220 lines
8.7 KiB
Plaintext
220 lines
8.7 KiB
Plaintext
## November 2017
|
|
|
|
**\* neue Onion-Services ((Zwiebel)dienste 3.0)**
|
|
|
|
An wen richten wir uns?
|
|
- an die Szene und an die Leute von Außerhalb, beide sollen vom Radio
|
|
nicht verschreckt werden
|
|
|
|
TODO
|
|
|
|
- honky
|
|
- \[x\] kürzbare (z.B. ohne Text) Music raussuchen - so 5 Stück mit
|
|
Autor
|
|
- <https://www.openbsd.org/lyrics.html>
|
|
- freemusicarchive top 100
|
|
- \[x\] Onion Service 5 Satz Erklärung
|
|
- ~~Simon~~
|
|
- ~~Anfänge von Tor wo Navy drauf aufsetzt~~
|
|
- ~~Ich hab nichts gefunden .... lassen wir dann wohl weg~~
|
|
|
|
- Was ist Tor?
|
|
- anonymes Internet im Internet
|
|
- ~~\*hand wave\* Deep web \*still waving\* Dark Web~~
|
|
- ~~Tor kann derzeit theoretisch 200GB/s pushen, effektiv ist es
|
|
weniger als die Hälfte~~
|
|
- ~~davon sind etwa 3% Onion Service Traffic~~
|
|
- ~~in Zahlen: \~1GB/s~~
|
|
- ~~Das ist ein Schneeball vom Eisberg~~
|
|
- ~~Ein Zählung der Onion Adressen
|
|
(~~[~~https://metrics.torproject.org/hidserv-dir-onions-seen.html)~~](https://metrics.torproject.org/hidserv-dir-onions-seen.html))
|
|
~~ergibt ähnliches~~
|
|
- Funktionsweise
|
|
- als Nutzer einfach runterladen, ein Firefox ohne Install
|
|
- Zwiebelschalenprinzip
|
|
- Verteilung von Traffic auf verschiedene Relays
|
|
- Gründe für Tor
|
|
- Politische Systeme / Zensur, Überwachung
|
|
- Werbenetzwerke / Malware
|
|
- Diversität der Nutzerschaft (nicht nur politische Aktivisten!)
|
|
- Geschichte Tors
|
|
- Ausgangspunkt: »Untraceable electronic mail, return addresses, and
|
|
digital pseudonyms« von Chaum
|
|
- Später anon.penet.fi von Julf Helsingius
|
|
- danach Cypherpunks-Remailer und Mixmaster-Remailer als praktische
|
|
Anwendungen
|
|
- Pfitzmann mit ISDN-Mixen
|
|
- Einer der ersten Ideen zu Tor is »Hiding Routing Information« von
|
|
Goldschlag, Reed und Syverson
|
|
- Ursprungsidee aus Slovenien? 87/88 Mailboxen?
|
|
- von ~~Navy Geheimdienst~~ Naval Research Lab (Forschungszweig der
|
|
US Navy und USMC)
|
|
<https://en.wikipedia.org/wiki/United_States_Naval_Research_Laboratory>
|
|
- dann der Community übergeben
|
|
- seit 15 Jahren in freier Hand und
|
|
- überprüft und vertrauenswürdig
|
|
- 200Gbit/s advertised Bandwith / 100 genutzt / 3% davon Onion Service
|
|
- Anzahl der Nutzer
|
|
- Gründe gegen Tor
|
|
- Performance (in Deutschland und USA geringeres Hindernis als in
|
|
Asien/Afrika)
|
|
- Einschränkungen bei der Nutznug
|
|
- Google Captchas --\> <https://privacypass.github.io/>
|
|
- Wikipedia nicht editierbar; Man kann Beantragen, dass der eigene
|
|
Account von den IP-Blockierungen ausgenommen wird
|
|
- weil man was anderes nutzt und das dem Zweck genügt
|
|
- SPAM Lister
|
|
- Tor is not foolproof
|
|
- opsec mistakes
|
|
- browser metadata fingerprints (chrome has proxy bypasses by
|
|
design)
|
|
- browser exploits
|
|
- traffic analysis
|
|
- Mythen über Tor
|
|
- Navy wrote it ("Dingledine did it") ... but partly at NRL
|
|
- NSA runs half the relays (they simply don't and if they don't have
|
|
an incentive)
|
|
- Tor is slow (it was but it's fasten when more happen to use it)
|
|
