Jak naprawdę działa przeglądarka Tor: onion routing w praktyce

Darknet w popkulturze to neony, hakerzy w kapturach i "głębokie poziomy" internetu. Zanim rozprawimy się z tym folklorem, trzeba zrozumieć fundament, na którym wszystko stoi: jak działa Tor. Bo bez tego cała reszta wygląda jak magia, a magii w tym nie ma, jest za to bardzo sprytna kryptografia.

Czym różni się deep web od dark web?

Deep web to wszystko, czego nie indeksuje Google, a dark web to tylko jego wąski wycinek dostępny przez Tora. To rozróżnienie myli większość artykułów w mediach. W praktyce deep web to Twoja skrzynka pocztowa, panel banku czy wewnętrzny system firmy. To gigantyczna, nudna i zupełnie zwyczajna część sieci. Dark web to maleńki wycinek, do którego dostaniesz się tylko przez specjalne oprogramowanie, najczęściej Tora, pod adresami .onion. Mylenie tych dwóch pojęć to pierwszy znak, że ktoś przepisał temat z trzeciej ręki.

Jak działa onion routing w Torze?

Onion routing polega na tym, że Tor wkłada między Ciebie a cel łańcuch trzech ochotniczych przekaźników i szyfruje ruch w kilku warstwach naraz. Normalnie łączysz się z serwerem wprost: Twoje IP puka do celu, cel widzi, kto puka. Tutaj te trzy przekaźniki to: węzeł wejściowy (guard), środkowy i wyjściowy (exit). Zanim dane opuszczą Twój komputer, są zaszyfrowane trzema warstwami, po jednej na każdy przekaźnik, dokładnie jak cebula. Każdy węzeł zdejmuje tylko swoją warstwę i podaje dalej.

Cały haczyk leży w tym, kto co wie. Guard zna Twoje prawdziwe IP, ale nie zna celu, bo widzi tylko adres węzła środkowego. Węzeł środkowy jest ślepy na oba końce, przekazuje pakiet między dwoma innymi węzłami i tyle. Exit zna cel i to on wysyła żądanie do serwera, ale nie ma pojęcia, kim jesteś. Żaden pojedynczy punkt w łańcuchu nie zna jednocześnie nadawcy i celu, a to jest cała istota anonimowości w Torze. Klucze są zresztą negocjowane osobno z każdym przekaźnikiem, więc złamanie jednego nie odsłania pozostałych.

Czym jest węzeł guard i dlaczego się nie zmienia?

Guard to pierwszy węzeł w obwodzie, jedyny, który zna Twoje prawdziwe IP, i Tor celowo trzyma ten sam przez mniej więcej dwa do trzech miesięcy, w okolicach 120 dni. To niuans, który odróżnia kogoś, kto ogarnia, od kogoś, kto przeczytał nagłówek. Brzmi jak słabość, a jest świadomą decyzją: im częściej rotujesz guarda, tym większa szansa, że prędzej czy później trafisz na taki kontrolowany przez przeciwnika. Lepiej trzymać się jednego, miejmy nadzieję uczciwego. Sam obwód, czyli cała trójka węzłów dla danego połączenia, wymienia się natomiast mniej więcej co dziesięć minut.

Czym są adresy .onion i jak działają usługi cebulowe?

Adresy .onion to usługi cebulowe, czyli serwery żyjące wyłącznie wewnątrz sieci Tor, do których ruch nigdy jej nie opuszcza. Zwykły ruch przez Tor wychodzi na normalny internet przez exit, ale tutaj exit node'a nie ma. Tu nie ma exit node'a, ruch nie opuszcza sieci. Usługa rejestruje się przez punkty wprowadzające (introduction points), a Ty i ona spotykacie się na uzgodnionym punkcie spotkania (rendezvous point). W sumie takie połączenie biegnie przez około sześć przekaźników i ukrywa lokalizację po obu stronach naraz. Adresy w wersji trzeciej to 56 znaków oparte na kluczu ed25519; stara wersja druga jest już wycofana.

I teraz coś, co psuje narrację o "samym złu": z usług cebulowych korzystają SecureDrop w New York Timesie, Washington Post, Guardianie i ProPublice do przyjmowania anonimowych przecieków, a swoje lustra .onion mają BBC, DuckDuckGo i Facebook. Bonus jest taki, że połączenie z usługą cebulową jest szyfrowane end-to-end i nie da się go podstawić, jak darmowy HTTPS w pakiecie.

Czy Tor daje pełną anonimowość?

Nie, Tor nie jest peleryną niewidką i właśnie tu rodzą się błędy. Exit widzi Twój ruch w postaci jawnej, jeśli nie używasz HTTPS, dlatego Tor Browser od wersji jedenastej wymusza tryb HTTPS-Only. Twój dostawca internetu widzi, że używasz Tora, choć nie widzi, co robisz. A najpoważniejsze: jeśli przeciwnik kontroluje jednocześnie Twojego guarda i exit, może skorelować czasy pakietów wchodzących i wychodzących i potwierdzić, że to jeden obwód, bez deszyfrowania czegokolwiek. Ten atak korelacji ruchu opisali Murdoch i Danezis już w 2005 roku. Szansa, że losowy obwód przejdzie przez oba węzły przeciwnika, jest rzędu jeden na dwa miliony, ale jeśli przeciwnik opanuje 10 procent pasma sieci, deanonimizuje już około 1 procent obwodów. "Niska" to nie to samo co "zero".

Fun fact: najpotężniejsze narzędzie prywatności w internecie wymyślił rząd Stanów Zjednoczonych. Onion routing powstał w latach 90. w Naval Research Laboratory, a stali za nim Paul Syverson, Michael Reed i David Goldschlag, którzy chcieli chronić własną łączność wywiadowczą. Anonimowość działa tylko w tłumie, więc dziś z tej samej sieci korzystają dziennikarze, aktywiści i zwykli ludzie, co jest dokładnie tym, na czym wojsku zależało.

Teraz wiesz, jak to działa pod maską. W następnym odcinku pokażę Wam, jak używać tego tak, żeby samemu się nie spalić, bo w praktyce prawie nikt nie wpada przez złamanie Tora. Ludzie wpadają przez własne błędy.