TOR-ontwikkelteam stopt volgend jaar ondersteuning Onion Service v2

Het ontwikkelteam achter TOR heeft de tijdlijn voor de complete migratie van Onion Service v2 naar v3 aangekondigd. Over een jaar stopt het ontwikkelteam de ondersteuning en in oktober 2021 wordt met een nieuwe clientversie v2 geheel uitgeschakeld.

Volgens de ontwikkelaars van Tor is de tijd rijp om v2 definitief met pensioen te sturen, omdat v3 inmiddels de standaard is bij het aanmaken van een onion-service en elke relay in het TOR-netwerk nu v3 ondersteunt.

Bij de release van Tor 0.4.4.x op 15 september willen de ontwikkelaars beheerders en clients op de hoogte brengen dat Onion Service v2 in versie 0.4.6 als passé wordt beschouwd. In die release met versienummer 0.4.6, die op de planning staat voor 15 juli, zal v2 dan ook uit de code verwijderd zijn. Ten slotte moet er op 15 oktober een Tor-client verschijnen die v2 definitief uitschakelt.

Versie 3 van Onion Service verscheen begin 2018 na drie jaar ontwikkeltijd. De reden was dat de veiligheid van v2 in het geding kwam vanwege voortschrijdend inzicht in de gebruikte encryptie en de komst van krachtigere hardware om encryptie te kraken. V2 maakt gebruik van rsa1024 en 80bits sha1-adressen, wat resulteert in een onion-adres van zestien karakters. V3 gebruikt Ed25519 met 56 karakters voor Onion Services.

Met Tor, voluit The Onion Router, wordt internetverkeer via verschillende tunnels geleid om het achterhalen van het internetverkeer te bemoeilijken.

Door Olaf van Miltenburg

Nieuwscoördinator

03-07-2020 • 16:41

46 Linkedin

Submitter: Munchie

Reacties (44)

44
44
30
4
0
8
Wijzig sortering
Wat levert TOR aan extra veiligheid op tov VPN?
Bij een VPN weet de eigenaar van de VPN server precies wat er gebeurd. Je maakt verbinding met die VPN server en jouw verkeer wordt daar ontdaan van de encryptie van de VPN en gaat daar het internet op.

Bij TOR ga je langs meerdere relays naar een exit-node. De exit-node weet niet welke tor-gebruiker uiteindelijk de ontvanger/verzender is en de relays weten aan van "wie" ze het ontvangen en waar ze het naartoe moeten relayen. Iedereen weet genoeg om het te laten werken, maar niemand in die ketting weet alles (/zo veel als zo'n VPN server eigenaar zou kunnen weten). Tor is daarmee veel anoniemer dan een VPN-dienst.

[Reactie gewijzigd door Groentjuh op 3 juli 2020 17:04]

Het enige wat ik nooit helemaal heb begrepen is of de TOR entry node niet alles kan volgen?
Even een simpel voorbeeld, je hebt 1 pakketje. Deze heeft het adress google,com er in. Eerst encrypt je deze met de sleutel van relay 4 (de laatste), dan voeg je het ip adress daar aan toe, en encrypt je die bundel met de sleutel van relay 3. Dat gencrypte pakketje bundel je samen met het IP adress van relay 3, en die bundel encrypt je met de code van relay 2. Enzovoort. Dus relay 1 weet jouw IP, decrypt het pakketje met zijn sleutel, en zit dan “dit moet naar relay 2 op IP address X.X.X.X.” Maar hij stuurt ALEEN het gencrypte pakje in de bundel, niet het pakje dat relay 1 heeft gekregen. Relay 2 weet dus het IP van relay 1, maar niet het IP van jouw. Dan decrypt relay 2 zijn pakje, en dan ziet hij een ander gencrypt pakje, en het ip adress van relay 3. Relay 3 ontvangt weer alleen het gencrypte deel van het pakje van relay 2, en weet dus wel het IP adress van relay 2, maar niet van relay 1 en de gebruiker. Vervolgende krijgt relay 4 een pakje, met daarin de data voor waar het pakje naartoe moet, en de URL. Dan krijg je een HTTPS tunnel, en het hele proces keert zich om
Ok. Dit is helemaal helder, maar dat betekend dus dat mijn computer de hele route kent? Aangezien mijn computer van alle drie de nodes een crypto-sleutel nodig heeft.