- 80% of Tor users are doing bad things (normal users at 80% mostly
|
|
facebook und google)
|
|
- Nur 3% des Tor traffics sind onion services (Mai 2017)
|
|
- <https://www.youtube.com/watch?v=AkoyCLAXVsc>
|
|
- doing it, makes NSA watching me (they are watching anything)
|
|
- i heard Tor is broken
|
|
|
|
- Onion Services
|
|
- Beispiele
|
|
- Protokolle (http,https,ssh,irc,mail,…); Tor ist egal, was du
|
|
transportierst (solange es TCP ist)
|
|
- Secure Drop (New Yorker Strongbox, Guardian etc) WhistleBlowing
|
|
Plattforms
|
|
- Ricochet/briar/Tor Messenger, decentralised instant message; Jeder
|
|
Nutzer ist ein onion service sind
|
|
- <https://en.wikipedia.org/wiki/Tor_(anonymity_network)#Tor_Messenger>
|
|
- OnionShare OneTime-Website for Sharing files as e.g. Journalist
|
|
- anonymous Updates (z.B. für Debian-Packete) apt-tor-transport
|
|
- Facebook (largest "deep web" site) 1 Million people use Facebook
|
|
over tor April 2016
|
|
- <https://facebookcorewwwi.onion> will direct tracking canvas
|
|
malen :D
|
|
- Arbeitgeber soll nicht sehen, dass ich den ganzen Tag nur
|
|
Facebook nutze ;-)
|
|
- NYTimes
|
|
- <https://www.nytimes3xbfgragh.onion/>
|
|
- Google
|
|
- Benutzung durch z.B. zensierende Systeme
|
|
- <https://metrics.torproject.org/userstats-relay-table.html>
|
|
- Funktionsweise
|
|
- Step 1: Bob picks some introduction points and builds circuits to
|
|
them
|
|
- Step 2: Bob advertises his hidden service XYZ.onion at the Database
|
|
"in the sky" (HSDIR all 96 hour relays)
|
|
- Step 3: Alice hears that XYZ.onion exists and she requests more info
|
|
at the database. She also sets up a rendevous point at a non IP
|
|
relay.
|
|
- Step 4: Alice writes a message to Bob (encrypted to PK) listing the
|
|
rendevous point and a one-time secret and asks an introduction point
|
|
to deliver it to bob
|
|
- Step 5: Bob connects to the Alice's rendezvous point and provides
|
|
her one-time secret (handshake + encryption)
|
|
- Step 6: Bob and alice proceed to use there tor circuits like
|
|
normal
|
|
|
|
Zusammenfassung der Funktionsweise in wenigen Sätzen:
|
|
|
|
Bob möchte für eine in seinem Land Absurdistan verbotene
|
|
Demo/Partei/Religion eine unsperrbare Webseite anbieten. Hierfür legt er
|
|
auf einem Server einen Onion-Service an, welcher sich eine Adresse
|
|
generiert und es an 3-bzw.6 Relays (den Knotenpunkten des Tor
|
|
Netzwerkes) bekannt gibt - die sogenannten Introduction Points.
|
|
Anschließend druckt er diese Adresse auf einen Zettel und verteilt
|
|
diesen in seiner Gruppe/Partei/Gemeinde.
|
|
|
|
Alice bekommt einen dieser Zettel und tippt die Adresse in ihren
|
|
Tor-Browser. Dieser kann anhand der Adresse und dem HSDir einen der 3.
|
|
bzw. 6 Introduction Points kontaktierten. Außerdem gibt Alice ein
|
|
anderes Relay als Treffpunkt mit (Rendevouz Point) vor und unterschreibt
|
|
alles kryptografisch. Der kontaktierte Introduktionpoint gibt Bobs
|
|
Onion-Service die Information "Da ist jemand, der deine Daten will und
|
|
er wartet übrigends an Rendevouz Point dort drüben". Nun kontaktiert
|
|
Bobs Service den RP und kann durch die Signatur beider Services
|
|
sicherstellen nur mit Alice zu kommunizieren.
