Tor について

上記のように、あなたと目的地のウェブサイトまたはあなたのTor出口ノードの両方を見ることができるオブザーバーは、Torネットワークに入るときと出るときのあなたのトラフィックのタイミングを関連付けることが可能です。 このような脅威モデルに対するTorの防御力はありません。

より限定的な意味では、検閲機関や法執行機関がネットワークの一部を具体的に監視する能力を有している場合、両端のトラフィックを観測し、そのトラフィックのみのタイミングを関連付けることによって、あなたが友人と定期的に会話しているという疑いを検証することが可能であることに注意してください。 繰り返しになりますが、これは、すでに相互に通信している疑いのある当事者が通信していることを確認する場合にのみ役立ちます。 ほとんどの国では、令状を取るために必要な疑惑は、タイミングの相関関係で得られる以上の重みをすでに持っています。

さらに、Torは複数のTCP接続のための回線を再利用することにより、ある出口ノードで非匿名と匿名のトラフィックを関連付けることが可能なため、Tor上で同時に実行するアプリケーションには注意してください。 おそらく、これらのアプリケーション用に別のTorクライアントを実行することもできます。

インターネット通信は、郵便になぞらえて理解できる保存転送モデルに基づいています。データは、IPデータグラムまたはパケットと呼ばれるブロックで送信されます。 すべてのパケットには、通常の手紙に差出人と受取人の郵便住所が含まれているように、（送信者の）送信元IPアドレスと（受信者の）宛先IPアドレスが含まれています。 送信者から受信者への経路には、複数のルータのホップが含まれ、各ルータは宛先IPアドレスを検査し、パケットを宛先の近くに転送します。 したがって、送信者と受信者の間のすべてのルータは、送信者が受信者と通信していることを知ります。 特に、あなたの地域のISPは、あなたのインターネット利用の完全なプロファイルを構築することができる立場にあります。 さらに、パケットのいずれかを認識できるインターネット内のすべてのサーバーは、あなたの行動をプロファイリングできます。

Torの目的は、一連のプロキシを介してトラフィックを送信することで、プライバシーを向上させることです。 あなたの通信は多層的に暗号化され、Torネットワークを通じて最終的な受信者まで複数のホップを経由してルーティングされます。 このプロセスの詳細については、この 視覚化 を参照してください。 地元のISPが観察できるのは、あなたがTorノードと通信しているということだけであることにご注意ください。 同様に、インターネット上のサーバーは、Torノードからコンタクトを受けていることがわかるだけです。

一般的に言って、Torは3つのプライバシー問題を解決しようとしています。

第一に、Torはウェブサイトやその他のサービスがあなたの位置情報を知ることを防ぎ、あなたの習慣や興味に関するデータベースを構築するのを防止します。 Torでは、インターネット接続ではデフォルトでは情報が提供されませんが、接続ごとにどの程度の情報を公開するかを選択できるようになりました。

第二に、Torは、あなたのトラフィックをローカルで監視している人 (ISPや自宅のWi-Fiやルーターにアクセスできる人など) が、あなたがどの情報をどこから取得しているかを知ることを防ぎます。 また、あなたが何を学び、公開することが許されるかを決めることもできなくなります -- Torネットワークのどの部分にもアクセスできれば、インターネット上のどのサイトにも到達できます。

第三に、Torは接続を複数のTorリレーを経由してルーティングするため、1つのリレーではユーザーが何をしようとしているかを知ることができません。 これらのリレーは異なる個人または組織によって実行されるため、信頼を分散することで、古い ワンホッププロキシ のアプローチよりもセキュリティが向上します。

ただし、Torがこれらのプライバシー問題を完全に解決できない場合があることに注意してください。以下の 残りの攻撃 のエントリを参照してください。

「Tor」という名前は、Torを構成している複数の異なるプロジェクトで使用されています。

TorはあなたのPCで実行でき、インターネット上であなたを安全に保ちます。 世界中のボランティアによって運営されているリレーの分散ネットワーク上であなたの通信をバウンドさせることによって、あなたを保護します。あなたのインターネット接続を監視している誰かが、あなたが訪問するサイトを知ることを防ぎ、あなたが訪問するサイトがあなたの物理的な位置を知ることを防ぎます。 このボランティアリレーの集合をTorネットワークと呼びます。

多くの人がTorを使う方法は、Tor Browserを使うことです。Tor BrowserはFirefoxの多くのプライバシー問題を解決するバージョンです。 Torの詳細については、 概要 ページを参照してください。

