la signatura del Navegador Tor.

Per tal d'assegurar-vos que està signat realment per nosaltres, heu d'haver-nos conegut personalment i haver obtingut una còpia de l'empremta digital de la nostra clau GPG, o heu de conèixer algú que ho hagi fet. Si us preocupa un atac d'aquest nivell, us recomanem que us involucreu amb la comunitat de seguretat i comenceu a conèixer gent.

Tor reutilitzarà el mateix circuit per a nous fluxos TCP durant 10 minuts, sempre que el circuit funcioni bé. (Si el circuit falla, Tor canviarà immediatament a un nou circuit.)

Però tingueu en compte que un sol flux TCP (per exemple, una connexió IRC llarga) romandrà al mateix circuit per sempre. No rotem fluxos individuals d'un circuit a un altre. En cas contrari, un adversari amb una visió parcial de la xarxa tindria moltes oportunitats al llarg del temps d'enllaçar-vos amb la vostra destinació, en lloc d'una sola oportunitat.