托尔匿名网络黑暗网络


在各种隐私圈子中,有关Tor的信息有很多误导。本文将研究一些 事实 有关Tor的信息,并评估它是否是某些人确定的可靠的隐私工具。 [2019年10月更新]

越来越多的人向任何寻求在线匿名性的人盲目推荐Tor。该建议通常会忽略大量证据,这些证据表明Tor并非事实证明它是“隐私工具”.

没有任何一种隐私工具能受到批评或审查,并且各有优缺点。不幸的是,近年来,Tor在假装无懈可击的人们中获得了类似的崇拜。对Tor的诚实批评经常遭到“ FUD”和类似攻击的指责,以免破坏集体的集体思维。.

不用介意Tor网络是恋童癖者和毒品贩子的热门聚会场所-以及这些类型的执法手段都吸引了这一事实。现在,Tor正在作为一种基层隐私工具销售,它将保护您免受政府监视和各种不良行为的侵害.

根据Tor的共同创始人Roger Dingledine和其他主要Tor开发人员的说法,让人们(在美国政府之外)广泛采用Tor对于美国政府使用Tor达到其自身目的的能力非常重要。在此目标中,Tor在各个隐私圈中得到了广泛的推广,在很大程度上取得了成功.

但是Tor确实是安全可靠的隐私工具吗??

这是事实.

1. Tor被泄露(不是匿名的)

各国政府可以取消对Tor用户的匿名化,这是多年来众所周知的另一个众所周知的观点.

2013年,《华盛顿邮报》(Washington Post)违反了一篇文章,援引报道称美国政府机构已经弄清楚了如何 在广泛范围内取消对Tor用户的匿名. 从华盛顿邮报:

自2006年以来,根据一份长达49页的名为“ Tor”的研究论文,该机构一直在研究几种方法,如果成功,这些方法将使NSA能够 大规模“隐瞒”匿名流量 -通过观察通讯在进入和退出Tor系统时的通讯情况来有效地进行,而不是试图在内部跟踪通讯情况。例如,一种类型的攻击将通过计算机上时钟时间的微小差异来识别用户.

也有报道称政府机构与研究人员合作“破坏”或以某种方式利用Tor来使用户匿名化:

然后在7月,在Black Hat黑客大会上进行了一次备受期待的演讲 突然取消. 卡内基·梅隆大学(CMU)的学者Alexander Volynkin和Michael McCord承诺将透露一个3,000美元的套件如何 揭露Tor隐藏服务及其用户的IP地址.

其描述与当月Tor Project记录的攻击非常相似。 Volynkin和McCord的方法会 通过取消对Tor用户的匿名 最近披露的使用 漏洞 还有一个“少数功能强大的服务器.“最重要的是,两人声称他们有 在野外测试攻击.

对于价值3,000美元的硬件,来自卡耐基梅隆大学的团队可以有效地“揭露” Tor用户。那是在2015年.

2016年,一个法院案件揭露了更多有关美国联邦政府如何聘请软件工程师有效破解Tor并取消匿名用户的信息。.

托不起作用

ARS Technica还在2016年2月讨论了此案,他们指出:

华盛顿的一名联邦法官现已证实强烈怀疑的事实:其软件工程学院的卡内基·梅隆大学(CMU)研究人员被联邦政府聘用,以研究2014年打破Tor的问题.

第二年,即2017年,出现了更多的证据,表明FBI如何看待您在Tor上的所作所为.

也有研究人员设计了攻击手段,使他们可以在野外对81%的Tor用户取消匿名。本文发表于2014年,在进行卡内基·梅隆研究之前.

Tor攻击

还有更多……

2017年法院案件证明FBI可以将Tor用户匿名化

的手段 FBI能够使Tor用户匿名 并发现他们的真实IP地址 仍然是机密信息. 在2017年的一起法庭案件中,联邦调查局拒绝透露其如何做到这一点,最终导致Tor网络上的恋童癖者免费。从科技时报:

在这种情况下, FBI设法违反了Tor的匿名承诺 从暗网上收集证据的手段构成了一个敏感问题。的 技术对联邦调查局很有价值, 因此政府宁愿妥协此案,也不愿发布其使用的源代码.