Effectief:
0 - Mijn PC wil naar www.libelle.nl - versleuteld met de sleutel van 3, 2 en 1. Stuurt de hele bups naar 1
1 - Ontsleuteld zijn stukje, ziet dat hij de rest moet doorsturen moet doorsturen naar 2 (weet verder niks)
2 - Ontsleutend zijn stukje, ziet dat hij de rest moet doorsturen moet doorsturen naar 3 (weet verder niks)
3 - Ontsleuteld zijn stukje, ziet hij een verzoek moet doen naar www.libelle.nl
4 - www.libelle.nl

En weer terug.

Hoe komt mijn computer aan de sleutels van 2 en 3 zonder ooit een verbinding te hebben gemaakt met die twee? (want 2 en 3 kennen mij niet?)
Jouw computer kent de volledige route. Als je het echt wilt weten zul je het tor protocol moeten opzoeken. Alle tor nodes zijn gewoon openbaar. Ik weet niet hoe de nodes worden bepaald.

Er is cryptografie die het zo maakt dat iedereen het kan encrypten, maar alleen 1 partij kan decrypten, en vermoed dat dit word gebruikt.

https://en.wikipedia.org/wiki/Public-key_cryptography
ik vermoed dat dit word gebruikt. @lenwar

[Reactie gewijzigd door dec0de op 3 juli 2020 22:36]

Hoe komt mijn computer aan de sleutels van 2 en 3 zonder ooit een verbinding te hebben gemaakt met die twee? (want 2 en 3 kennen mij niet?)
Die krijg je vanuit de Tor Directory. Je maakt dus geen verbinding met de relays zelf. De Tor Directory kent alle relays en hun public keys waardoor jouw client die ook gewoon op kan vragen. En om ervoor te zorgen dat de Directory niet jouw hele route kent vraag je een veelvoud aan sleutels op zodat ze nooit van tevoren weten welke route je gaat nemen.

Als je interesse hebt in het draaien van een eigen relay dan nodig ik je uit in het forum: [Tor Relays] Ervaringen & Discussie
Wat meer details:
https://www.youtube.com/watch?v=QRYzre4bf7I

Kort verhaal; er wordt gebruik gemaakt van 'laagjes' van encryptie waardoor nooit 1 persoon alle benodigde informatie heeft.
Nee, een relay kan maar 1 laag van de routing data decrypten. Daarom weet die relay enkel naar welk volgende relay die het pakket moet versturen. Die volgende relay kan dan weer 1 laagje decrypten waar in de 3rde relay staat, en die relay kan dan het stukje decrypten met de doel server. En zo gaat het ook op de terugweg.

Er zijn wel wat truukjes om te achterhalen wie iets naar waar stuurt als je zowel de start als exit node beheert. Als je dus genoeg van de nodes beheert als 1 partij kan deze man in the middle aanval dus regelmatig uitgevoerd worden. Helemaal als je toevallig alle nodes voor 1 pakketje beheert.
Er zijn wel wat truukjes om te achterhalen wie iets naar waar stuurt als je zowel de start als exit node beheert. Als je dus genoeg van de nodes beheert als 1 partij kan deze man in the middle aanval dus regelmatig uitgevoerd worden.
Dat maakt het toch inherent zwak? Ik stel me zo voor dat juist de partijen die dit willen doen er geen bezwaar in zien om er wat geld in te steken en een bak aan nodes te beheren.
zeer juist. Daarom is het belangrijk dat er een grote variatie aan "beheerders" van dergelijke nodes is.
Een zgn "tor bridge" is een tussenschakel, loopt weinig risico, en helpt het anoniemer maken. Je kan zo'n bridge zelf opzetten, of een "adopteren".
Anoniem: 304028
@uip4 juli 2020 06:56
Dit is niet geheel zonder risico wanneer je niet weet wat je doet.
https://community.torproject.org/relay/setup/
Lees in ieder geval het verschil tussen de nodes, een exit node kan je vrij vlot een afgesloten internet verbinding opleveren.
correct, vandaag dat ik het heb over "bridges" (heel beperkt risico) en een bridge "adopteren" ;-)
Anoniem: 304028
@uip5 juli 2020 12:44
Ja, ik begreep jou volkomen was ook geen afbreuk na aanleiding van je input.
Maar een kantoor aan huis is door een 15 jarige zo plat gelegd met een paar verkeerde keuzes.
En ja dat weet ik uit ervaring, althans toen woonde ik al op mijzelf maar het internet werd afgesloten.
Had een exit node draaien zonder restricties op een gigabit glasvezellijn, hij deed toen ik hem aan sloot een paar mbit en geen bijzonderheden, dit veranderde rap tijdens een weekendje zeilen, bij thuiskomst brieven e-mails en geen internet.
Opzich, maar als heel veel partijen dit doen, dan maken ze het elkaar weer moeilijker :)