Tor Projectは、Tor ソフトウェアの保守と開発を行う非営利 (慈善) 団体です。

Tor はオニオンルーティングネットワークです。 2001年から2002年にかけて、オニオンルーティングの新しい次世代設計と実装に着手していた頃、私たちがオニオンルーティングに取り組んでいると言うと、人々はこう言ったものだ。「どっち？」と。 オニオンルーティングが一般的な用語になったとしても、Torは海軍研究所が実際に行った オニオンルーティングプロジェクト から生まれました。

(ドイツ語やトルコ語でも細かい意味があります。)

注：もともとは頭字語からきているとはいえ、Torのスペルは "TOR "ではありません。 最初の文字だけが大文字になります。 実際、私たちのウェブサイトをまったく読んでいない（代わりにニュース記事からTorに関する知識をすべて学んだ）人たちは、スペルを間違えているという事実でたいてい見分けることができます。

いいえ、しません。 アプリケーションとプロトコルを理解し、送信するデータを消去または 「スクラブ」 する方法を知っている別のプログラムを使用する必要があります。 Tor Browserは、ユーザーエージェント文字列のようなアプリケーションレベルのデータを、すべてのユーザーに対して統一しようとします。 ただし、Tor Browserはフォームに入力したテキストに対しては何もできません。

一般的なプロキシプロバイダーは、インターネット上のどこかにサーバーを設定し、それを使用してトラフィックを中継できるようにします。 これにより、シンプルでメンテナンスが容易なアーキテクチャが構築されます。 ユーザはすべて同じサーバを経由して出入りします。 プロバイダーは、プロキシの使用料を請求したり、サーバー上の広告を通じて費用を負担したりすることができます。 最もシンプルな構成では、何もインストールする必要はありません。 ブラウザーをプロキシサーバに向けるだけです。 オンラインでのプライバシーと匿名性の保護を望まず、プロバイダーが悪いことをしないと信頼している場合は、単純なプロキシプロバイダーで十分です。 シンプルなプロキシプロバイダの中には、SSLを使用して接続を保護するものもあり、フリーWifiインターネットを備えたカフェなどにいる盗聴者からあなたを守ることができます。

また、単純なプロキシプロバイダーは単一障害点を生み出します。 プロバイダーは、あなたが誰であるかも、インターネットで何を閲覧しているかも知っています。 彼らは、サーバーを通過するあなたのトラフィックを監視することができます。 場合によっては、暗号化されたトラフィックを銀行サイトやeコマースストアに中継する際に、その内部まで見られてしまうこともあります。 プロバイダーがあなたのトラフィックを監視したり、トラフィックの流れに独自の広告を挿入したり、あなたの個人情報を記録したりしていないことを信じる必要があります。

Torは、トラフィックを宛先に送信する前に、少なくとも3つの異なるサーバを通過させます。 3つのリレーごとに個別の暗号化レイヤーがあるため、インターネット接続を監視している人は、Torネットワークに送信している内容を変更したり、読み取ったりすることはできません。 あなたのトラフィックは、（あなたのコンピュータ上の）Torクライアントと、世界のどこかの場所との間で暗号化されます。

1番目のサーバーは私を特定できますか？

可能です。 3つのサーバーの内、1番目のサーバーに悪意がある場合、暗号化されたあなたのTorトラフィックを見ることができます。 あなたが誰で、Tor上で何をしているのかはまだ知られていません。 「このIPアドレスはTorを使用しています」 と表示されるだけです。 インターネット上であなたが誰であり、どこへ行こうとしているのかを把握するこのノードから、あなたはまだ守られています。

3番目のサーバーは私のトラフィックを見ることができますか？

可能です。 3つのサーバーの内、3番目のサーバーに悪意がある場合、あなたのTorトラフィックを見ることができます。 誰がこのトラフィックを送信したかは分かりません。 暗号化 (HTTPSなど) を使用している場合は、宛先のみが認識されます。 TorとHTTPSの相互作用を理解するには、 TorとHTTPS を参照してください。

はい。

The Tor softwareはフリーソフトウェアです。 これは、Torのソフトウェアを、変更してもしなくても、有償または無償で再配布する権利をあなたに与えることを意味します。 特に許可を求める必要はありません。

ただし、Torソフトウェアを再配布する場合は、私たちの ライセンス に従う必要があります。 基本的には、配布するTorソフトウェアのどの部分にも、私たちのLICENSEファイルを含める必要があります。