|
|
|
|
Vorteile des Systems:
|
|
- Alice kennt die Adresse/Guard von Bob nicht.
|
|
- Bob kennt die Adresse/Guard von Alice nicht.
|
|
- der Introductionpoint weiß nicht ob und welche Daten ausgetauscht
|
|
wurden.
|
|
- der Rendevouz Point weiß nichts von Alice und Bob
|
|
- niemand in Absurdistan kann wissen, was über Bobs Seite ausgetauscht
|
|
wurde, selbst wenn der Geheimdienst tor exit nodes betreibt.
|
|
|
|
|
|
Cool things about it: Rendezvous Point doesn't know who alice or bob is,
|
|
it is beeing used once knows nothing
|
|
|
|
- Neuerungen (am besten auf das Beispiel beziehen)
|
|
- each onion service picks 6 tor relays each day uses HS Directory
|
|
- \#1 old onion keys are weak
|
|
- was first 80 bits of SHA-1 of the 1024-bit RSA key (each word is
|
|
bad news) short 16 chars
|
|
- now: ED25519 long 52 chars (ed25519 public key base32 encoded)
|
|
- \#2 Global shared random value (not predictable)
|
|
- HSDir relays were predictable, and therefore bad guy runs 6 relays
|
|
that would have been picted
|
|
- \#3 new crypto hides the address
|
|
- HSDirs get to learn onion addresses by running relays and learn
|
|
unpublished onion addresses
|
|
- now signing by subkey
|
|
- implizites Signing
|
|
- \#4 Rendevouz single onion services
|
|
- 3hops by alice just one hop for bob (which can be located)
|
|
- e.g. for Facebook, debian, …
|
|
- \#5 Guard discovery is a big deal
|
|
- Tor client uses a single relay (called guard) for the first hop
|
|
- really bad for onion services
|
|
- really good against other attacks -\>
|
|
- Vanguards proposel
|
|
- <https://www.youtube.com/watch?v=AkoyCLAXVsc>
|
|
|
|
|
|
|
|
- Motivation
|
|
- Erreichbarkeit
|
|
- NAT Punching
|
|
- Anonymität != Verschlüsselung
|
|
- "We kill people based on metadata"
|
|
- Anbieter des Service
|
|
- Nutzer des Service
|
|
- Serverzugriff
|
|
- Angriffe auf Onion Services
|
|
|
|
- Tor Adresse vorlesen
|
|
- Wohin soll diese zeigen?
|
|
-
|
|
|
|
\* Warum nutzen wir Tor?
|
|
|
|
\* congress vom 27.-30. in Leipzig
|
|
\* congress everywhere
|
|
\* chaosZone assembly
|
|
|
|
Links:
|
|
Vortrag: <https://www.youtube.com/watch?v=Di7qAVidy1Y>
|
|
auch gut: <https://www.youtube.com/watch?v=AkoyCLAXVsc> (ab Minute 30)
|
|
|
|
<https://metrics.torproject.org/>
|
|
<https://metrics.torproject.org/bandwidth.html?start=2000-01-01&end=2017-11-22>
|
|
\<- 200 GBit/s advertised, 100 GBit/s used)
|
|
<https://metrics.torproject.org/hidserv-dir-onions-seen.html> \<- 1 to 2
|
|
GBit/s used for onion traffic
|
|
<https://www.heise.de/newsticker/meldung/IETF-Streit-ueber-Verschluesselung-Darfs-ein-bisschen-weniger-sein-3889800.html>
|
|
<https://trac.torproject.org/projects/tor/wiki/doc/NextGenOnions>
|
|
<https://blog.torproject.org/tors-fall-harvest-next-generation-onion-services>
|
|
<https://github.com/katmagic/Shallot> \<- onion address (version 2)
|
|
berechnen
|
|
für die Zukunft
|
|
<https://www.anon-next.de/>
|
|
|
|
|