“政府现在必须在披露 分类信息 并撤销其起诉书,”联邦检察官安妮特·海斯(Annette Hayes)在周五的法庭文件中表示.

猫从书包里拿出来了。 FBI(可能还有其他政府机构)已被证明完全有能力使Tor用户匿名。大多数Tor发起人只是忽略了这些不同的情况及其明显的含义.

2. Tor开发人员正在与美国政府机构合作

一些Tor用户可能会惊讶地知道Tor开发人员直接与美国政府机构合作的程度。毕竟,Tor通常被提倡为基层的隐私保护工作,以帮助您与“老大哥”保持“匿名”状态.

一位记者通过FOIA的要求澄清了这种合作,这表明了许多有趣的交流.

这是一封电子邮件,其中Roger Dingledine讨论了与 司法部 (司法部)和 联邦调查局 (联邦调查局),同时也提到“后门”正在安装.

fbi tor浏览器

您可以在此处查看此信函的更多详细信息.

在下面的另一个交流中, Tor开发人员 史蒂芬·默多克 发现一个漏洞 Tor处理TLS加密的方式。此漏洞使取消对Tor用户的匿名化变得更加容易,因此,这对于政府机构而言非常有价值。知道可能会导致的问题后,史蒂文建议将文档保存在内部,

…最好推迟发布类似“此攻击是有害的;我希望在我们修复它之前没人能意识到这一点。.

八天后,根据以下电子邮件, 罗杰·丁格丁(Roger Dingledine)就此漏洞向两名政府人员发出警报

是安全的

尽管在这些问题的严重性上存在分歧,但一件事仍然很清楚.

Tor开发人员正在与美国政府紧密合作.

收集FOI​​A文件的记者还建议说:“ Tor在向公众发出警报之前私下向联邦政府提示了安全漏洞。” 不要同意 根据此陈述或此人得出的其他一些结论。尽管如此, 大事件 仍然是 Tor开发人员与美国政府机构之间的紧密合作.

您可以在此处看到Tor开发人员与美国政府机构之间的大量交流。 (文档的备份副本。)

如果您真的想潜水,请在此处查看完整的FOIA缓存.

3.使用Tor时,您像荧光棒一样脱颖而出

认识Eldo Kim。他是哈佛大学的学生,认为托尔在发送炸弹威胁时会让他“匿名”.

Tor失败使用Tor时,您将在人群中脱颖而出–就像Eldo Kim.

金没有意识到,当他在大学网络上连接到Tor时,他会 像荧光棒一样脱颖而出.

联邦调查局和哈佛大学的网络管理员能够轻松地确定金,因为金正日在通过Tor网络发送炸弹威胁电子邮件时正在使用Tor。从刑事申诉:

哈佛大学能够确定,在收到上述电子邮件的几个小时内,ELDO KIM使用哈佛的无线网络访问了TOR.

结案.

埃尔多·金(Eldo Kim)只是许多人的例子之一,他们误以为Tor提供了全面的在线匿名服务,后来又付出了代价.

如果在访问Tor网络之前,Kim使用了网桥或VPN,他可能会摆脱了(我们将在下面进行更多讨论).

4.任何人都可以操作Tor节点并收集您的数据和IP地址

Tor的许多支持者认为,它的分散性是主要的好处。尽管权力下放确实具有优势,但也存在风险。也就是说,任何人都可以操作通过其路由流量的Tor节点.

人们设置了Tor节点以收集易受攻击的Tor用户的数据的例子很多,这些用户认为他们是安全的.

以22岁的瑞典黑客Dan Egerstad为例。 Egerstad在全球范围内建立了一些Tor节点,并在短短几个月内收集了大量私有数据:

随着时间的流逝,埃格斯塔德获得了1000个高价值电子邮件帐户的访问权限。随后,他将在互联网上发布100组敏感的电子邮件登录名和密码,供罪犯,间谍或只是好奇的青少年用来窥探政府间,非政府组织和高价值公司的电子邮件.

每个人的嘴唇上的问题是:他是怎么做到的?答案在一个多星期后才出现,而且有点反高潮。这位22岁的瑞典安全顾问仅在全球数据中心的五台计算机上安装了免费的开源软件(称为Tor),并对其进行了监控。具有讽刺意味的是,Tor旨在防止情报机构,公司和计算机黑客确定使用它的人员的虚拟位置和物理位置。.