Maarja, je moet niet denken dat als je TOR gebruikt dat je veilig bent. Meer als: beter dan niets. Juist kleinere/armere landen zullen meer moeite hebben om veel nodes te beheren. Het is een project van de US government oorspronkelijk, dus die zullen het minder erg vinden dat kapitaalkrachtige landen de boel wel kunnen onderscheppen ;)

Wikipedia copy-paste over de oorsprong:
The core principle of Tor, "onion routing", was developed in the mid-1990s by United States Naval Research Laboratory employees, mathematician Paul Syverson, and computer scientists Michael G. Reed and David Goldschlag, with the purpose of protecting U.S. intelligence communications online. Onion routing was further developed by DARPA in 1997.[21][22][23][24][25][26]

The alpha version of Tor, developed by Syverson and computer scientists Roger Dingledine and Nick Mathewson[19] and then called The Onion Routing project, or Tor project, launched on 20 September 2002.[1][27] The first public release occurred a year later.[28] On 13 August 2004, Syverson, Dingledine, and Mathewson presented "Tor: The Second-Generation Onion Router" at the 13th USENIX Security Symposium.[29] In 2004, the Naval Research Laboratory released the code for Tor under a free license, and the Electronic Frontier Foundation (EFF) began funding Dingledine and Mathewson to continue its development.[19]
Dus eigenlijk wordt het tor netwerk gerund door geheime diensten?
Misschien een domme vraag, maar er kan toch geen geld verdiend worden met een tor node? Ik bedoel je kan moeilijk anonieme gebruikersdata doorverkopen aan zeg google of facebook...
Het is opgestart door een ontwikkelingstak van de US government, en daarna open source vrijgegeven. Maar grote kans dat geheime diensten van dit, of een variant, gebruik maken.

Zo ver ik weet kan er geen geld mee verdiend worden, ik gok dat het vooral uit idealistische redenen gedaan wordt door mensen, vergelijkbaar met waarom veel mensen bitcoin blijven steunen.

[Reactie gewijzigd door svenk91 op 3 juli 2020 19:28]

Klopt. Je advertenties zijn op deze manier old billboards langs de weg. Alhoewel je nog steeds wel browser fingerprinting kan toepassen tot een zekere hoogte (geinstalleerde plugins, resolutie, etc.)

Het netwerk was in eerste instantie bedoeld om soldaten van de vs een veilige manier te geven van internetten wanneer ze uitgezonden zijn. Daarna is het ook geschikt gemaakt voor klokkenluiders, politieke activisten, journalisten, etc. om anoniem hun ding te doen. Denk hierbij aan een journalist in China of Iran die felle kritiek uit tegen de overheid. Zodra die gepakt wordt is het 20 jaar de gevangenis in.

Het geld verdienen zit hem niet zo zeer in het beheren van de tor nodes, maar de content die op dit stuk internet gehost wordt.

Omdat alles in principe anoniem is, is er een complete vrije markt mogelijk. Beetje het summum van kapitalisme kan hier gebotvierd worden, waar alles gekocht en verkocht kan worden op basis van dat markt principe. Silkroad was hier een voorbeeld van.

Uit eindelijk wat je ermee doet is aan een ieder qua ethiek uiteraard.
Is dat zo? Ik dacht dat je er 3 moest hebben? Heb je hier een bron voor?

[Reactie gewijzigd door dec0de op 3 juli 2020 22:34]

Ik had die gister nog, maar kan hem zo snel niet terug vinden. Het is idd een stuk makkelijker met drie. Maar ook met twee zijn er manieren, alleen is het met een iets lagere succes rate.
Jij maakt verbinding met een TOR entry node. Die kan jouw echte IP zien, maar TOR is zo ingericht dat jouw verkeer versleuteld is voor deze entry node. Deze node zie min of meer alleen: Stuur dit door naar deze tor-node.
Bij TOR ga je langs meerdere relays naar een exit-node.
Niet per definitie, alleen als je het clearnet via Tor bezoekt. Maar daar gaat dit gehele artikel niet over.

