Over Tor

Zoals boven vermeld, is het mogelijk voor een waarnemer die zowel u en ofwel de bestemmingswebsite ofwel uw Tor-uitgangsknooppunt kan bekijken, om de timing van uw verkeer te correleren wanneer dit het Tor-netwerk binnenkomt en ook wanneer dit het verlaat. Tor beschermt niet tegen een dergelijk dreigingsmodel.

Houd in beperkte mate er rekening mee dat als een beoordelaar of wetshandhavingsinstantie de mogelijkheid heeft om specifieke observaties van delen van het netwerk te verkrijgen, het voor hen mogelijk is om een vermoeden dat u regelmatig met uw vriend communiceert te verifiëren door het verkeer aan beide uiteinden te observeren en het correleren van de timing van alleen dat verkeer. Nogmaals, dit is alleen nuttig om te verifiëren dat partijen die reeds verdacht worden met elkaar te communiceren, dit ook doen. In de meeste landen weegt de verdenking die nodig is om een bevelschrift te krijgen al zwaarder dan de tijdscorrelatie.

Overigens, aangezien Tor circuits hergebruikt voor meerdere TCP-verbindingen, is het mogelijk om niet-anoniem en anoniem verkeer te associëren op een bepaald uitgangsknooppunt, dus wees voorzichtig met welke applicaties je tegelijkertijd via Tor uitvoert. Draai misschien zelfs aparte Tor-clients voor deze applicaties.

Internet communication is based on a store-and-forward model that can be understood in analogy to postal mail: Data is transmitted in blocks called IP datagrams or packets. Every packet includes a source IP address (of the sender) and a destination IP address (of the receiver), just as ordinary letters contain postal addresses of sender and receiver. The way from sender to receiver involves multiple hops of routers, where each router inspects the destination IP address and forwards the packet closer to its destination. Thus, every router between sender and receiver learns that the sender is communicating with the receiver. In particular, your local ISP is in the position to build a complete profile of your Internet usage. In addition, every server in the Internet that can see any of the packets can profile your behavior.

The aim of Tor is to improve your privacy by sending your traffic through a series of proxies. Your communication is encrypted in multiple layers and routed via multiple hops through the Tor network to the final receiver. More details on this process can be found in this visualization. Note that all your local ISP can observe now is that you are communicating with Tor nodes. Similarly, servers in the Internet just see that they are being contacted by Tor nodes.

Generally speaking, Tor aims to solve three privacy problems:

First, Tor prevents websites and other services from learning your location, which they can use to build databases about your habits and interests. With Tor, your Internet connections don't give you away by default -- now you can have the ability to choose, for each connection, how much information to reveal.

Second, Tor prevents people watching your traffic locally (such as your ISP or someone with access to your home wifi or router) from learning what information you're fetching and where you're fetching it from. It also stops them from deciding what you're allowed to learn and publish -- if you can get to any part of the Tor network, you can reach any site on the Internet.

Third, Tor routes your connection through more than one Tor relay so no single relay can learn what you're up to. Because these relays are run by different individuals or organizations, distributing trust provides more security than the old one hop proxy approach.

Note, however, that there are situations where Tor fails to solve these privacy problems entirely: see the entry below on remaining attacks.

De naam "Tor" kan slaan op verschillende onderdelen.

Tor is a program you can run on your computer that helps keep you safe on the Internet. It protects you by bouncing your communications around a distributed network of relays run by volunteers all around the world: it prevents somebody watching your Internet connection from learning what sites you visit, and it prevents the sites you visit from learning your physical location. This set of volunteer relays is called the Tor network.

The way most people use Tor is with Tor Browser, which is a version of Firefox that fixes many privacy issues. You can read more about Tor on our about page.

The Tor Project is a non-profit (charity) organization that maintains and develops the Tor software.

Tor is het onion-routing-netwerk. Toen we in 2001-2002 begonnen met het nieuwe ontwerp en de implementatie van de volgende generatie van onion-routing, vertelden we mensen dat we aan onion-routing werkten en dan zeiden ze: "Leuk. Welke?" Hoewel onion-routering een standaardbegrip is geworden, is Tor ontstaan uit het eigenlijke onion-routering-project gerund door het Naval Research Lab.