人们认为自己受到保护只是因为他们使用了Tor。他们不仅认为它是加密的,而且还认为“没人能找到我”.

如果不假设政府机构现在正在这样做,那将是非常幼稚的.

在评论此案时,安全顾问Sam Stover强调了有人通过Tor节点监听流量的风险:

国内或国际。 。 。如果您想进行情报收集,肯定会有数据。 (使用Tor时) 您根本不知道中国有人在监视您的所有流量,还是德国有人在伊利诺伊州。你不知道.

实际上,这正是Wikileaks入门的方式。创始人只需设置Tor节点即可虹吸超过一百万个私人文档。根据连线:

根据该组织创始人的新个人资料,维基解密是一个引起争议的揭密网站,揭露政府和公司的秘密,并通过其一名活动家通过互联网窃听操作获得的文件缓存进行自我引导。.

激进分子通过Tor过滤了超过一百万份文档,这些文档通过Tor(也称为“洋葱路由器”)在互联网上传播,Torner是一种复杂的隐私工具,允许用户匿名浏览和通过Internet发送文档.

政府是否运行Tor节点进行批量数据收集?

埃格斯塔德还建议Tor节点可能由拥有大量资源的强大机构(政府)控制:

除了黑客使用Tor掩盖其起源外,情报服务可能还建立了恶意出口节点来嗅探Tor网络中的数据,这似乎是有道理的。.

“如果您实际查看这些Tor节点的托管位置以及它们的大小,, 这些节点中的一些每月花费数千美元 只是托管,因为它们占用大量带宽,它们是重型服务器,依此类推。” Egerstad说。 “谁愿意为此支付费用并保持匿名?

早在2014年,政府机构就使用了许多不同的Tor继电器,它们被称为“非对称运行”。从Tor Project博客中:

在过去的几天里,我们收到并阅读了一些报道,说政府官员没收了几个Tor继电器。我们不知道为什么扣押了这些系统,我们也不知道所使用的调查方法。具体来说,有报告说Torservers.net的三个系统消失了,还有一个独立的中继运营商报告了.

在评论此案时,ARS Technica在2014年指出:

7月4日,Tor项目确定了一组 积极尝试打破用户匿名性的Tor中继 通过更改与网络流量相关的Tor协议标头进行更改.

流氓接力 成立于2014年1月30日,就在布莱克本特霍尔(Blake Benthall)宣布宣布已控制丝绸之路2.0的两周后,以及渗透丝绸之路2.0的国土安全部秘密官员开始获得报酬成为站点管理员之后不久。 Tor项目负责人Roger Dingledine在7月份写道,这些中继不仅可能使某些用户匿名,而且还“可能试图了解谁发布了隐藏服务描述符,这将使攻击者能够了解该隐藏服务的位置。” 30篇博文.

没有质量控制!

这里的根本问题是没有真正的质量控制机制来审核Tor继电器操作员。不仅没有用于建立中继的认证机制,而且操作员本身也可以保持匿名.

假设一些 Tor节点是数据收集工具, 可以安全地假设许多不同的政府参与了数据收集,例如中国,俄罗斯和美国政府.

另请参阅:Tor网络出口节点发现正在嗅探通过流量

5.恶意Tor节点确实存在

如果政府控制的Tor节点还不够糟糕,那么您还必须考虑恶意的Tor节点.

2016年,一组研究人员发表了一篇题为“ HOnions:走向检测和识别Tor HSDirs行为不当的论文”,其中描述了他们如何识别 110个恶意Tor中继

在过去的十年中,诸如Tor之类的隐私基础设施被证明是非常成功的,并且被广泛使用。但是,Tor仍然是一个实用的系统,具有各种局限性并且容易滥用. Tor的安全性和匿名性是基于这样的假设,即其大部分中继都是诚实的,并且不会行为不端. 特别是,隐藏服务的隐私取决于隐藏服务目录(HSDirs)的诚实操作。在这项工作中,我们介绍了蜂蜜洋葱(HOnions)的概念,这是一个检测和识别行为不当和监听HSDirs的框架。部署系统并根据72天的实验结果,我们发现并识别出 至少110个此类侦听继电器. 此外,我们发现其中一半以上托管在云基础架构上,并延迟了对所学信息的使用,以防止轻易追溯.

当阴谋“理论”成为阴谋事实时.

小组发现的恶意HSDirs主要位于美国,德国,法国,英国和荷兰.

HSDir问题爆发仅几个月后,另一位研究人员发现了一个恶意的Tor节点,将恶意软件注入文件下载中.

恶意软件

根据ITProPortal:

当局正在提供建议 Tor网络的所有用户都要检查其计算机是否存在恶意软件 在出现俄罗斯黑客一直在使用网络传播强大病毒之后。该恶意软件由Tor网络中的受感染节点传播.

…似乎已经对这些出口节点之一进行了修改,以更改通过网络下载的任何程序。这使攻击者可以将自己的可执行代码放入此类程序中,并且 可能控制受害者计算机.

由于节点更改,所有Windows 通过网络下载的可执行文件被恶意软件包装, 甚至担心通过Windows Update下载的文件也受到影响.

使用后果自负.

网络不安全

也可以看看:

通过恶意Tor出口节点分发的OnionDuke APT恶意软件

6.无需监视间谍用户

另一个有趣的案例突显了Tor的缺陷,出现在2016年,当时FBI能够渗透Tor破坏恋童癖团体.

骇客

根据《科技时报》:

美国联邦调查局(FBI)仍然可以监视使用Tor浏览器在网络上保持匿名的用户.

美国高级地区法院法官小亨利·可可(Henry Coke Morgan)裁定,联邦调查局不需要逮捕令即可入侵美国公民的计算机系统。地方法官的裁决与联邦调查局的一项名为“安抚奶嘴”的行动有关,该行动针对的是黑暗网络上一个名为PlayPen的儿童色情网站。.

被告使用Tor来访问这些网站。联邦机构借助希腊,丹麦,智利和美国计算机上的黑客工具,在行动中捕获了1,500名恋童癖者.

虽然很高兴看到这些类型的犯罪分子被关闭,但本案还突显了Tor作为隐私工具的严重漏洞,可以被新闻记者,政治异议人士,举报人等信任。.

法官在本案中正式裁定: Tor用户缺乏“对隐私的合理期望””以隐藏其IP地址和身份。这实质上为任何美国政府机构打开了大门, 监视Tor用户而未获得授权 或通过任何合法渠道.

当然,当您考虑鼓励记者,活动家和举报者使用Tor躲避政府机构和群众监视时,这是一个严重的问题。.

现在,让我们通过了解Tor的历史及其资金来将所有情况.

7. Tor由美国政府创建(出于某种原因)

我忘了提起,可能会让您焕然一新的一面. 我与美国政府签约建造匿名技术 为他们部署它。尽管我们使用该术语,但他们并不将其视为匿名技术。他们认为这是安全技术. 他们需要这些技术,以便他们可以研究自己感兴趣的人, 这样他们就可以拥有匿名的提示行,这样他们就可以从人们那里购买东西,而无需其他国家弄清楚他们正在购买的东西,购买的数量以及去向.

-Tor的共同创始人Roger Dingledine,2004年演讲

仅此一句就可以说服任何理性的人永远不要使用Tor网络,除非您当然想与Dark Web上的政府幽灵擦肩而过.

Tor的历史可以追溯到1990年代, 海军研究办公室达帕 正在努力在华盛顿特区创建一个在线匿名网络。该网络被称为“洋葱路由”,并在退出最终目的地之前跨不同节点反弹流量。.

2002年,Paul Syverson(海军研究办公室)以及与DARPA签约的Roger Dingledine和Nick Mathewson共同开发并发布了Tor的Alpha版本。这个由三人组成的团队为美国政府工作,将Tor变成了今天的样子.

上面的引言摘自Roger Dingledine在2004年的演讲,您也可以在这里听.

Tor开发并发布以供公众使用后,在电子前沿基金会(EFF)的指导下,它最终脱离了自己的非营利组织:

2004年底,Tor技术终于准备好部署,美国海军削减了大部分Tor资金,以开源许可证发布了该项目,奇怪的是,该项目被移交给了电子前沿基金会.

电子前沿基金会(EFF)仍是当今Tor的最大推动者之一,鉴于EFF与该项目的紧密联系也就不足为奇了.

8. Tor由美国政府资助

Tor由美国各政府机构资助已不是什么秘密.

关键问题是,美国政府的资金是否会对Tor的独立性和可信赖性(作为隐私工具)产生负面影响.

一些记者仔细研究了Tor与美国政府之间的财务关系:

Tor一直认为它是由“各种来源”资助的,并不局限于任何一个利益集团。但是我整理了数字,发现事实恰恰相反:在任何一年中,Tor通过来自联邦政府三个军事情报部门的合同和赠款,从其预算中提取了90%至100%的预算:五角大楼,州部门和一个名为BBG的CIA老派机构.

简单地说: 财务数据表明,Tor不是它声称的独立草根反政府组织。它是一个军事承包商。它甚至有来自政府的自己的官方军事承包商参考编号.

这是多年来Tor项目的一些不同的政府资金来源:

广播理事会

“广播理事会(BBG)(现称为美国全球媒体代理机构)是从中央情报局(CIA)分离出来的联邦机构,如今负责美国的外国广播业务,它为Tor提供了 610万美元 从2007年到2015年。”(来源)

国务院

“国务院为Tor提供了330万美元的资金,主要是通过其政权更迭部门-国务院的“民主,人权和劳工”部门。”(来源)

五角大楼

“从2011年到2013年, 五角大楼为Tor提供了220万美元的资金, 通过美国国防部/海军合同-通过名为SRI International的国防承包商。”(来源)

该赠款称为:“与海军指挥,控制,通信,计算机,情报,监视和侦察有关的领域的基础和应用研究与开发。”

我们还可以看到Tor项目对此事有何评论.

在2005年募集资金时,Tor声称捐助者将能够“影响”项目的方向:

我们现在正在积极寻找新的合同和资金. Tor的赞助商会获得个人关注,更好的支持,宣传(如果他们愿意),以及 影响我们的研发方向!

你有它。 Tor声称捐助者会影响研发的方向– Tor团队甚至承认这一事实.

您是否真的认为美国政府将投资数百万美元用于遏制其权力的工具?

9.当您使用Tor时,您可以帮助美国政府做一些怪异的事情

美国政府不能简单地为每个人运行一个匿名系统,然后仅自己使用。因为这样每次有人建立连接时,人们都会说:“哦, 另一位CIA特工查看我的网站,如果只有这些人使用网络。所以 您需要让其他人使用网络 所以他们融合在一起.

— Tor网络的共同创始人Roger Dingledine,2004年致辞

该声明的含义非常严重.

当您使用Tor时, 从根本上帮助美国政府. 正如丁格丁和记者所指出的,您的访问量有助于隐藏也使用Tor的CIA特工.

从根本上说,Tor是美国政府的工具,今天仍然如此:

Tor最初(也是当前)的目的是掩盖政府特工和线人在野外的在线身份:收集情报,设置刺痛行动,为人类情报资产提供一种向其处理人员报告的方式-这种事情。这些信息已经存在,但是还不是很为人所知,并且推广它的人当然也没有强调.

您将永远不会听到Tor发起人讨论美国政府让其他人加入Tor网络的重要性。这仍然是Tor倡导者避免的禁忌话题.

Tor项目的网站还讨论了Tor是如何 政府机构积极使用 用于不同目的:

美国海军的一个分支机构使用Tor进行开源情报收集,其一支团队最近在中东部署时使用Tor。执法部门使用Tor来访问或监视网站,而不会在其Web日志中保留政府IP地址,并在操作过程中确保安全.

Tor的另一位早期开发人员Michael Reed解释说,它一直是美国政府军事和情报行动的工具:

导致“洋葱路由”发明的最初的“问题”是:“我们可以建立一个系统,以允许通过Internet进行双向通信,而其中的源和目标不能由中点确定吗?” *目的*用于国防部/情报部门(开源情报部门的收集,涵盖正向部署的资产,无论如何). 无助于镇压国家的持不同政见者。不协助罪犯掩盖其电子足迹。无法帮助激流用户避免对MPAA / RIAA的起诉。没有给10岁的孩子绕过反色情过滤器的方法。当然,我们知道这些将是该技术的其他不可避免的用途,但这对于我们试图解决的当前问题并不重要(并且 如果这些用途可以给我们更多的掩护 更好地隐藏我们想要使用网络的流量…我曾经告诉过一个警务人员,对此他非常生气。.

这是另一个早期的Tor开发人员,他们洒了豆子。 Tor是 从来没有想过持不同政见者 在压制国家” 要么 帮助各种 隐私权主义者 为人权而战,这就是Tor在今天得到提升的方式.

正如Roger Dingledine在本节的开篇引言中所断言的那样,Paul Syverson(Tor的联合创始人)也强调了让其他人使用Tor的重要性,从而帮助政府特工执行其工作并且不成为唯一的Tor用户:

如果您的系统只是海军系统,那么突然出现的任何事情显然都是来自海军. 您需要拥有一个可以为其他人带来流量的网络 以及.

Tor由许多不同的个人和团体打上烙印,作为一项基层项目,旨在保护人们免受政府监视。但是,实际上,它是为实际上在军事和情报行动中使用它的政府特工提供的工具(包括监视那些认为自己对Tor都是“匿名”的人).

Tor在军事监视设备中的效用在以下引文中有很好的解释:

创建Tor并不是为了保护公众免受政府监视,而是为了 掩盖情报人员在监视领域时的在线身份. 但是为了做到这一点,Tor必须向公众发布并被尽可能多的人使用:活动家,持不同政见者,记者,偏执狂,小童色情浮渣,罪犯甚至是可能的恐怖分子-规模更大,人群越奇怪,特工越容易混入并隐藏在视线范围内.

根据这些Tor开发人员和联合创始人的说法, 当您使用Tor时,您正在帮助美国政府特工 他们在Tor网络上所做的一切。为什么任何提倡隐私和人权的人都想这样做?

10.使用Tor时IP地址泄漏

Tor的另一个反复出现的问题是IP地址泄漏-一个严重的问题,即使泄漏是短暂的,也会使Tor用户匿名.

在2017年11月,发现一个漏洞,如果Tor用户单击基于文件的本地地址(例如file://。而不是http://或https://),就会暴露Tor用户的真实IP地址。.

是安全的

这个问题说明了Tor的一个更大的问题:它 仅通过Tor浏览器加密流量, 从而暴露了所有其他(非Tor浏览器)流量.

与VPN会加密您操作系统上的所有流量的VPN不同,Tor网络只能通过为Tor配置的浏览器工作。 (有关概述,请参见“什么是VPN”指南。)

这种设计使Tor用户容易受到泄漏的影响,这将在许多不同情况下暴露其身份:

  • Tor洪流时,Tor不提供任何保护,并且会通过洪流客户端泄漏用户的IP地址.
  • 在访问文件(例如PDF或其他文档)时,Tor可能会泄漏IP地址,这可能会绕过代理设置.
  • Windows用户还容易受到不同类型的漏洞的攻击,这些漏洞将暴露用户的真实IP地址.

窗户托

不过,请务必注意,匿名操作通常是由于用户错误或配置错误而引起的。因此,责任不在于Tor本身,而在于不正确使用Tor的人.

丹·埃格斯塔德(Dan Eggerstad)在发言时也强调了这个问题:

人们认为自己受到保护只是因为他们使用了Tor。他们不仅认为它是加密的,而且还认为“没人能找到我”。但 如果您的计算机配置错误,那么使用Tor的人可能有50%以上, 你仍然可以在另一边找到那个人.

再次,非技术用户最好使用优质的VPN服务,该服务提供系统范围的流量加密,并且如果VPN连接断开,则有效的kill开关可以阻止所有流量.

11.使用Tor可以使您成为目标

正如我们在上方看到的炸弹威胁骗局一样,Eldo Kim被定为目标,因为当炸弹威胁被发送时,他正处于Tor网络中.

其他安全专家也警告说Tor用户仅仅是因为使用Tor而成为攻击目标.

此外,大多数真正的压制性场所实际上都是在寻找Tor并将这些人作为目标。 VPN用于监视Netflix和Hulu,但是Tor只有一个用例–逃避了当局。没有封面。 (这是假设即使在无法打破Tor匿名性的国家,它也被用来逃避。)

在许多方面,Tor比VPN更具风险:

  1. VPN(通常)不是主动恶意的
  2. VPN提供了Tor根本无法提供的良好掩护–“我用它来观看Hulu视频”比–“我只是想在网上购买非法药物”好得多

正如我们之前在此处指出的,VPN的使用比Tor更为广泛,并且出于各种(正当)原因,例如通过VPN传输Netflix。.

因此,也许您仍然需要(或想要?)使用Tor。如何安全地做?

如何(更多)安全地使用Tor

鉴于Tor受到威胁,并且行为不端的人可以看到Tor用户的真实IP地址,因此采取额外的预防措施是明智的。这包括 在访问Tor网络之前隐藏您的真实IP地址.

要在访问Tor时隐藏您的IP地址,只需 连接到VPN服务器 (通过计算机上的VPN客户端) 然后访问Tor 正常(例如通过Tor浏览器)。这将在您的计算机和Tor网络之间添加一层加密,VPN服务器的IP地址将替换您的真实IP地址.

注意:有多种组合VPN和Tor的方法。我是 只要 建议以下设置: 您 > 虚拟专用网 > 托尔 > 互联网 (也称为“ VPN上的Tor”或“ VPN上的洋葱”).

是安全的

使用此设置,即使恶意参与者正在运行Tor服务器并记录所有连接的IP地址,您的 真实的IP地址将隐藏在后面 VPN服务器(假设您使用的是良好的VPN,没有泄漏).

以下是在Tor网络之前通过安全VPN路由流量的好处:

  1. 您的 真实IP地址保持隐藏 从Tor网络(Tor看不到你是谁)
  2. 您的 互联网服务提供商 (ISP)或网络管理员将 无法看到您正在使用Tor (因为您的流量已通过VPN服务器加密).
  3. 不会那么突出 来自其他用户,因为VPN比Tor更受欢迎.
  4. 你是 分配信任 在Tor和VPN之间。 VPN可以看到您的IP地址,Tor可以看到您的流量(您访问的站点),但是都不会同时拥有您的IP地址和浏览活动.

对于任何不信任VPN的人来说, 验证无日志VPN服务 被证明是真正的“无日志”.

您可以使用安全的匿名电子邮件帐户(未连接到您的身份)注册VPN。对于真正的偏执狂,您还可以使用比特币或任何其他匿名支付方式进行支付。大多数VPN不需要任何名称进行注册,只需要一个有效的电子邮件地址即可获得帐户凭据。根据您的威胁模型,在安全的离岸司法管辖区(14只眼之外)使用VPN可能也不错.

对于那些寻求最高匿名性的人,您可以 通过Linux虚拟机链接多个VPN (使用Virtualbox,即FOSS)。您还可以在路由器上使用VPN1,在计算机上使用VPN2,然后通过两个单独的VPN服务通过两层加密来访问常规Internet(或Tor网络)。这使您能够 在不同的VPN服务之间分配信任 并确保两个VPN都不能同时拥有您的传入IP地址和流量。我的多跳VPN服务指南中对此进行了更多讨论.

注意:“ VPN完全,100%,您必须信任的单点/实体”的说法是错误的。此主张来自这位Tor发起人,他恰好为美国政府的 海军研究实验室.

当你 链式VPN, 您可以 分配信任 遍布全球不同VPN服务和不同司法管辖区的服务,所有服务都是匿名支付的,并且与您的身份无关。仅凭Tor,您就可以完全信赖The Onion Router…

Tor Project同意添加VPN的好处

Tor项目还同意 正确使用带有Tor的VPN, 如我上面推荐的。以下是Tor项目的一些引言,内容涉及在Tor(存档)之前使用VPN的好处:

  1. “可能会阻止您的ISP等看到您正在使用Tor”
  2. 通过VPN路由Tor“假设您的VPN提供商的网络实际上比您自己的网络安全得多,可能是个好主意。” [经过验证的无日志记录VPN比具有您的姓名,出生日期,付款明细,并正在收集您的数据并与监控机构共享,例如与美国互联网提供商的案例。]
  3. “这里的另一个优势是,它可以防止Tor看到您在VPN背后的身份。因此,如果有人确实设法破坏了Tor并了解了您的流量所来自的IP地址,那么……您会过得更好。”

尽管我通常都同意以上观点,但不幸的是,Tor Project在其文章的开头也指出了一些错误信息,如下所示:“大多数VPN / SSH提供程序日志中都有一笔钱,如果您不能真正匿名支付。”

这些要点是不正确的.

  • “大多数VPN / SSH提供程序日志” - 这是不正确的。有许多无日志记录的VPN服务,也有少数经过验证的无日志记录的VPN,这些VPN经历了第三方审核,服务器扣押或法院传唤用户数据.
  • “有钱迹” –这是一个巨大的误解,是由不知道自己在说什么的人引起的。 “钱迹”与VPN的有效性或加密无关。 VPN不是非法的,并且正在成为主流的隐私工具。如果对手知道您已订阅了特定的VPN服务,则对VPN的有效性影响为零。即使对手拥有您的用户名和密码,这也与VPN的有效性或加密无关(这仅意味着您的对手可以免费使用VPN)。 VPN加密是动态的,每次连接都会协商新的。如果您担心“钱迹”,那么可以匿名付款.
  • “不能真正匿名支付” –这又是错误的,也许是公然撒谎,使人们远离VPN。大多数VPN提供匿名支付选项,例如礼品卡或比特币,不需要名称。您只需要一个有效的电子邮件,并且为此目的,您可以轻松地设置匿名/刻录机电子邮件,该电子邮件与您的身份无关。完成.

注意:尽管有很多案例证明FBI可以轻松地使Tor用户匿名,但从未有法院案件(据我所知)证明FBI(或任何政府机构)可以使VPN用户匿名,这是假设的。加密良好,没有泄漏。取而代之的是,我们看到了一些孤立的案例,其中FBI迫使VPN记录用户数据并将其提供给当局以识别特定用户,例如美国的IPVanish记录案例。.

Tor漏洞和VPN

Tor Project承认还有其他攻击将使Tor用户匿名(存档):

如上所述,观察者可以同时查看您和目标网站或您的Tor出口节点,从而在流量进入Tor网络或从Tor网络退出时关联您的流量计时。 Tor无法防御这种威胁模型.

再一次, VPN可以 帮忙 降低去匿名化的风险 通过在访问Tor电路中的保护节点之前隐藏源IP地址.

出口节点可以窃听通信吗?从Tor项目中:

是的,运行出口节点的人可以读取进出那里的字节。 Tor匿名化了流量的来源,并确保对Tor网络内部的所有内容进行加密,但不会神奇地加密整个Internet上的所有流量.

但是, VPN无法对不良的Tor出口节点做任何事情 窃听您的流量,尽管它可以帮助您隐藏自己(但您的流量也可以让您流连忘返).

我将在VPN与Tor比较中进一步讨论这些问题.

关于Tor的结论

隐私工具无可非议.

就像Tor一样,我也指出了VPN的许多问题,包括被困在日志中的VPN,VPN骗局和危险的免费VPN服务。所有隐私工具都具有优点和缺点。选择最适合工作的工具归结为您的威胁模型和独特需求.

不幸的是,对于隐私社区中的许多人来说,Tor现在被认为是一揽子匿名服务的可靠工具,否则暗示您正在“传播FUD”。这是可悲的.

最后,对于寻求更多安全性和在线匿名性的普通用户,我完全避免使用Tor。 VPN将为各种设备和操作系统提供系统范围的加密,更快的速度以及用户友好的客户端。这也将阻止您的ISP查看您的在线状态.

此外,VPN更为主流,使用VPN的原因很多(合法!)。与Tor相比,使用VPN绝对不会让您脱颖而出.

对于那些仍想访问Tor网络的用户,通过可靠的VPN服务这样做会增加额外的保护层,同时隐藏您的真实IP地址.

进一步阅读:

Tor及其不满:Tor用作灵丹妙药的问题

用户被路由:现实对手在Tor上的流量关联

发现Tor网络出口节点正在嗅探通过流量

基于流记录的匿名网络流量分析的有效性

法官确认了许多疑点:美联储雇用CMU打破Tor

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me