TOR i niezaszyfrowany ruch HTTP [zamknięte]

-1

Jeśli NSA wskazała określone osoby korzystające z TOR, czy istnieje sposób na szyfrowanie nieszyfrowanego ruchu internetowego? Przypuszczam, że jest to głupie pytanie, na które odpowiedź sama się pojawia, ponieważ kiedy opuści węzeł wyjściowy, wszystko jest jasne .

Czy ipv6 obsługuje szyfrowanie ssl, tls lub jakiś rodzaj szyfrowania VPN dla wszystkich połączeń? Na przykład implementacja może być taka: masz niezaszyfrowane połączenie z jakąś usługą, możesz po prostu kliknąć „Zabezpiecz to połączenie” i voila! Zabezpieczone!

Wydaje mi się, że pamiętam tę funkcję w niektórych wczesnych artykułach na temat ipv6 (ale mogła to być tylko przypadkowa funkcja slashdotter).

networking encryption ipv6 tor Justin Goldberg
źródło
1
Trudno zrozumieć twoje pytanie, ponieważ nie jest jasne, co próbujesz zrobić. Czego oczekujesz dokładnie od szyfrowania? Czy zakładasz współpracę węzła końcowego? Jeśli tak, to dlaczego ruch miałby być przede wszystkim niezaszyfrowany?
David Schwartz
@Spiff Przykro mi z powodu IPsec. Czytałem książkę, która została opublikowana na początku tego roku, o której wspominano.
cutrightjm
@ekaj Nie martw się.
Spiff
Kto powiedział, że NSA może zidentyfikować osoby, które używają TOR, w tych kilku przypadkach, w których zostało to zrobione, były zaangażowane inne czynniki. Najnowsze przypadki dotyczyły sieci kolegiów, w której student był jednym z niewielu, którzy korzystali z TOR lub jedynym użytkownikiem. Inne sprawy dotyczyły podobnych sytuacji
Ramhound
@Ramhound patrz schneier.com/blog/archives/2013/10/how_the_nsa_att.html
cutrightjm

Odpowiedzi:

1

Nie, nie możesz zabezpieczyć ruchu sieciowego, chyba że możesz uwierzytelnić serwer sieciowy, z którym się łączysz, ponieważ w przeciwnym razie możesz rozmawiać z polem ataku NSA „Man in the Middle” (MitM) (pomyśl o internetowym serwerze proxy, który przechwytuje i szpieguje, ale nadal przekazuje całą komunikację z tym serwerem internetowym). Jeśli nie uwierzytelniłeś drugiego punktu końcowego zaszyfrowanej sesji, partnerem szyfrującym może być MitM NSA, a nie rzeczywista strona internetowa.

Niestety nie ma niezawodnego ani szeroko rozpowszechnionego sposobu uwierzytelniania serwerów internetowych, których NSA nie może obejść .

Wspomniałeś o IPv6, ale to nie jest prawdziwe rozwiązanie. Pewnego razu nieco niejasny dokument dotyczący IPv6 powiedział, że hosty „MUSZĄ” obsługiwać IPv6, MUSZĄ obsługiwać IPsec, ale w 2011 roku zostały obniżone do wersji „POWINNY”. I nawet jeśli tak nie było, to nie jest tak, że istniała „policja IPv6”, która cofnąłaby twoją „licencję IPv6”, jeśli nie umieściłeś obsługi IPsec w stosie IPv6. Nawet jeśli możesz liczyć na to, że każdy host obsługujący IPv6 ma obsługę IPsec, nie oznacza to, że jest włączony i odpowiednio skonfigurowany, abyś mógł z niego skorzystać. I nawet gdybyś mógł z tego skorzystać, typowe metody uwierzytelniania hosta używają certyfikatów X.509, podobnie jak SSL / TLS, które, jak już wspomniałem, NSA ulegają uszkodzeniu. A potem jest John Gilmore ” że pracownicy NSA wprowadzili złe wymagania do standardu IPsec i nadmiernie skomplikowali go do tego stopnia, że ​​badacze kryptografii nawet nie próbują go analizować pod kątem bezpieczeństwa.

Więc może pomyślisz: „Hej, te ataki MitM wydają się dość ukierunkowane i drogie, może nie dostanę się do celu, więc może zależy mi tylko na tym, aby moje dane nie zostały uwięzione w programach masowego drążenia”, które ja przeciwstawi się: „tak, ale ataki demaskujące użytkownika Tora są również ukierunkowane i drogie, ale nadal uważałeś się za wystarczająco prawdopodobne, aby zostać zaatakowanym, że szukałeś czegoś lepszego niż Tor”. Następnie chciałbym zauważyć, że NSA uważa zaszyfrowane dane podejrzane i twierdzi, że ma prawo je zachować, dopóki nie będzie w stanie ich odszyfrować.

Spiff
źródło