この質問をする人のほとんどは、Torソフトウェアだけを配布したいわけではありません。 彼らはTor Browserを配布したいと思っています。 これにはFirefox Extended Support ReleaseとNoScript拡張機能が含まれます。 それらのプログラムのライセンスにも従う必要があります。 この2つのFirefox拡張機能はどちらもGNU General Public Licenseに基づいています。GNU General Public LicenseのURLはhttps://www.fsf.org/licensing/licenses/gpl.htmlです。ですが、Firefox ESRはMozilla Public Licenseのもとリリースされています。 彼らのライセンスに従う最も簡単な方法は、バンドル自体を含むすべての場所にこれらのプログラムのソースコードを含めることです。

また、Torとは何か、誰が作っているのか、どのような機能があるのか（そしてないのか）について、読者を混乱させないようにする必要があります。 商標に関するFAQの詳細について読んでください。

Torで使用できるプログラムは他にもたくさんありますが、すべてのプログラムについてアプリケーションレベルの匿名性の問題を十分に調査したわけではないので、安全な構成を推奨できません。 私たちのwikiには、 特定のアプリのトーリング の手順のコミュニティ管理リストがあります。 このリストに追加して正確性の維持に協力してください。

多くの人は、Torを利用したウェブブラウジングを安全に行うためのすべてが入っているTor Browser を使います。 Torを他のブラウザーで使うことは危険であり、推奨されません。

Tor にバックドアは一切存在しません。

私たちの管轄（米国）では、誰かが私たちにバックドアを追加させようとすることはないだろうと言う賢い弁護士も知っています。 もし彼らが私たちに求めてきたら、私たちは彼らと戦い、(弁護士たちは)おそらく勝つでしょう。

私たちは、絶対に、Torにバックドアを仕込みません。 Tor にバックドアを入れることはユーザーに対して非常に無責任な行為であり、加えてセキュリティ ソフトウェア全般において悪い意味での前例になると我々は考えます。 もし我々が我々のセキュリティソフトウェアにバックドアを入れることがあるならば、それは我々のプロとしての名誉を大きく傷つけることとなるでしょう。 誰も私たちのソフトウェアを二度と信用しないでしょう。

そうは言っても、人々が試みる可能性のある巧妙な攻撃はまだたくさんあります。 誰かが私たちになりすましたり、コンピューターに侵入したりするかもしれません。 Torはオープンソースなので、怪しいものがないか常にソース (少なくとも前回のリリースとの違い) をチェックしてください。 もし私たち（あるいはTorを提供したディストリビューター）がソースコードへのアクセス権をあなたに与えないなら、それは何かおかしなことが起こっている可能性がある証拠です。 また、リリースのPGP署名をチェックし、誰も配布サイトを改ざんしていないことを確認することをお勧めします。

加えて、もしかしたらTorに匿名性に悪影響を及ぼすバグがあるかもしれません。 私たちは定期的に匿名性に関わるバグを発見し、修正していますので、Torのバージョンを最新に保つようにしてください。

攻撃者が通信チャネルの両端を認識できる場合、Torは (現在の実用的な低遅延匿名性設計と同様に) 失敗します。 例えば、攻撃者がユーザーがネットワークに入るために選択したTorリレーを制御または監視し、ユーザーがアクセスするウェブサイトも制御または監視しているとします。 この場合、研究コミュニティは、攻撃者が双方のボリュームとタイミング情報を相関させるのを確実に阻止できる実用的な低遅延設計を知りません。

では、どうすればいいのでしょうか？ 攻撃者がCつのリレーを制御している、または監視できるとします。 合計でN個のリレーがあるとします。 ネットワークを利用するたびに新しい入口リレーと出口リレーを選択すると、攻撃者はあなたが送信するすべてのトラフィックを(c/n)2程度の確率で相関させることができます。 しかし、プロファイリングは、ほとんどのユーザーにとって、常に追跡されているのと同じくらい悪いものです。攻撃者に気づかれずに何かをしたいと思うことが多く、攻撃者が1回気づくと、攻撃者がより頻繁に気づくのと同じくらい悪いことになります。 したがって、多くのランダムな出入口を選択すると、ユーザーはこの種の攻撃者によるプロファイリングから逃れることはできません。