FTA:
Onion Service (at the time named Hidden Service)
Een Onion Service aka Hidden Service is een service (of server) die enkel via Tor te bereiken is. Het gaat dus over Tor verkeer dat binnen Tor blijft. Op zich had het nieuwsartikel dat ook mogen verduidelijken (stukje feedback voor @Olaf). Bijvoorbeeld een SSH server bereikbaar hebt via Tor. Dan verlaat je nooit Tor. En kun je zo door bepaalde firewalls heen prikken.
Wie zegt dat die VPN service niet verplicht gegevens af moet dragen (of overgenomen wordt door een instantie)?
Dit is de reden waarom VPN bedrijven vrijwel altijd ingeschreven staan in landen met weinig tot geen verdragen rondom het delen van informatie als dit.
De VPN die ik zelf gebruik staat geregistreerd in de maagden eilanden. Dat maakt een dergelijk informatieverzoek een erg lastig verhaal. Geeft geen garanties natuurlijk maar zolang je je niet met ernstige illegale activiteiten bezig houd zal er niet snel op gehandeld worden
Dit is de reden waarom VPN bedrijven vrijwel altijd ingeschreven staan in landen met weinig tot geen verdragen rondom het delen van informatie als dit.
En jij denkt dat die situatie zo zal blijven? :')
Natuurlijk zullen zaken zich ontwikkelen, aan beide zijdes.
Maar internationale verdragen zijn zeer zeer traag, zeker als voor kleine eiland staten er valt te verdienen op het huisvesten van dergelijke bedrijven hebben ze echt geen haast hiermee.
Wie zegt dat die VPN service niet verplicht gegevens af moet dragen (of overgenomen wordt door een instantie)?
En als je betaal voor je VPN, betekent ook dat de bedrijf alles doet om er voor te zorgen dat het niet in handen komt van anderen, al je gegevens.

Want als het uit komt dat zo een bedrijf dat wel doet je gegevens geven aan de FBI/CIA/Politie of wie dan ook, verliest hij ontzettend veel of bijna al zijn klanten, daarom raad ik een gratis VPN of zo nooit aan.

[Reactie gewijzigd door AmigaWolf op 3 juli 2020 18:52]

Hoe verklaar je dan de controverse inzake Nord VPN?

[Reactie gewijzigd door PcDealer op 3 juli 2020 18:58]

Toen NordVPN te weten kwam dat 1 van hun servers gecompromitteerd was besloten ze hun gebruikers niks te zeggen hierover maar om eerst te controleren of er nog meer servers onveilig waren. Dat duurde bijna een jaar om te doen, als je NordVPN zelf mag geloven dan toch. Al die tijd had de hacker nog toegang tot servers die hij mogelijks had gehackt en nog niet waren gecontroleerd.

NordVPN:
As a result, we decided we should not notify the public until we could be sure that such an attack could not be replicated anywhere else on our infrastructure.
Als ze niet zeggen wat de attack juist inhield en ervoor zorgden dat hun servers gewoon up-to-date waren konden ze gewoon het publiek in kennis stellen zonder bezorgd te zijn om dat iemand de aanvalt naadoet.

Dus ik zou niet zeggen dat betalende diensten er alles aan doen om je gegevens veilig te houden. Ze doen er eerder alles aan om geld van je te blijven ontvangen.
Ik denk dat je bedoel “mag je hopen dat” ipv “betekend dat”

De meeste bedrijven zijn maar wat blij om opgekocht te worden
Laten we het anders zeggen, a VPN die gratis is kan je NIET vertrouwen.
Je gaat door een heel, in theorie decentraal, netwerk met TOR. Bij VPN ga je vaak door 1 server, van 1 partij.

"Tor clients route their traffic over several (usually three) relays, with the goal that no single relay gets to learn both where the user is and what site she's reaching."

Als 1 partij zowel de TOR node waar je binnenkomt, als de TOR node waar je packet uit gaat bezit kunnen ze echter nogsteeds je locatie en je doel server bepalen (al blijft de inhoud van de content versleutelt). Dus stel hypothethisch dat de FBI een groot aantal TOR nodes beheert, is er kans dat ze regelmatig van iemand zowel de begin als eind node beheren en zo toch kunnen herleiden waar je geweest bent. Toch is dat lastiger dan bij VPN, waar er maar 1 node tussen zit.