(It's also got a fine meaning in German and Turkish.)

Opmerking: ook al komt het oorspronkelijk van een acroniem, Tor wordt niet gespeld als "TOR". Alleen de eerste letter wordt met een hoofdletter geschreven. In feite kunnen we mensen die onze website niet hebben gelezen (en in plaats daarvan alles wat ze weten over Tor uit nieuwsartikelen hebben geleerd) meestal herkennen aan het feit dat ze het verkeerd spellen.

Nee, dat doet het niet. You need to use a separate program that understands your application and protocol and knows how to clean or "scrub" the data it sends. Tor Browser tries to keep application-level data, like the user-agent string, uniform for all users. Tor Browser can't do anything about the text that you type into forms, though.

Een typische proxy-provider zet ergens op internet een server neer en stelt je in staat om je verkeer door te geven. Dit zorgt voor een eenvoudige, gemakkelijk te onderhouden architectuur. De gebruikers gaan allemaal door dezelfde server naar binnen en naar buiten. De provider mag geld vragen voor gebruik van de proxy of zijn kosten financiëren door advertenties op de server. In de meest eenvoudige configuratie hoef je niets te installeren. Je hoeft alleen maar je browser naar hun proxyserver te richten. Eenvoudige proxy-providers zijn prima oplossingen als je geen bescherming voor je online privacy en anonimiteit en als je de provider vertrouwt dat hij geen slechte dingen doet. Sommige eenvoudige proxy-providers gebruiken SSL om je verbinding met hen te beveiligen, wat je beschermt tegen lokale afluisteraars, zoals in een café met gratis wifi-internet.

Eenvoudige proxy-aanbieders vormen ook een enkel punt van falen. De provider weet zowel wie je bent als wat je zoekt op internet. Ze kunnen je verkeer zien als het door hun server gaat. In sommige situaties kunnen ze zelfs binnenin je versleutelde verkeer kijken terwijl ze het doorsturen naar je bank-website of naar webshops. Je moet de provider vertrouwen niet je verkeer te bekijken, hun eigen advertenties te injecteren in je verkeersstroom of je persoonlijke gegevens vast te leggen.

Tor stuurt je verkeer door ten minste drie verschillende servers voordat het naar de bestemming verzonden wordt. Omdat er een gescheiden laag van versleuteling is voor ieder van de drie relays kan iemand die jouw internetverbinding bekijkt niet bewerken of lezen wat je het Tor-netwerk instuurt. Je verkeer is versleuteld tussen de Tor-cliënt (op jouw computer) en waar deze ergens op de wereld opduikt.

Kan de eerste server niet zien wie ik ben?

Mogelijk. Een slechte eerste van drie servers kan onversleuteld Tor-verkeer zien vanaf je computer. Het weet nog steeds niet wie je bent en wat je doet via Tor. Het ziet alleen "Dit IP-adres gebruikt Tor". Je bent nog steeds beschermd van deze node die probeert uit te vinden wie je bent en waar je gaat op het internet.

Kan de derde server mijn verkeer zien?

Mogelijk. Een slechte derde van drie servers kan het verkeer zien dat je Tor hebt ingestuurd. Het zal niet weten wie dit verkeer verzonden heeft. Als je versleuteling gebruikt (zoals HTTPS) zal het enkel de bestemming kennen. Zie de visualisatie van Tor en HTTPS om te begrijpen hoe Tor en HTTPS interacteren.

Ja.

Tor software is vrije software. Dit betekent dat we jou de rechten geven om de Tor-software, hetzij gewijzigd of ongewijzigd, tegen betaling of gratis opnieuw te distribueren. Je hoeft ons niet om specifieke toestemming te vragen.

Hoewel, als je de Tor-software wilt herdistribueren, moet je onze LICENTIE volgen. In wezen betekent dit dat je ons LICENTIE-bestand moet opnemen samen met welk deel van de Tor-software dat je dan ook maar verspreidt.

De meeste mensen die ons deze vraag stellen, willen echter niet alleen de Tor-software verspreiden. Ze willen Tor Browser verspreiden. Dit omvat Firefox Extended Support Release en de NoScript-extensie. Je moet ook de licentie voor die programma's volgen. Beide van deze Firefox-extensies worden verspreid onder de GNU General Public License, terwijl Firefox ESR wordt gereleased onder de Mozilla Public License. De eenvoudigste manier om hun licenties te gehoorzamen, is door de broncode voor deze programma's overal toe te voegen waar je de bundels zelf opneemt.