解決策は 「エントリーガード」 です。各Torクライアントは、エントリーポイントとして使用するいくつかのリレーをランダムに選択し、それらのリレーのみを最初のホップに使用します。 これらのリレーが制御または監視されていない場合、攻撃者は決して勝つことができず、ユーザーは安全です。 これらのリレーが攻撃者によって監視または制御されている場合、攻撃者はユーザーのトラフィックの大部分を認識しますが、それでもユーザーは以前よりもプロファイルされません。 したがって、ユーザーはプロファイリングを回避できる可能性が（(n-c)/nの配列で）いくらかある。

詳細については、 匿名プロトコルの劣化の分析, 受動的なロギング攻撃から匿名通信を守る,、特に 隠されたサーバーを見つける ) を参照してください。

入口ノードを制限することは、数個のTorノードを走らせ、すべてのTorユーザーのIPアドレスを簡単に列挙しようとする攻撃者に対しても有効です。 (ユーザーが話している宛先を知ることはできなくても、ユーザーのリストだけで悪事を働くことはできるかもしれません。) しかし、この機能は 「ディレクトリガード」 設計に移行するまで、実際には役に立ちません。

Torは3つの目標を念頭に置いて、様々な異なる鍵を使用しています： 1)Torネットワーク内のデータのプライバシーを確保するための暗号化、2)クライアントが意図したリレーと会話していることを確認するための認証、3)すべてのクライアントが同じリレーセットを知っていることを確認するための署名。

暗号化:まず、Torのすべての接続はTLSリンク暗号化を使用するため、監視者は特定の通信がどの回線に向けられているかを内部から見ることはできません。 さらに、Torクライアントは、回線内の各リレーで一時的な暗号化キーを確立します;これらの追加の暗号化層は、出口リレーのみが通信を読み取ることができることを意味します。 回線終了時に双方とも回線キーを破棄するため、トラフィックを記録し、リレーに侵入してキーを発見することはできません。

認証： すべてのTorリレーは "Onion Key "と呼ばれる公開復号鍵を持っています。 各リレーは4週間ごとにOnion Keyを変更します。 Torクライアントが回線を確立すると、各ステップで Torリレーが自分のOnion Keyの知識を証明することを要求します 。 そうすれば、パスの最初のノードが残りのパスを偽装することはできません。 Torクライアントはパスを選択するため、Torの"分散信頼"プロパティを確実に取得できます。つまり、パス内の単一のリレーは、クライアントとクライアントの動作の両方を知ることができません。

調節 :クライアントはどのようにしてリレーが何であるかを知り、どのようにして適切なキーを持っているかを知るのでしょうか？ 各リレーは「IDキー」と呼ばれる長期公開署名鍵を持っています。 各ディレクトリ権限は、さらに 「ディレクトリ署名キー」 を持ちます。 ディレクトリ管理機関は、すべての既知のリレーの署名付きリストを提供します。そのリストには、各リレーの鍵、場所、出口ポリシーなどを指定する、各リレーからの証明書一式(ID鍵による自己署名)が含まれています。 したがって、攻撃者がディレクトリ管理機関の大部分を制御できない限り （2022年現在、8つのディレクトリ管理機関があります）、Torクライアントをだまして他のTorリレーを使用させることはできません。

クライアントはどのようにしてディレクトリ管理機関を知ることができますか？

Torソフトウェアには、各ディレクトリ機関の場所と公開鍵のリストが内蔵されています。 そのため、ユーザーをだまして偽のTorネットワークを使わせる唯一の方法は、特別に改造されたバージョンのソフトウェアを提供することです。

ユーザーはどのようにして適切なソフトウェアを持っているかを知ることができますか？

ソースコードやパッケージを配布するときは、 GNU Privacy Guard でデジタル署名します。 Tor Browserの署名の確認方法 を参照してください。

それが本当に私たちによって署名されたものだと確信するためには、私たちに直接会ってGPGキーのフィンガープリントのコピーを手に入れるか、あるいはそのような人物を知っている必要がある。 このレベルの攻撃を懸念している場合は、セキュリティコミュニティに参加して、人々と出会うことをお勧めします。

Torは新しいTCPストリームに同じ回線を10分間、その回線が正常である限り再利用します。 (回線に障害が発生した場合、Torはただちに新しい回線に切り替わります。)

しかし、1つのTCPストリーム（長いIRC接続など）は、永遠に同じ回線上に留まることにご注意ください。 私たちは、個々のデータの流れを回線ごとに変更することはありません。 そうでなければ、ネットワークを部分的に把握している敵対者に、あなたを目的地までつなげるチャンスは1回だけでなく、時間をかけて何度も与えられることになります。