Разработчик проекта Тор развенчивает мифы и делает анонсы

Проект Тор пользуется дурной славой игровой площадки для преступности. Именно поэтому сооснователь проекта Роджер Динглдин воспользовался сценой DEF CON на прошлой неделе, чтобы собственноручно развенчать самые популярные мифы и анонсировать ближайшие обновления системы, связывающей в анонимную сеть порядка 2 миллионов пользователей ежедневно.

Больше всего Динглдин заводится, когда Тор голословно приводится в ассоциации с «темной паутиной».

«Большинство людей используют Тор для того, чтобы безопасно подключаться к совершенно обычным веб-сайтам. То, что журналисты раздуввают до понятия «темный веб» — это всего лишь небольшая доля трафика сети Тор,» — говорит он. «Да, в мире есть плохие люди. И некоторые из них используют Тор. Но на данный момент, когда миллионы людей пользуются Тор каждый день, средний пользователь проекта — это попросту обычный пользователь Интернета».

По оценке Динглдина, только 3% пользователей Тора подключаются с его помощью к скрытым сайтам и сервисам. Он считает, что криминальным элементам Тор не особенно нужен.

«Плохие парни легко могут создать временный инструмент, который будет использоваться в течение недели десятком людей, и они никогда никому об этом не расскажут. Это если говорить о террористах и прочих злоумышленниках. У них масса других вариантов помимо Тора».

Динглдин отмечает, что есть также неверные представления о финансировании проекта Тор правительством США, что компрометирует основную миссию проекта.

«Некоторые издания распространяют мемы вроде следующего: «Тор написан ВМС США, как же я могу ему доверять?» — говорит Динглдин. «Вот, что я могу на это ответить: Тор написал я, а вовсе не ВМС».

Он отмечает, что на 80% проект Тор финансируется государственными организациями, в частности Государственным департаментом США, Национальным научным фондом и Фондом открытых технологий. «Наше финансирование поступает от диверсифицированного списка различных групп в правительстве США. Как по мне, так диверсификация могла бы быть и побольше,» — говорит Динглдин. Около 15% финансирования поступает за счет внешних пожертвований.

Есть и другие мифы из категории теорий заговора. Например, миф о том, что половина используемых в сети Тор узлов принадлежит Агентству национальной безопасности США. Всего этих узлов порядка 8 000 и они стратегически распределены по всему миру. Узлы принимают трафик, шифруют его и передают зашифрованный трафик далее по цепочке другим узлам — таким образом становится сложно узнать, к какому именно сайту или сервису подключается пользователь Тора.

«Действительно, некоторые разведывательные службы периодически запускают собственные узлы. Но две трети людей, которые управляют узлами, я знаю лично. Они не имеют к подобным делам никакого отношения,» — говорит Динглдин про правительственную слежку.

АНБ нет никакого смысла запускать собственные узлы Тора, утверждает он. «Они уже отслеживают AT&T, Deutsche Telekom и подводные коммуникационные кабели».

15 лет назад, рассказывает Роджер, Тор заслуженно обвиняли в медлительности. Сегодня это изменилось.

«Мое последнее выступление на DEF CON было 8 лет назад, и темой его было рассуждение о том, по каким причинам Тор такой медленный, и что мы с этим собираемся сделать», — говорит он. «С тех пор мы добрались до 100 гигабайт траффика и вдвое больше этого по пропускной способности сети». Динглидин утверждает, что Тор больше не медлительный — и не будет в долгосрочной перспективе.

Последний миф о том, что когда вы используете Тор, за вами следит Агентство национальной безопасности США. «Представьте, ваш друг сообщает вам: «Я слышал о том, что при использовании протокола HTTPS за мной наблюдает АНБ, и поэтому я больше не использую шифрованное соединение», — приводит пример Роджер, «Это же просто бред».

Что нового: «Что будет уметь следующее поколение Tor»

В своем выступлении на  DEF CON, Динглдин рассказал о множестве инноваций и улучшений от сторонних разработчиков, которые пользователи увидят в ближайшие месяцы и годы. Он упомянул проект с сообществом Симпозиум по технологиям для улучшения конфиденциальности, направленный на то, чтобы повысить устойчивость Тора к анализу трафика. Частью этого сотрудничества является проект Vanguard — разработка, которая (если все получится) значительно усложнит людям «де-анонимизацию») «луковых» сервисов.

На самом верху списка новых функций – замена старого алгоритма шифрования, основанного на SHA-1 на новый, использующий эллиптическую криптографию, например, алгоритм Ed25519.

«В целом, старая схема пока еще вполне работоспособна. Но в ближайшие годы она будет выглядеть все менее и менее надежной. Так что сейчас хороший момент, чтобы ее обновить» — сказал Динглидин.

В завершении Динглдин заявил, что Тор разработал и реализовал ряд различных моделей развертывания (например, «Single Onion Services» и «OnionBalance»), в рамках которых можно поступиться тайной местоположения в пользу повышения производительности и масштабируемости. «К примеру, Facebook и Debian используют такие возможности для реализации более быстрых и гибких луковых сервисов», — сказал он.

«Если вы не пытаетесь скрыть местоположение вашего «лукового» ресурса и желаете, чтобы пользователи по-прежнему могли использовать все прочие функции безопасности Tor, тогда в этом есть смысл», — сказал Динглдин. «Нам нужно просто дожить до момента, когда Tor станет настолько привычным, что слова «Я не буду защищать свои метаданные, потому что если я начну это делать, за мной станут следить» покажутся всем полным безумием».

Оригинал записи: Threatpost | Новости информационной безопасности

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *