热门问题
时间线
聊天
视角
Tor
基於洋蔥路由及相關軟件的匿名通信網絡 来自维基百科,自由的百科全书
Remove ads
Tor是实现匿名通信的自由软件,由美国非盈利组织The Tor Project, Inc开发与维护。其名源於「The Onion Router」(洋蔥路由)的英語縮寫[8][9]。用戶可透過Tor接達由全球志願者免費提供,包含7500多個中繼的覆盖网络[10],從而達至隱藏用戶真實地址、避免網絡監控及流量分析的目的。Tor用戶的互聯網活動(包括瀏覽在線網站、帖子以及即時消息等通訊形式)相對較難追踪[11]。Tor的設計原意在於保障用戶的個人隱私,以及不受監控地進行秘密通訊的自由和能力。
![]() | 此條目包含過多行話或專業術語,可能需要簡化或提出進一步解釋。 (2022年4月14日) |
Remove ads
Tor通过一种叫做路径选择算法的方式自动在网络中选择3个Tor节点,这三个节点分别叫做入口节点(Guard relay)、中间节点(Middle relay)和出口节点(Exit relay)。在网络连接的應用層,数据以一种叫做洋葱路由的方式进行传输。数据首先在用户端连续加密三层,而三个中继各自解密一层,这样它们就能知道接下来把数据传送给谁。在这种情况下,数据就像剥洋葱一样被一层一层地解密,所以被称为“洋葱路由”。最後的出口节点會解密最內層的加密數據并得到真实的数据内容,并把它传送给目标地址。出口节点虽然知道真正的数据内容,但是它只知道上一个中继节点的地址,不知道数据最初的发送者是谁,从而保证了数据发送者的安全。[12]相对应地,入口节点仅知晓用户的IP地址而无法得知其访问的网站,而中间节点既无法得知IP地址也无法得知用户所访问的内容。
攻擊者可能會嘗試透過某些手段來使Tor用戶去匿名化,就是获知哪个Tor用户访问了哪一网站,比如利用Tor用戶電腦上的軟件漏洞[13]。美国国家安全局擁有針對Tor安裝包中所綑綁的舊版本Firefox漏洞的技術(代號「EgotisticalGiraffe」)[14],並曾利用XKeyscore系統來密切監控Tor用戶[15]。不少學者亦就如何破解Tor網絡進行過學術研究[16][17],此一行為受到Tor项目公司所肯定[18]。
Tor不會阻止在線網站判斷用戶是否通過Tor訪問該網站。儘管它保護用戶的隱私,但不會掩飾用戶正在使用Tor這一事實。有些網站會對使用Tor的用戶進行限制。例如,维基百科为防止破坏而阻止来自Tor的编辑。[19]
開發及維護Tor的一大部分經費由美國聯邦政府所捐助[20],過去則以海軍研究辦公室及國防高等研究計劃署的名義捐助[21]。
Remove ads
历史

Tor的核心技术“洋葱路由”,是在1990年代中期由美国海军研究实验室的员工,数学家保罗·西维森(Paul Syverson)和计算机科学家邁克·里德(G. Mike Reed)和大衛·戈爾德施拉格(David Goldschlag),为保护美国情报通信而开发的软件。之后,洋葱路由于1997年交由美国國防高等研究計劃署進行进一步开发[22][23][24][25][26][27]。
Tor的测试版由西维森和计算机科学家罗根·丁格伦(Roger Dingledine)和尼克·马修森(Nick Mathewson)开发[20] ,并將其命名为“洋葱路由项目”(The Onion Routing project,简称TOR项目)[1][28]。這個测试版于2002年9月20日发布[1][28]。次年推出首個公开发行版本[29]。2004年8月13日,西维森、丁格伦和马修森在第13届USENIX安全研讨会上以「Tor:第二代洋葱路由器」為題進行演講[30]。2004年,美国海军研究实验室以自由软件许可证发布了Tor代码,电子前线基金会开始资助丁格伦和马修森继续开发[20]。
2006年12月,丁格伦、马修森等人成立了一个位于马萨诸塞州的非营利组织——The Tor Project,负责维护Tor[31]。电子前线基金会担任其早年的财政赞助商,Tor项目的早期赞助者还包括美国国际广播局、新闻国际、人权观察、剑桥大学、谷歌和荷兰的NLnet[32][33][34][35][36]。
此後維護Tor所需的一大部分費用由美國聯邦政府所捐助[20]。
2014年11月,由於全球司法部門開展了一項名為「去匿名化行動」的反黑市行動,所以有推測指Tor的漏洞已被人利用[37]。英国广播公司引述評論指這是「技術性破解」[38],使得司法部門可以追蹤伺服器的物理位置。有關的法庭文件於次年引起人們對研究倫理[39]及《美國憲法第四修正案》所保證的「不能受到無理搜查」的權利之關注[40],這也可能與當時稍早時候發生且針對Tor的攻擊存有關係[41]。
2015年12月,Tor專案公司宣佈聘用莎麗·斯蒂爾(Shari Steele),由她擔任新任執行董事[42]。莎麗在這以前领导過电子前线基金会15年之久,且在2004年使得电子前线基金会決定為Tor的早期维护提供資金。其目標之一為增加Tor的用戶友好度,使得更多人能夠匿名地瀏覽網頁[43]。
2016年7月,Tor專案公司的董事會成員集體辭任,同時成立一個由馬特·布拉澤、辛迪·科恩、加布里埃拉·科爾曼、萊納斯·諾德伯格(Linus Nordberg)、梅根·普赖斯(Megan Price)及布魯斯·施奈爾組成的新董事會[44][45]。
Remove ads
應用
使用了Tor的用戶可以匿名地瀏覽在線網站、聊天和發送即時信息。他們可把Tor應用於合法目的上,也可應用於非法目的上[49]。例如犯罪企業、黑客行動主義組織及執法機關會為了各種目的而使用Tor[50][51]。除此之外,美國政府的內部機構會為Tor提供贊助(美國國務院、國家科學基金會,以及美國廣播理事會皆有/曾為Tor提供贊助)並試圖破解它[13][52]。
Tor不能夠使網絡活動完全匿名。其設計目的並不是使網絡跟蹤完全消去,而是減低網站透過數據及活動跟蹤用戶的可能性[53]。
Tor也被用於進行非法活動,例子包括存取在當地受到審查的資訊、組織政治運動[54]、規避禁止人們發表批評國家首腦的言論的法律。
《经济学人》的一篇報導稱Tor跟比特幣和絲路有關,並指Tor為「網絡上的阴暗角落」[55]。儘管美国国家安全局及英國政府通信总部已把Tor視為破解目標,但只取得少許成功[13]。英國國家打擊犯罪調查局的「确认行動」(Operation Notarise)為最為成功破解Tor的行動[56]。同時,英國政府通信总部利用了一款名為「Shadowcat」的工具來「透過Tor網絡,並使用安全外殼協定存取受到端對端加密的虚拟专用服务器」[57][58]。它也可應用於匿名誹謗、洩露政府敏感資訊、上下载侵權作品、分發非法色情內容[59][60][61]、販賣受管制药物[62]、武器及被盜的信用卡號碼[63]、洗錢[64]、银行诈骗[65]、信用卡诈骗、身份诈骗、假幣兑换[66];以Tor為基礎架構的黑市網站有相當一部分會以比特幣作交易媒介[50]。最後它還可用於攻擊物聯網設備[67]。
美国联邦调查局在逮捕絲路的創辦人羅斯·烏布利希的過程中,承認Tor「存有合法用途」[68][69]。CNET的報導指,Tor的匿名功能「受到像电子前线基金会般的民權組織的贊同,因為它能為告密者和人權工作者提供一個渠道,以跟記者溝通」[70]。电子前线基金会的監控自衛指南包含了如何使用Tor的描述,並指它符合保障私穩及匿名性的大原則[71]。
电子前线基金会的伊娃·加爾佩林於2014年接受《彭博商业周刊》訪問時指出:「Tor最大的問題就是新闻报道(的取向),沒人聽說過有些用戶透過其擺脫滥用者的追蹤,但只聽說過人們如何透過其下載兒童色情作品」[72]。
Tor專案公司指出,Tor用戶當中也有「正常人」,這包括渴望網站及廣告商不會得知自己的網上活動的人、擔憂網絡侦察的人,以及像活動家、記者和軍事專業人士般渴望擺脫審查的用戶。截至2013年11月,Tor有大約400萬名用戶[73]。《华尔街日报》指出,Tor有約14%的流量來自美國,它的第二大用戶群來自「網絡審查盛行的國家」[74]。家庭暴力的受害者、社工及幫助受害者的機構使用Tor溝通的情況也有上升趨勢,儘管他們可能沒受過網絡安全相關的專業培訓[75]。然而若進行了適當的配置,它便可以使人不會受到數碼追蹤的影響[76]。像《衛報》、《紐約客》、《ProPublica》及《The Intercept》般的新聞機構會利用SecureDrop及Tor來保障告密者的私隱[77]。
英國國會科學與技術辦公室於2015年3月發佈了一份简要報告,當中指出「英國人普遍不會認為完全禁止線上匿名系統是可接受的……即使若事實並不如此,技術上這也是一項挑戰」。除此之外,它進一步指出Tor「在線上觀看和分發兒童不雅物品上,只扮演一個較小的角色(這可部分歸因於Tor的固有延时)」。Tor也因能幫助网络观察基金会運作、告密者告密以及突破防火長城而受到熱捧[78]。
Tor的時任執行董事安德魯·勒曼(Andrew Lewman)於2014年8月說道,美国国家安全局及英國政府通信总部的特務曾匿名地向Tor專案公司報告Tor的漏洞[79]。
Tor項目的常見問題解答頁面上寫道:
“ | 犯罪者已經可以做壞事了。由於他們想打破法規的緣故,所以他們在保有私隱上,存有更多比使用Tor更好的選項可以選擇……
Tor旨在為希望遵守法律的普通人提供保護。但現在只有犯罪者保有私隱權,這個問題我們需要解決之…… 所以说,没错,犯罪者在理論上可以使用Tor,但他們已有更好的選項可以選擇,且從這個世界上拿走Tor似乎也不能阻止他們做壞事。與此同時,Tor和其他隱私措施可以打擊身份詐騙及像跟踪般的實體犯罪。 |
” |
——Tor Project FAQ[80] |
Remove ads
运作方式

Tor的設計原意在於保障用戶的個人私隱,以及不受監控地進行秘密通訊的自由和能力。它能夠實現洋葱路由這一種使通訊加密,和在由全球志願者運行的中繼中隨機跳轉的技術。該些洋葱路由器會對信息進行多層加密(因此以洋葱來比喻),由此確保中繼間的完美前向安全性,使用戶的網絡位置得以匿名化。這種匿名性也使得Tor可以寄存規避審查的匿名服務[30]。此外其還把一部分的入口中繼保密,使得依賴封鎖Tor公開節點的互联网审查失效[81]。
由於接收者和发送者的IP位址在任何中繼中都不是通過明文傳輸,所以若有人在中繼路徑中的任何一點竊聽,都無法同時識別兩端。而且接收者眼中,似乎通信来源是最后一个Tor节点,而不是发送者。

Tor在本地提供Socks接口,通常在9050(独立Tor)或9150(Tor浏览器)端口,支持该协议的应用程序可以设定让Tor接管其流量。Tor會定期透過Tor網絡創立虛擬回路,从而可复用流量并傳送其至目標。在Tor網絡內部,雙方的流量是通過路由器沿著回路傳送至下一個路由器,最終到達出口節點;在出口節點的封包被明文轉送至原本的目標地址。从目标的角度来看,流量来源是出口节点。

Tor的獨特運作方式使得其跟其他匿名網絡得以區分開來:它建立在传输控制协议(TCP)流之上,这意味着常見互聯網活動包括IRC、即時通訊以及瀏覽万维网可透過Tor匿名化。
Tor也可以為網站及伺服器提供匿名性。只接受透過Tor從外部連接的伺服器一般統稱為洋葱服務(Onionsite,另有隱藏服務這個較正式的稱呼)[82]。洋葱服务分为V2版(2020 年 9 月,Tor 开始提醒洋葱服务管理员和客户端, 0.4.6 版本将弃用并淘汰 v2。 2021 年 6 月,Tor 浏览器开始提醒用户。在 2021 年 7 月,0.4.6 版 Tor 将不再支持 v2,并从代码库中移除相关支持。2021 年 10 月,我们将为所有支持的系列发布新的 Tor 稳定版本客户端,该版本将禁用 v2[83]。)和V3版,V2版URL仅有16个字符,V3版URL为56个字符,該些洋葱服務一般能在配合Tor瀏覽器的情況下,經洋葱地址來存取,而不像瀏覽一般網站般先找出伺服器的IP位址後再存取。Tor網絡以找出相應的公鑰和分散式雜湊表(DHT)中的介绍结点(introduction points)的方式來得知其位址。它可以路由傳入洋葱服務或從洋葱服務傳出的數據,這同樣適用於在网络地址转换(NAT)或防火墙背後的主机,並能保障雙方的匿名性。對於存取該些洋葱服務而言,Tor是必要的[84]。
洋葱服務在2003年首次提出[85],並自次年起在Tor網絡上配置[86]。除了存儲洋蔥服務的描述符所需的數據庫之外[87],Tor在設計上是去中心化的;不存在一個列出所有洋葱服務的可供閲讀列表,儘管一些洋蔥服務目錄會把知名的洋葱地址列出。
由於洋蔥服務會把它們的所有流量皆經由Tor網絡路由,所以它們的連接為端到端加密的,且不能夠成為竊聽的目標。但Tor的洋蔥服務仍有安全問題。例如所有能透過Tor洋葱服務和公共互联网存取的服务皆易受相关攻击(correlation attacks)的影響,由此可見它的匿名性並不是完美的。其他隱患包括服務設定错误(例如Web伺服器的默認錯誤頁面可能會包含識別信息)、運行和停機時間統計、交集攻击(intersection attacks)以及用戶錯誤[87][88] 。獨立安全研究者莎拉·傑米·劉易斯開發了一個名為「OnionScan」的开源软件,用於全面檢測洋葱服務上的漏洞[89](劉易斯還是研究透過洋蔥路由來進行遠程性愛的先驅,因為她認為性玩具不應透過互聯網不安全地連接[90]。)
洋蔥服務也可在客戶端沒有連接Tor網絡的情況下透過標準瀏覽器存取,比如使用像Tor2web般的服務即可存取之[91] 。人們常在Pastebin 、Twitter、Reddit及其他網絡論壇分享以.onion為頂級域的暗网鏈接[92]。
Remove ads
Nyx是一款以Python來編寫的Tor命令行界面狀態监视器[93][94]。其能使人實時监视其所運行的Tor節點的狀態,它的监视範圍包括:
- 目前正在使用的資源(带宽、CPU和記憶體的使用情況)
- 中繼的一般資訊(暱稱、指紋、旗標或/dir/controlports)
- 擁有正則表達式過濾和重复数据删除功能的事件記錄表
- 與Tor數據一致相關的連接(IP地址、連接類型、詳細中繼資訊等等)
- 在torrc設定檔上加入語法突顯及行數
Nyx的大多數屬性都可以通過armrc設定档進行設定。它能在任何支持curses函式庫的平台上運行,包括macOS、Linux及其他类Unix系统。
這一專案始於2009年的夏天[95][96],並自2010年7月18日起正式成為Tor專案的一部分。它是一款以GNU通用公共许可证授權的自由软件。
弱點
Tor就像其他低延迟匿名網絡般,不能夠也沒有嘗試阻止他人監聽Tor網絡流量的边界(亦即流量進出網絡時的情形)。儘管Tor能保護人們免於受到流量分析,但它仍不能夠防止流量確認(traffic confirmation,亦即端對端確認)的發生[97][98]。
一項發表於2009年的研究指出,Tor及另外一套匿名網絡系統Java Anon Proxy比其他隧道协议更對網站指紋技術有适应力。
其原因在於單一節點的VPN協定的封包重新建构次數一般不比使用了多重節點的Tor及Java Anon Proxy多。利用網站指紋識別在傳統VPN協定上識別HTTP封包的準確率達90%,與此相比識別透過Tor傳送的封包的準確率只有2.96%。然而若使用了像OpenVPN及OpenSSH般的協定,那麼也需要大量數據才可識別HTTP封包[99]。
Remove ads
如果「客戶至入口中繼」及「出口中繼至目標地址」這兩段網絡路徑皆為同一個自治系统所管轄,那麼該系統就能經由統計把入口路段和出口路段劃上關係,且有可能推斷出客戶把封包傳送至哪個目的地。LASTor於2012年發表了一篇論文,當中提出如何預測處於上述兩條路徑的自治系统的方法,並建議如何在路徑選擇演算法中避免選擇由同一個自治系统管轄的路徑。在這篇論文中,作者們也以選擇較短路徑的方式來改善延遲性。[101]
瑞典安全顧問丹·艾格斯塔德(Dan Egerstad)在2007年9月透露,他透過运行和監聽Tor出口節點來截獲一些電子郵件帳戶的用戶名和密碼[102]。由於Tor不能加密出口節點至目標伺服器之間的流量,所以任一出口節點皆有能力截獲通過它而又沒經過傳輸層安全性協定(TLS)或安全通訊協定(SSL)進行端到端加密的流量。儘管這可能並不對來源端的匿名性構成任何影響,但截獲流量的第三方也可能能在實際數據和協議數據中找到來源端的信息[103]。艾格斯塔德同時擔憂情報機構會暗中破坏Tor[104]:
「若你們認真找一下Tor節點的位置及規模,就會了解一些節點因為使用了大量頻寬及成為高負載伺服器等原因,而每月花費數千元,為的只是成為一台网络主机。誰會為此付出那麽多而不公開自己的身份?」
法國计算机电子技术自动化工程师学院的一隊研究團隊在2011年10月宣稱找到危害Tor網絡安全性的方法——解密經過它的通訊[105][106]。這項技術的前設包括一張關於Tor節點的圖表、控制三分之一的Tor節點、獲取用於加密的密钥以及演算法的随机种子。他們宣稱他們能夠使用已知的密钥及随机种子,解密三層加密中的兩層,然後利用基於統計的攻擊來解密最後一層。最後為了將流量重定向到他們控制的節點而使用阻斷服務攻擊。Tor對此在官方博客上進行了回應,稱該些有關Tor網絡的安全性受到损害的传闻過分誇大[107]。
Remove ads
流量分析攻擊可分為兩種:被動式及主動式。採用了被動式流量分析攻擊的攻擊者先會從一端網絡找出一段特定流量的特徵,然後在另一端網絡尋找該些特徵。採用了主動式流量分析攻擊的攻擊者會在一端網絡按特定模式修改封包的定時(timings),然後在另一端尋找符合該些模式的封包。攻擊者可以籍此把兩端的流量聯繫起來,使其去匿名化[108]。即使在封包上加入定時雜訊也好,也有攻擊手段能夠抗衡它[108]。
剑桥大学的史蒂文·默多克和喬治·達內茲(George Danezis)在2005年的IEEE流量分析研讨会上發表了一篇論文,其內容提及到一種技術,其能使只知道一部分網絡的攻擊者推斷出哪些中繼是用於传递匿名数据流[109]。該些技術會大大減低Tor的匿名性。他們的研究也表明,即使数据流不相關,也可以把它們跟同一個來源聯繫起來。但這種攻擊無法找出原始用戶的身份[109]。默多克自2006年起跟Tor合作,並受到其資助。
Remove ads
網站營運者有能力封鎖來自Tor出口節點的流量,或減少Tor用戶所能使用的功能。比如除非另有豁免,否則使用了Tor的用戶不能編輯維基百科,因為維基百科主动屏蔽了来自Tor节点的编辑[19]。英國廣播公司的iPlayer封鎖了Tor所有的入口和出口節點,但沒有封鎖中繼和網橋[110]。
2011年3月,法国国家信息与自动化研究所和其他外界研究者記錄了一種攻擊手段,其能夠找出利用Tor網絡來進行BT上下載的用戶的IP地址。壞蘋果攻擊利用了Tor本身的設計,暴露同時使用兩者的Tor用戶的IP地址。其中一種攻擊手段取決於對出口節點的控制,或被劫持的BT伺服器的回應。另一種則基於對分散式雜湊表的追蹤統計[111]。研究指出[111]:
壞蘋果攻擊研究中作者所得出的結果是以針對Tor網絡發起的外圍攻擊為依據的。該攻擊以6個出口節點為目標,時長23日,並找出了10,000名活躍Tor用戶的IP地址。這一研究的結果具有重大意義,因為它是首項存有正式記錄,並針對Tor網絡上的P2P文件分享應用程序的攻擊[111]。BitTorrent可能佔了高達40%的Tor整體流量[112]。此外壞蘋果攻擊不僅對BitTorrent有效,且還能有效攻擊任何運行在Tor之上的不安全應用程序[111]。
來自法国国家信息与自动化研究所的研究者表示,BitTorrent中的Tor掩饰技術可以被控制Tor出口節點的攻擊者繞過。該研究以6個出口節點為監控目標,時長23日。研究者在當中使用了三種攻击手段[113]:
- 檢查BitTorrent的控制信息
- BT伺服器的宣告和擴展協議握手可能包含客戶的IP地址。對收集到的數據進行分析後,結果顯示33-35%的信息包含客戶地址[113]:3。
- 劫持BT伺服器的回應
- 由於BT伺服器和用戶群之間的通信缺乏加密或認證,所以傳統的中间人攻击能使攻擊者確定用戶群的IP地址,以至驗證內容的分佈。當Tor僅用於跟BT伺服器通訊時,此類攻擊就能生效[113]:4。
- 利用分散式雜湊表
- 此攻擊利用了分散式雜湊表不可能透過Tor連接的事實,因此即使目標使用了Tor連接到其他用戶群,攻擊者也可以在分散式雜湊表中查找目標的IP地址[113]:4–5。
透過這種技術,研究者能夠識別用戶發起的其他數據流、找出該用戶的IP地址[113]。
詹森等人描述了針對Tor節點軟件的分散式阻斷服務攻擊(DDoS),以及針對該攻擊或其變體的防禦方式。攻擊者會使用串連在一起的伺服器和客戶端發動攻擊,不斷地往出口節點的任务队列填入要求,直到節點的記憶體不足以應付為止。此舉能使受到攻擊的出口節點不能為其他(真正的)客戶提供服務。攻擊者可以透過這種方式來攻擊大部分出口節點,使網絡降速,及增加用戶使用由攻擊者控制的節點的機會[114]。
2014年4月,OpenSSL的心脏出血漏洞(Heartbleed)使Tor網絡受到了幾天的影响,期間Tor網絡的中繼要生成新的私有密鑰。Tor專案建議中繼和隱藏服務的營運者在修補OpenSSL後,應復原並生成新密鑰,但同時指出,兩套Tor中繼密鑰及多次跳轉的設計已最大限度地減少了單一中繼遭竊取所造成的影響[115]。為了防止用戶受到此漏洞的影響,隨後發現存在漏洞的586個中繼被強制下線[116][117][118][119]。
2014年7月30日,Tor项目發佈了一項有關「中繼早期流量確認攻擊」的安全問題警告,於當中指出他們發現一組嘗試使洋蔥服務的用戶和营運者去匿名化的中繼[120]。用以攻擊的洋蔥服務目錄節點會修改單元的表头,使它們分別標記為「中繼」或「中繼早期」單元,用以編碼額外的資訊,然後把其傳送給用戶/营運者。若用戶/营運者的入口中繼也為攻擊者所控制,那麼便有可能能夠獲取用戶/营運者的IP地址及所請求的洋蔥服務資訊。由於該些中繼是特意設計成「適合充當洋蔥服務目錄」或「適合充當入口中繼」的,所以洋蔥服務的用戶和洋蔥服務皆有機會利用該些目錄節點或入口節點[121]。
該些節點在2014年1月30日加入網絡,同年7月4日Tor项目把它們從網絡中移除[121]。儘管相關攻擊於何時開始尚是不明,但Tor官方表示,2-7月期間洋蔥服務用戶和营運者的IP地址可能已經洩漏[122]。
除了從網絡中移除用以攻擊的中繼以外,Tor項目官方還提到了以下減低影響的措施:
- 修複中繼的軟件,使其不會把表头標記為「中繼早期」的非預期單元轉送出去[123]。
- 計劃升級用戶的網絡代理軟件,令其能夠检验有否從中繼中收到「中繼早期」單元(正常情況下不會出現這種情況)[124],以及把「三個中繼都是隨機選擇」的设置換成只固定連接到某一個入口節點,用以減低連接至受到攻擊的中繼的可能性[125]。
- 建议洋蔥服務的营運者考慮把伺服器搬至另一處地方[126]。
- 提醒用戶和营運者若攻擊者控制或監聽了Tor線路的兩端,那麼流量就無可避免地可被攻擊者去匿名化[127]。
2014年11月,由全球司法部門開展的「去匿名化行動」導致了來自不同地區的17人被捕,故此後來有推測指Tor的漏洞已被人利用。欧洲刑警组织的代表不願透露鎖定目標時所用的方法,稱:「我們想把一些事保持在只有我們知道的狀態。我們所使用的方法不能夠透露給全世界知道,因為我們會一而再,再而三地使用該套方法[37]。」英國廣播公司引述評論指這是「技術性破解」[38],並稱該套方法能讓人知道伺服器的地理位置,指最初公佈的渗入網站數量引來了漏洞已被人利用的猜測。Tor的代表安德魯·勒曼(Andrew Lewman)認為Tor已被破解的可能性頗低,並認為警方所使用的目標鎖定方法較有可能是「傳統的那一套」[128][129]。
「去匿名化行動」的法庭檔案[41]於次年引起人們對研究倫理[39]及《美國憲法第四修正案》所保證的「不能受到無理搜查」的權利之關注[40]。此外文件和專家的意見也可能顯示網絡攻擊與執法行動之間的關係,該些證據包括:
- 對絲路2.0的管理員發出之搜查令表明,2014年1月-7月期間,美國聯邦調查局收到從「大學研究所」發出的資訊,其內容有關「像RS2般的隱藏服務和TOR的IP地址」,這使得「最少另外17個建構於TOR之上的黑市網站」和「最少78個存取供应商的.onion地址的用戶之IP地址」遭到識別。其中之一便是上述管理員的IP地址[41]。
- 加利福尼亞大學柏克萊分校國際電腦科學研究所的一位資深研究員在接受訪問時說,跟美國聯邦調查局合作的「幾乎可以肯定」是卡内基·梅隆大学[41],這與Tor項目及普林斯顿大学電腦科學系教授愛德華·費爾滕的估計一致;後者更把估計範圍收窄至該大學的電腦網路危機處理暨協調中心[39][130]。
費爾滕在7月31日發表的分析中,除了指出這種做法所引起的倫理問題外,還質疑該做法是否符合協調中心的原本目的——「防止攻擊、通知相關人員、把漏洞對大眾公佈」,因為他們是在「沒有通知相關人員的情況下實施大規模長期性攻擊,且沒有就發現漏洞一事向大眾公佈」[130]。
一位來自巴塞罗那的資訊安全研究者在2016年3月展示了一項實驗室技術,該項技術能透過JavaScript在1毫秒的層面上進行時間測量[131]。它可以識別用戶的獨特鼠標移動方式,並使其跟先後利用Tor瀏覽器和常規瀏覽器訪問了同一個「指紋識別」網站的用戶劃上關係[132]。是項技術利用了「透過JavaScript進行時間測量」這一項在Tor專案上無指定验证時間的概念[133]。
一項研究指出「匿名方案僅能降低選擇監控目標的有效度」,它們一般「不會隱藏對於目標選擇而言是必要的资料大小信息」[134]。
实现
Tor主要由C语言編寫而成,緊隨其後的有Python、JavaScript等程式語言。截至2021年4月,它共有505,034行源代码[4]。
2020 年开始,tor官方就开始使用 Rust 编程语言开发 Tor 协议的新实现Arti,2022年9月2日发布Arti 1.0.0,生产环境可用。[135]
Tor瀏覽器,前身为Tor Browser Bundle(TBB)[140],是Tor项目的主要产品[141]。由Mozilla Firefox ESR浏览器修改而成,並由Tor Project開發人員做了許多安全性和隱私保護的調校,預載TorButton、TorLauncher、NoScript和HTTPS Everywhere等擴充套件與Tor代理[142][143]。其为開源軟體、自由軟體、绿色软件,可在多種作業系統上運行,包括Windows、Mac OS X、Linux、Unix、Android[144][145]。
Tor瀏覽器在后台启动Tor进程并透过其连接网络。一旦程序断开連接,Tor瀏覽器便会自动删除隐私敏感数据,如cookie和浏览历史记录[143]。
Tor瀏覽器本身提供SOCKS代理服務,一些應用程式已可藉此使用Tor網路。若結合代理伺服器軟體 Privoxy,可以讓所有走HTTP/HTTPS協定的連網應用程式、以及所有能夠設定HTTP/HTTPS代理的應用程式都透過Tor網路來上網。[146]
斯圖爾特·德雷奇(Stuart Dredge)在2013年11月,亦即一系列的全球監控被揭露之後,於《衛報》上建議人們使用Tor瀏覽器,以避免被竊聽及保障自身私隱[147]。
2011年,荷蘭當局在調查網上流通的兒童色情作品時,發現Tor洋蔥服務網站「Pedoboard」的管理員的IP地址,並把這項資訊轉交給美國聯邦調查局跟進。聯邦調查局藉此鎖定其擁有者為亞倫·麥格拉思(Aaron McGrath)。在經過1年的監視後,聯邦調查局展開名為「Operation Torpedo」的行動,拘捕麥格拉思,並在由麥格拉思管理的3個洋蔥服務網站上安裝惡意軟件,獲取造訪用戶的資訊[148]。 當中利用了Firefox/Tor瀏覽器經已修補的漏洞,故此以不安裝更新,並安裝了Flash的用戶為目標。該漏洞能讓聯邦調查局直接把用戶的IP地址传输回自身的伺服器[149][150][151][152],這個漏洞導致至少25名美國用戶以及眾多外國用戶的IP地址曝光[153]。麥格拉思於2014年初被判處20年徒刑,隨後有18名用戶陸續被判刑,當中包括一名美国卫生及公共服务部前網絡安全代理總監[154][155]。
2013年8月,有人[谁?]發現很多舊版本的Tor Browser Bundle所捆綁的Firefox皆會受到一種JavaScript攻擊的影響[14]。攻擊者可以藉此提取用戶的IP和MAC位址、以及Windows電腦名稱[156][157][158]。新聞將此跟提供Tor匿名網頁寄存服務的Freedom Hosting的负责人埃里克·埃恩·马克斯(Eric Eoin Marques)被捕劃上聯繫,他被指控分發、密謀分發、宣傳,以及協助和教唆他人宣傳兒童色情物品。逮捕令稱马克斯為「這個星球上最大的兒童色情物品推動者」[159][160]。聯邦調查局于2013年9月12日在都柏林提交的法庭文件中承認了這起JavaScript攻擊[161];爱德华·斯诺登洩露的培訓演示文稿中透露了更多有關該漏洞的細節,並揭示了該漏洞的代號——「EgotisticalGiraffe」[162]。而Mozilla已在2012年11月釋出的Firefox 17版修補了該漏洞[163]。
2022年,卡巴斯基實驗室研究人員發現,在 YouTube 上用中文搜尋「Tor 瀏覽器」時,排名靠前的中文影片下提供的其中一個 URL 實際上指向偽裝成 Tor 瀏覽器的惡意軟體。一旦安裝,它會保存正版 Tor 預設忘記的瀏覽歷史和表單數據,並會在裝置 IP 位址在中國時下載惡意元件。卡巴斯基實驗室的研究人員指出,該惡意軟體並非竊取資料出售牟利,而是為了識別使用者。[164]
2015年10月29日,Tor專案公司釋出了一款基於Instantbird的即時通訊程序的測試版——Tor Messenger,預設情況下透過Tor連接及不會留下通訊记录[165]。它跟Pidgin和Adium一樣,能夠支援多種通訊協定;但是,它卻不依賴libpurple函數庫來實現之,反之用記憶體安全性較佳的語言JavaScript來實現所有通訊協定的支援[166]。
Tor Messenger於2018年4月因數據必然洩露至社交網站、人手不足及Instantbird停止維護等問題而結束[167]。
Brave瀏覽器(電腦版)[168]、BitTorrent客戶端Vuze[169]、匿名訊息系統比特信[170]及即時通訊軟件TorChat[171]皆支持Tor。
保衛者計劃是一項為了提高智能手機的通訊安全性,而開發相關韌體和應用的活動[172]。由這個計劃開發的Tor相關產品包括Tor實施工具Orbot[173]、私隱增強型移動瀏覽器Orweb(官方不再提供下載)[174]、Orfox(Tor瀏覽器的移動版本)[175]、Firefox附加元件ProxyMob (官方不再提供下載)[176]。
一些側重安全的GNU/Linux發行版會廣泛使用Tor,包括Linux From Scratch、Incognito、Liberté Linux、Qubes OS、Subgraph、Tails、Tor-ramdisk、Whonix[177]。
影響及反應
Tor因能為擔憂監控和被捕的政治活動家、規避網絡審查的網民、受到纏擾者暴力對待或威脅的人提供匿名隱私保護,而受到讚賞[179][180]。美国国家安全局稱Tor為「具有高安全性及低延遲性特點的互聯網匿名系統之王」[13];《彭博商业周刊》形容Tor為「規避各國情報機構所嘗試進行的線上監控的最有效方案」[181]。此外其他媒體對Tor有著以下的評價:「一款極為成熟的私隱保障工具」[182]、「容易上手」[183]、「即使是世界上最頂尖的電子間諜也對如何破解Tor束手無策」[72]。
Tor的支持者稱它能透過保障用戶的匿名性和隱私性的方式,來促進言論自由;即使是在互聯網受到審查的國家也是如此。還有評價指「Tor就像基础设施的一部分,政府自然會為他們想要使用的基礎設施付費」[184]。
Tor最初是由美國情報機構開發的,此後維護Tor所需的一大部分費用也是由美國聯邦政府所捐助,因此有批評指:「它更像是一個间谍專案,欠缺問責性及透明度,只是一款因文化而生的工具」[20]。截至2012年,Tor的200萬美元總年度預算當中有約8成來自美國政府,當中大多數捐款來自美國國務院、美国国际媒体署、國家科學基金會[185],用以「幫助專制國家的民主支持者」[15]。其他有參與捐款的公共機構包括美國海軍研究實驗室、國防高等研究計劃署、瑞典政府[35][186]。有意見指政府重視Tor對推動言論自由的承諾,並會暗中利用暗網收集情報[187]。Tor也有收到部分非政府组织和私人機構的捐款,包括人权观察、Reddit、Google[188]。丁萊迪稱美国国防部的捐款「與其說是采购合同,倒不說其更像研究補助金」。Tor的前任執行董事德魯·勒曼稱,雖然它接受了美國聯邦政府的捐款,但「我們沒有跟美国国家安全局合作,沒有跟其一起找出用戶的身份」[189]。
批評者指責Tor不像其所標榜的那樣安全[190],並以絲路、Freedom Hosting等例子為佐證[20]。《衛報》在愛德華·斯諾登洩露一糸列分析性文件後,報導指美国国家安全局曾不斷地嘗試破解Tor,但仍未能破壞其核心安全性,不過在攻擊Tor用戶的電腦方面取得了部分成功[13]。《衛報》也把美国国家安全局的2012年幻燈片刊出,其內容指:「我們一直以來都無法使所有Tor用戶去匿名化」,即使「加上了人手分析,我們也就只能使極少一部分的Tor用戶去匿名化」[191]。被捕的Tor用戶多因為人為錯誤而被捕[192]。《明鏡周刊》在2014年末的報告中使用了經由斯諾登洩露出去的資料,指截至2012年為止,美国国家安全局認為Tor本身就是其使命的「主要威脅」,並把與「像OTR、Cspace、ZRTP、RedPhone、Tails、TrueCrypt般的隱私工具」併用的情況稱為「灾难性的」,令「我們幾乎完全喪失/缺乏對目標通信的洞察力」[193][194]。
2011年,Tor贏得自由软件基金会的2010年度社會福利自由軟件大獎。該基金會指:「Tor已使全世界大約3,600萬人能夠在互聯網上實現存取和言論自由,同時又能夠保障他們的私隱性和匿名性。它的網絡已在伊朗和埃及的持不同政見者運動中發揮關鍵作用[195]。」
在2012年,《外交政策》把丁格倫、馬修森、西維森並列在FT 100全球知識分子名單之上,因為他們為「告密者提供一個更安全的網絡環境」[196]。
電腦安全研究員雅各·布阿貝爾鮑姆在2013年稱Tor為「軟件生態系統的一部分,其能幫助人們收回及重新獲得他們的自主權。它有助於使人們賦權、助人自助。它是開放的,並得到了各個大型社區的支持。」[197]
爱德华·斯诺登於2013年6月利用Tor把稜鏡計畫的資料傳送給《华盛顿邮报》和《衛報》[198]。
在2014年,俄羅斯政府簽訂了一份值111,000美元的合同,為的是「研究在Tor匿名網絡中獲取用戶及其設備的技術性信息的可能性[199][200]。」
2014年10月,Tor項目從外部公關公司聘請了公關,以改善其公眾形象(特別是想改善暗网方面的負面印象),並就Tor的應用技術向記者提供教育[201]。
对Tor的审查
由于Tor可绕过政府对网站的审查,部分国家及地区封锁了Tor。作为应对措施,Tor开发了多种可插拔传输(网桥指在 Tor 公共目录里列出的 Tor 中继节点。)以应对审查。obfs4网桥将Tor流量混淆至不含流量特征,且其服务器不位于Tor的目录服务器中,因而难以全部封锁。meek通过域前置技术将Tor流量伪装成访问如微软等云计算服务的流量,但速度通常较慢。Snowflake则通过WebRTC技术搭建的闪现代理(Flash proxy)绕过审查。WebTunnel能将Tor连接伪装成HTTPS连接。
由于Tor可访问在中国大陆被封锁的网站,且其节点皆为公开可见,防火长城封锁了几乎全部Tor节点导致其在中国大陆无法通过正常方式连接。[202]防火长城亦会通过主动探测的方式检测并封锁Tor网桥。[203]使用Tor的网桥(如meek-azure、Snowflake、WebTunnel以及未公开的私人obfs4网桥)可以在中国大陆内连接至Tor网络。[204][205]
2021年12月,俄罗斯监管机构联邦通信、信息技术和大众传媒监督局(Roskomnadzor)颁布法庭命令,要求各ISP封锁Tor节点和网站。Tor随后通过增加网桥的方式绕过封锁措施。数据显示,自该年12月以来,俄罗斯境内直接连接到Tor的用户数大幅下降,而通过obfs4、Snowflake网桥等连接的用户数则有大幅增加。[206]2022年俄羅斯入侵烏克蘭后,被俄罗斯占领的地区,如赫尔松市,其网络流量被俄罗斯接管,亦受到此封锁的影响。[207]
安全性
儘管Tor以修補漏洞及增進安全性的方式來回應上述弱點,但是人為錯誤可引致用戶身份遭到識別。Tor專案在其官網上提供了如何正確地使用Tor的指引。不正確地使用Tor是不能夠保障用戶的身份不遭到識別。譬如Tor提醒其用戶只有經Tor瀏覽器路由的流量受到保護,其他流量一概不受保護。Tor還提醒用戶應使用HTTPS版本的網站、不要在Tor之上進行BT下載、不要再自行加插拓展和插件、不要在保持連線時打開經由Tor下載的文件、使用安全的網橋[208]。此外Tor亦警告用戶不要在網上披露真實名稱等個人訊息,同時應在網絡上保持匿名[209]。
儘管情報機構在2013年的分析聲稱,他們能在6個月內把8成Tor用戶去匿名化[210],但這終究沒有得到實現。事實上截至2016年9月,FBI仍無法找到入侵希拉里·克林顿電子郵件伺服器的Tor用戶的真實身份[211]。
從手段來看,執法機構對Tor用戶進行去匿名化的最佳策略仍是自行運行一個節點和依賴於Tor用戶的人為錯誤,比如經Tor瀏覽器下載視頻後,再在保持連線的情況下,以未受保護的硬盤開啓之[212]。
参见
- XeroBank Browser(即原Torpark)
- Vidalia——Tor的图形配置软件,曾有Tor+Privoxy+Vidalia整装套件,现在改为Tor+Polipo+Vidalia。
- Privoxy——本是一个HTTP代理服务器,但经常作为Tor客户端的一部分,作用相当于socks4、socks5到socks4a的桥梁,因为Tor客户端使用socks4a可以得到更高的安全性。
- I2P:I2P网络是由I2P路由器以大蒜路由方式组成的表层网络,建立于其上的应用程序可以安全匿名的相互通信。
- JAP——一个Java写的匿名代理服务器
- Softether-日本程式設計師登大遊就讀筑波大學時写的虚拟以太网软件,於2003年公開1.0版,因免费简洁而在Internet上曾广泛传播。
- Shadowsocks
- 代理服务器
- 突破網路審查
- 中華人民共和國網絡審查
- 网络安全
- 名偵探柯南:零的執行人——劇情將Tor改編為Nor,嫌犯用來IOT恐怖攻擊。
注释
参考文献
延伸阅读
外部链接
Wikiwand - on
Seamless Wikipedia browsing. On steroids.
Remove ads