Serviciile Onion sunt servicii care pot fi accesate doar prin Tor. Rularea unui serviciu Onion oferă utilizatorilor dumneavoastră toată securitatea HTTPS cu beneficiile suplimentare de confidențialitate ale Tor Browser.

De ce serviciile Onion?

Serviciile Onion oferă utilizatorilor lor diverse avantaje de confidențialitate și securitate.

Ascunderea locației

Adresa IP a unui serviciu Onion este protejată. Serviciile Onion sunt o rețea suprapusă pe partea de sus a TCP/IP, astfel încât, într-un anumit sens, adresele IP nu sunt nici măcar semnificative pentru serviciile Onion: Nici măcar nu sunt utilizate în protocol.

Autentificare end-to-end

Când un utilizator vizitează un sait printr-un serviciu Onion, furnizorii știu că cererea provine doar de la acel serviciu Onion. Nu este posibilă nici o răspundere, și, în general, nu este cazul. De obicei, accesarea unui site web nu înseamnă că un mijlocitor nu s-a reorientat către o altă locație (de exemplu, atacurile DNS).

Criptare end-to-end

Traficul serviciului Onion este criptat de la client la gazda Onion. Aceasta este ca și cum ați folosi un SSL/HTTPS puternic și gratuit.

punctarea NAT

Rețeaua dvs. este filtrată și nu puteți deschide porturi pe firewall? Acest lucru s-ar putea întâmpla dacă vă aflați într-un campus universitar, un birou, un aeroport sau aproape oriunde. Serviciile Onion nu au nevoie de porturi deschise, deoarece sunt punctate prin NAT. Ele stabilesc doar conexiunile de ieșire.

Protocolul Serviciului Onion: Prezentare generală

Acum, apare întrebarea ce fel de protocol este necesar pentru a atinge toate aceste proprietăți? De obicei, oamenii se conectează la o adresă IP, dar cum vă puteți conecta la ceva care nu are o adresă IP?

În special, adresa unui serviciu Onion arată astfel: vww6ybal4bd7szmgncyruucpgfkqahzddi37ktceo3ah7ngmcopnpyyd.onion

Acest lucru pare ciudat și aleatoriu, deoarece este cheia publică de identitate a serviciului Onion. Acesta este unul dintre motivele pentru care putem realiza proprietățile de securitate de mai sus.

Protocolul Onion Service utilizează rețeaua Tor astfel încât clientul să se poată prezenta serviciului și apoi să stabilească un punct de întâlnire cu serviciul prin rețeaua Tor. Iată o detaliere a modului în care se întâmplă acest lucru:

Actul 1: Unde Serviciul Onion își stabilește punctele de introducere

Să ne imaginăm că ziarul local decide să înființeze un serviciu Onion (folosind SecureDrop) pentru a primi sfaturi anonime. Ca primul pas în protocol, Onion Service va contacta o grămadă de relee Tor și le va cere să acționeze ca punctele sale de introducere prin stabilirea unor circuite pe termen lung pentru ei. Aceste circuite sunt circuite anonime, astfel încât serverul nu dezvăluie locația serviciului la punctele de introducere.

The Onion Service will hide and protect itself behind the Tor network by only allowing access through three introduction points that it connects to through a three-hop Tor circuit.

Act 2: Unde Serviciul Onion își publică descriptorii

Acum, că sunt stabilite punctele de introducere, trebuie să creăm o modalitate pentru clienți de a le putea găsi.

Din acest motiv, Onion Service asamblează un descriptor serviciului Onion, care conține o listă a punctelor sale de introducere (și "chei de autentificare") și semnează acest descriptor cu cheia privată de identitate a serviciului Onion. Cheia privată de identitate folosită aici este partea privată a cheii publice care este codificată în adresa Onion Service.

Serviciul Onion încarcă acel descriptor semnat într-un tabel hash distribuit, care face parte din rețeaua Tor, astfel încât clienții să îl poată obține și ei. Acesta utilizează un circuit Tor anonimizat pentru a face această încărcare, astfel încât să nu dezvăluie locația sa.

Actul 3: Unde un client dorește să viziteze serviciul Onion

Spuneți că doriți să trimiteți anonim unele date de fraudă fiscală la ziarul local prin intermediul SecureDrop. Găsiți adresa onion pentru ziarul SecureDrop de pe un site public sau un prieten.

Actul 4: Unde clientul se prezintă la serviciul Onion

Toți pașii anteriori au fost configurați pentru serviciul Onion, astfel încât să fie accesibil de către clienți. Acum, să trecem rapid până la punctul în care un client real vrea să viziteze serviciul.

În acest caz, clientul are adresa onion a SecureDrop și dorește să o viziteze, astfel încât să se conecteze la serviciu cu Tor Browser. Acum, următorul lucru care trebuie să se întâmple este ca clientul să meargă la tabelul hash distribuit de la Pasul 2 și să ceară descriptorul semnat al serviciului Onion SecureDrop.

Actul 5: Unde clientul verifică semnătura adresei onion

Atunci când clientul primește descriptorul semnat, acesta verifică semnătura descriptorului folosind cheia publică care este codificată în adresa de ceapă. Aceasta oferă proprietatea de securitate end-to-end authentication, deoarece acum suntem siguri că acest descriptor ar putea fi produs doar de acel serviciu Onion și de nimeni altcineva.

Și în interiorul descriptorului, există punctele de introducere care permit clientului să se prezinte la serviciul Onion SecureDrop.

Actul 6: În care clientul stabilește un punct de întâlnire

Înainte de a avea loc introducerea, clientul (în acest caz, tu) alege un releu Tor și stabilește un circuit la ea. Clientul îi cere releului să devină punctul lor de întâlnire și să îi dea un „secret unic”, care va fi folosit ca parte a procedurii de întâlnire.

Actul 7: Unde se va întâlni Serviciul Onion cu clientul

Punctul de introducere trece detaliile dumneavoastră (șir secret și adresa de întâlnire) pe la Serviciul Onion, care rulează mai multe procese de verificare pentru a decide dacă sunteți de încredere sau nu.

Actul 8: Unde punctul de întâlnire verifică secretul clientului

Serviciul Onion se conectează la punctul de întâlnire (printr-un circuit anonimizat) și îi trimite "secretul unic". Punctul de întâlnire face o verificare finală pentru a se potrivi șirurilor secrete de la dumneavoastră și de serviciu (acesta din urmă vine și de la dumneavoastră, dar a fost transmis prin serviciu).

Punctul de întâlnire transmite pur și simplu mesaje (criptate de la un capăt la celălalt) de la client la serviciu și invers.

Actul 9: În cazul în care Serviciul Onion se va întâlni cu clientul

În general, conexiunea completă dintre client și Onion Service constă din 6 relee: 3 dintre ele au fost alese de client, al treilea fiind punctul de întâlnire, iar celelalte 3 au fost alese de către Onion Service. Aceasta oferă location hiding la această conexiune.

În cele din urmă, folosind punctul de întâlnire, se formează un circuit Tor între tine și ziarul tău SecureDrop Onion Service.

Resurse suplimentare

Aceasta a fost doar o imagine de ansamblu la nivel înalt a protocolului serviciilor Tor Onion. Iată câteva resurse suplimentare dacă doriți să aflați mai multe:

• The Tor design paper describing the original design.
• The Tor v3 Onion Services protocol specification.
• Prezentări despre serviciile Onion: Understanding Tor Onion Services și cazurile lor de utilizare - HOPE XI 2016, DEF CON 25 - Roger Dingledine - Next Generation Tor Onion Servicii.