Tor - současnost, budoucnost

[torrespondent]

=== Nové vlákno po postu post470073.html ===

>Firefox patchnutý není - http://venturebeat.com/2016/05/17/feder ... efox-flaw/
>To znamená, že Mozilla nemá vůbec tušení jak FBI v posledním případě hackla TOR a my o tom jen můžeme dohadovat.
Bug v Mozille pořád není problém v Toru. Tor nerovná se TorBrowser.
První SilkRoad, opravuji se, byl hacknut neošetřeným formulářem. Vypsáním PHP proměnné $_SERVER získala FBI veřejnou IP. Spletl jsem to s jiným incidentem, kde bylo použito supercookie, a týkalo se jen těch co používali jeden prohlížeč jak pro nechráněné brouzdání tak pro Tor. Ale opět, chybná implementace PHP není problém v Toru.

>Nechápu, kterou dezinformaci ohledně Arpanetu nebo Toru jsem zde uváděl.
ARPANET měl mmj zajistit schopnost velení v případě atomové války, což mě přijde jako bezpečnostní síť. Ale ok jestlis tím myslel plně anonymní komunikaci, tu asi nedokázal. Jinak v Toru jsou na pevno IP adresářových autorit, takže se fyzicky nedá od internetu oddělit.
>Kromě zatčení provozovatelů Tor služeb došlo například i k zatčení uživatelů pedofilní sítě, což popírá, že by byli v případě Toru zatčeni pouze provozovatelé služeb.
Opět Firefox. Exploit se do něj přece mohl dostat z jakéhokoli clearnet webu navštíveného přes Tor exit. Pokud mají umístěno u exit uzlů dost NSA QUANTUM serverů, není potřeba lámat Tor. SSL je v 90% na nic.
Nemyslím, že má FBI praktický útok kterým jejich relay dešifruje všechny vrstvy paketu, implantuje do http exploit pro Firefox, zpátky zabalí a pošle dál, v reálném čase. V Riffle by tohle pravda nešlo. Jenže Riffle neexistuje.

>Každá "bezpečná" služba služba je jen tak bezpečná jak je bezpečný její poskytovatel (popř. majoritní sponzor). To znamená, že pro mě Whatsup nebude nikdy bezpečný, když ho vlastní Facebook, který umožnil přístup tajných služeb přímo co svých serverů. A to bez ohledu na to, že šifrování poskytl Signal. Ostatně i zakladatel Lavabitu jasně řekl, že díky americké legislativě nelze žádné americké službě důvěřovat. A nic na tom nemění fakt, že přejmenovali "Patriot Act" na "Freedom Act".
Většina neziskovek je majoritně financovaná vládami nebo ropnými korporacemi, Billem Gatesem, a jinými padouchy. Tor Project není výjimkou, ale to automaticky neznamená, že má sponzor možnost manipulovat vnitřní chod. EFF bere také vládní dotace. Je EFF nedůvěryhodná?
Tor není čistě americká služba srovnatelná s FB a WhatsApp. Navíc adresářové autority jsou ve více zemích a několik klíčových vývojářů se v posledních letech přestěhovalo do Evropy kvůli obtěžování od vládních agentur. Jestli se obáváš vynuceného vydání podpisových klíčů, tak tomu rozumím, ale odhaduju že by to prasklo velice rychle.

>Můj komentář o tom, že "bezpečnost je buď úplná nebo není" se netýkal technické stránky. Z tohoto pohledu není nic bezpečné (takže ani Tor). Týkal se umělého oslabování bezpečnosti (třeba zmiňovaný golden key) s tím, že šifrování zůstane silné.
Pan soudce z tvého odkazu je součástí systému (problému). Je "skvělé", že americké tajné služby budou moci odposlouchávat svoje soudce, kteří budou mít falešný pocit bezpečí. Je to stejný pocit co mají uživatelé Whatsup, Viberu, FB messengeru a dalších po zavedení "bezpečného" šifrování. Ostatně tento typ lidí tajné služby zajímá - proto s takovou oblibou odposlouchávají vysoké politiky, představitele OSN, atd.
Takže je to spiknutí ministerstva spravedlnosti proti federálním soudcům?

>To, že Tor už není bezpečný si nemyslím je já sám - http://www.zive.cz/clanky/student-z-mit ... fault.aspx
O jiných způsobech routování se v Toru vede debata, stejně jako o checksumech. Tor se bude muset brzo posunout tak jako tak. Je otázka jestli se novým routováním opravdu vyloučí všechny útoky postranním kanálem, a nevzniknou nové vektory. Riffle je zatím jen na papíře.
Tor má řadu problémů jako hidden services zajištěné antikvárním 1024/RSA s SHA-1 heší, málo uzlů. Ty bych chápal jako důvody proč nepoužívat Tor. Ví se o nich léta.

No a pokud tě, tedy evidentně, urazil ten citát, tak se omlouvám.

[torrespondent]

Shrnutí změn v kryptografii https://trac.torproject.org/projects/to ... ptoChanges

RebelAlliance: post-kvantové zabezpečení Toru https://gitweb.torproject.org/torspec.g ... dshake.txt
+prezentace https://cryptojedi.org/peter/data/usenix-20160810.pdf

Připravovaná specifikace https://gitweb.torproject.org/torspec.g ... /proposals

Wiki https://trac.torproject.org/projects/tor/wiki

Blog https://blog.torproject.org/blog/

Útoky na Tor mají omezenou úspěšnost https://www.theguardian.com/world/2013/ ... encryption

FAQ https://www.torproject.org/docs/faq.html.en

Tor is not spelled "TOR". Only the first letter is capitalized. In fact, we can usually spot people who haven't read any of our website (and have instead learned everything they know about Tor from news articles) by the fact that they spell it wrong.

:]

[torrespondent]

Publikován korelační útok na Tor pomocí DNS. Pokud provozujete relay, nepoužívejte Google DNS!
https://nymity.ch/tor-dns/

[Marek.Necada]

Nepoužívejte Google DNS!

FTFY

[torrespondent]

Nepoužívejte Google DNS!

FTFY

Pravda. I když kolik znáš lidí revertujících z DHCP nastavený resolver na ten od Google...

[next_ghost]

Pravda. I když kolik znáš lidí revertujících z DHCP nastavený resolver na ten od Google...

Půlka Turecka. Protože státní cenzura...

[torrespondent]

Pravda. I když kolik znáš lidí revertujících z DHCP nastavený resolver na ten od Google...

Půlka Turecka. Protože státní cenzura...

Myslíš že zná půlku Turecka? Možná i celou Čínu

[torrespondent]

Pad pro seznam českých webů, které blokují přístup z Toru, a jejich neblokující alternativy
https://pad.pirati.cz/p/tor-blocked-cz

CloudFlare blokace https://pad.systemli.org/p/cloudflare-tor
http://j7652k4sod2azfu6.onion/p/cloudflare-tor

ostatní blokace https://pad.systemli.org/p/noncloudflare-torblocks
http://j7652k4sod2azfu6.onion/p/noncloudflare-torblocks

debatní pad o blokování Toru (EN) https://pad.systemli.org/p/torblocks-philosophy
http://j7652k4sod2azfu6.onion/p/torblocks-philosophy

[Qubes_OS]

Popravdě, já kdysi (ten web je momentálně offline) blokoval anonymní hlasování/moderaci přes TOR, protože bylo (logicky) zneužíváno. Neviděl jsem důvod blokovat samotné přístupy přes TOR (proč?)