Ook moet je jezelf ervan vergewissen dat je je lezers niet verwart over wat Tor is, wie het maakt en welke eigenschappen het biedt (en niet biedt). Zie onze veelgestelde vragen over handelsmerken voor details.

Er zijn volop andere programma's die je kunt gebruiken met Tor, maar we hebben niet goed genoeg alle anonimiteitsproblemen op applicatieniveau onderzocht om een veilige configuratie te kunnen aanbevelen. Onze wiki heeft een door de gemeenschap beheerde lijst met instructies voor het Torificeren van specifieke applicaties. Voeg alsjeblieft toe aan deze lijst help ons deze kloppend te houden!

De meeste mensen gebruiken Tor Browser dat alles omvat dat je nodig hebt om veilig op het web te surfen met Tor. Gebruik van Tor met andere browsers is gevaarlijk en niet aanbevolen.

Er is absoluut geen achterdeur in Tor.

We kennen een aantal slimme advocaten die zeggen dat het onwaarschijnlijk is dat iemand zal proberen ons een te laten maken in onze jurisdictie (Verenigde Staten van Amerika). Als ze ons vragen zullen we het gevecht aangaan en waarschijnlijk winnen (volgens de advocaten).

We zullen nooit een achterdeur plaatsen in Tor. We denken dat plaatsen van een achterdeur in Tor enorm onverantwoord zou zijn tegenover onze gebruikers en een slecht precedent voor beveiligingssoftware in het algemeen. Als we ooit moedwillig een achterdeur in onze beveiligingssoftware zouden plaatsen, zou dat onze professionele reputatie schaden. Niemand zou onze software ooit weer vertrouwen - en voor uitstekende redenen!

Maar dat gezegd hebbende, er zijn nog steeds volop subtiele aanvallen die mensen kunnen proberen. Iemand kan zich mogelijk voordoen als ons, in onze computers inbreken of iets dergelijks. Tor is open bron en je zou altijd de bron moeten controleren (of tenminste de wijzigingen sinds de laatste versie) op verdachte zaken. Als wij (of de distributeurs die jou Tor gaven) aan jou geen toegang geven tot de broncode, is dat een duidelijk teken dat er iets vreemds aan de hand kan zijn. Je zou ook de PGP-handtekeningen moeten checken van de releases om zeker te zijn dat niemand met de distributiewebsites knoeit.

Ook kunnen er mogelijk per ongeluk fouten in Tor zitten die invloed kunnen hebben op je anonimiteit. We vinden en repareren periodiek anonimiteitsgerelateerde fouten, dus verzeker je dat je jouw Tor-versies up-to-date houdt.

Tor faalt (zoals alle huidige praktische low-latency-anonimiteitsontwerpen) als de aanvaller beide uiteinden van het communicatiekanaal kan zien. Stel bijvoorbeeld dat de aanvaller de Tor-relay controleert en bekijkt die je kiest om het netwerk binnen te gaan en ook de websites die je bezoekt controleert en bekijkt. In dit geval kent de onderzoeksgemeenschap geen praktisch low-latency-ontwerp dat de aanvaller betrouwbaar stopt met het correleren van volume- en timinginformatie van beide kanten.

Dus, wat zouden we moeten doen? Stel dat de aanvaller C-relays controleert of kan observeren. Stel dat er in totaal N relays zijn. Als je iedere keer dat je het netwerk gebruikt een nieuwe ingangs- en uitgangsrelay kiest, kan de aanvaller al het verkeer dat je stuurt correleren met een kans rond (c/n)2. Maar profileren is, voor de meeste gebruikers, even slecht als voortdurend gevolgd worden: ze willen vaak iets doen zonder dat een aanvaller het opmerkt en dat een aanvaller het eenmalig opmerkt is even erg als dat hij het vaker zou zien. Veel willekeurige ingangen en uitgangen kiezen geeft de gebruiker dus geen kans om te ontsnappen aan profileren door deze soort aanvaller.

De oplossing is "entry guards": elke Tor-cliënt selecteert willekeurig enkele relays om als toegangspunten te gebruiken en gebruikt die relays voor de eerste sprong. Als die relays niet gecontroleerd of geobserveerd worden kan de aanvaller nooit winnen en is de gebruiker veilig. Als die relays geobserveerd of gecontroleerd worden door de aanvaller, ziet de aanvaller een groot deel van het verkeer van de gebruiker - maar toch wordt de gebruiker niet meer geprofileerd dan voorheen. De gebruiker heeft dus enige kans (in de orde van (n-c)/n) om profileren te vermijden, waar deze voorheen geen enkele kans had.

Je kunt meer lezen op An Analysis of the Degradation of Anonymous Protocols, Defending Anonymous Communication Against Passive Logging Attacks, en in het bijzonder Locating Hidden Servers.

Beperken van je ingangsnodes helpt mogelijk tegen aanvallers die een paar Tor-nodes draaien en eenvoudig alle IP-adressen van de Tor-gebruikers opvangen. (Ook al kunnen ze niet leren tot welke bestemmingen de gebruikers spreken, ze kunnen mogelijk toch slechte dingen doen met enkel een lijst van gebruikers.) Die functie wordt desondanks niet echt nuttig totdat we ook naar een "directory guard"-ontwerp gaan.

Tor uses a variety of different keys, with three goals in mind: 1) encryption to ensure privacy of data within the Tor network, 2) authentication so clients know they're talking to the relays they meant to talk to, and 3) signatures to make sure all clients know the same set of relays.

Encryptie: ten eerste gebruiken alle verbindingen in Tor TLS link encryptie, dus waarnemers kunnen niet naar binnen kijken om te zien voor welk circuit een bepaalde cel bedoeld is. Further, the Tor client establishes an ephemeral encryption key with each relay in the circuit; these extra layers of encryption mean that only the exit relay can read the cells. Both sides discard the circuit key when the circuit ends, so logging traffic and then breaking into the relay to discover the key won't work.

Authenticatie: Elk Tor relais heeft een publieke ontcijferingssleutel genaamd de "onion key". Each relay rotates its onion key every four weeks. When the Tor client establishes circuits, at each step it demands that the Tor relay prove knowledge of its onion key. That way the first node in the path can't just spoof the rest of the path. Because the Tor client chooses the path, it can make sure to get Tor's "distributed trust" property: no single relay in the path can know about both the client and what the client is doing.

Coördinatie: Hoe weten klanten wat de relais zijn en hoe weten ze dat ze de juiste sleutels voor hen hebben? Each relay has a long-term public signing key called the "identity key". Each directory authority additionally has a "directory signing key". The directory authorities provide a signed list of all the known relays, and in that list are a set of certificates from each relay (self-signed by their identity key) specifying their keys, locations, exit policies, and so on. So unless the adversary can control a majority of the directory authorities (as of 2022 there are 8 directory authorities), they can't trick the Tor client into using other Tor relays.

Hoe weten cliënten wat de directory-autoriteiten zijn?

The Tor software comes with a built-in list of location and public key for each directory authority. So the only way to trick users into using a fake Tor network is to give them a specially modified version of the software.

Hoe weten gebruikers dat ze de juiste software hebben?

When we distribute the source code or a package, we digitally sign it with GNU Privacy Guard. See the instructions on how to check Tor Browser's signature.

In order to be certain that it's really signed by us, you need to have met us in person and gotten a copy of our GPG key fingerprint, or you need to know somebody who has. If you're concerned about an attack on this level, we recommend you get involved with the security community and start meeting people.

Tor zal hetzelfde circuit voor nieuwe TCP-streams opnieuw gebruiken gedurende 10 minuten, zolang het circuit goed werkt. (Als het circuit mislukt, zal Tor direct wisselen naar een nieuw circuit.)

Maar merk op dat een enkele TCP-stroom (bijv. een lange IRC-verbinding) voor altijd op hetzelfde circuit zal blijven. We rouleren geen individuele streams van het ene circuit naar het andere. Anders zou een vijand met een gedeeltelijke kijk op het netwerk veel kansen krijgen door de tijd om jou aan je bestemming te verbinden, in plaats van slechts één kans.