Verder helpt het dat TOR normaliter enkel voor de TOR browser geld, en niet voor je andere verkeer. Bij VPN gaat normaal je hele verkeer over de VPN server, en daar kan ook weer data tussen zitten die tot jou te herleiden is. Als je mail client via je VPN een server loopt te pingen (of te vragen of er nieuwe mail is), en een kwaadwillende partij heeft toegang tot die server, kan die al zien via welke VPN je verkeer loopt. Met de TOR browser gaat de rest van je verkeer zoals gebruikelijk en het TOR verkeer via aparte nodes :) .

Al kan je VPNs natuurlijk ook gaan daisy chainen en tot 1 stuk software beperken :)
Of in meer stappen uitgelegd:

Even een simpel voorbeeld, je hebt 1 pakketje. Deze heeft het adress google,com er in. Eerst encrypt je deze met de sleutel van relay 4 (de laatste), dan voeg je het ip adress daar aan toe, en encrypt je die bundel met de sleutel van relay 3. Dat gencrypte pakketje bundel je samen met het IP adress van relay 3, en die bundel encrypt je met de code van relay 2. Enzovoort. Dus relay 1 weet jouw IP, decrypt het pakketje met zijn sleutel, en zit dan “dit moet naar relay 2 op IP address X.X.X.X.” Maar hij stuurt ALEEN het gencrypte pakje in de bundel, niet het pakje dat relay 1 heeft gekregen. Relay 2 weet dus het IP van relay 1, maar niet het IP van jouw. Dan decrypt relay 2 zijn pakje, en dan ziet hij een ander gencrypt pakje, en het ip adress van relay 3. Relay 3 ontvangt weer alleen het gencrypte deel van het pakje van relay 2, en weet dus wel het IP adress van relay 2, maar niet van relay 1 en de gebruiker. Vervolgende krijgt relay 4 een pakje, met daarin de data voor waar het pakje naartoe moet, en de URL. Dan krijg je een HTTPS tunnel, en het hele proces keert zich om
staat eigenlijk wel in het artikel genoemd:

'Met Tor, voluit The Onion Router, wordt internetverkeer via verschillende tunnels geleid om het achterhalen van het internetverkeer te bemoeilijken.' Met een VPN is de verbinding wel 'beveiligd' maar is altijd duidelijk wat het beginpunt en eindpunt is. Via een Tor netwerk gaat het verkeer over verschillende servers heen waardoor je niet meer of veel lastiger kunt achterhalen waar het verkeer origineel vandaan kwam.
Met een VPN is de verbinding wel 'beveiligd' maar is altijd duidelijk wat het beginpunt en eindpunt is.
Enkel de VPN-server zelf weet dit. Als je tweakers.net bezoekt vanaf een VPN dan weten zei enkel het server ip (info zoals ip gelinkt aan accounts etc niet meegerekend), je ISP ziet enkel geëncrypteerd verkeer tot aan de vpn server en terug.
Je hoeft minder informatie van jezelf prijs te geven.

Mocht je een VPN-dienst afnemen, dan kunnen je (betaal)gegevens kunnen op straat komen als iemand binen het bedrijf een fuckup (heeft ge)maakt met de klantendatabase.

[Reactie gewijzigd door RoestVrijStaal op 3 juli 2020 17:07]

Er zijn ook VPN services waar je anoniemer/pseudonymous kunt betalen.
4 dagen geleden werd deze 'guide' gepost op Reddit. Niet heel technisch of gedetaileerd, maar het geeft misschien aan waar je naar vraagt.

https://i.redd.it/5wwsy2l222851.jpg
Tor is anoniem, VPN is enkel encrypted maar zelden anoniem
Juist omdat tor gebruikers ten koste van alles anoniem willen blijven zijn ze interessant om te ontdekken (overheden enzo). Het probleem met tor is dat het een van de meest geanalyseerde of aangevallen systemen lijkt te zijn. Je hebt dus een club tor ontwikkelaars die het opneemt tegen machtige tegenstanders, die echt niet gaan roepen dat ze een zwakke plek vonden.
Een tijdje geleden zat ik te denken om thuis een Tor node te draaien op een server.
Maar ik vroeg mij af of dit nog risico's met zich meebrengt, zijn er hier mensen die hier ervaring mee hebben?
In dit topic kun je daar alles over lezen: [Tor Relays] Ervaringen & Discussie.
Om je vraag kort te beantwoorden: het ligt eraan welk type node je wilt draaien. Een Bridge is volkomen veilig omdat die nooit publiekelijk gedeeld wordt. Een Exit is het meest onveilig en moet je thuis echt niet willen draaien.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee