kepsen
Inlägg: 1
Blev medlem: 20 nov 2017, 00:17

Är detta ett möjligt tillvägagångssätt att knäcka Tor?

20 nov 2017, 00:21

Här kommer en lång text. Jag förutsätter att läsaren har grundläggande kunskaper om Tor.

Ponera att jag ansluter via Tor från mitt hemnätverk till malwarehacks.com och laddar upp NSA:s nyligen stulna arsenal av malware-verktyg. Malwarehacks.com tillämpar inte HTTPS-kryptering så exitnoden har möjlighet att läsa allt jag gör på webbplatsen i klartext. NSA vill nu få tag i mig. Ponera att NSA har några black-ops agenter redo att bege sig ut över hela världen för att hota/tortera – de är m.a.o. motiverade och villiga att göra vadsomhelst för att ta reda på vem jag är, samt för att undvika en internationell krissituation. Det första dessa blackops-agenter skulle göra är att besöka den som driftar exitnoden. Anta att alla noder i min anslutning sparar loggar på allting som händer via deras nod.

1) NSA går till exitnoden och ber om att få se loggarna. Driftaren av exitnoden tvingas att hjälpa till och de överlämnar loggar på alla anslutningar som gjordes vid tillfället för uppladdningen. NSA identifierar snabbt min anslutning utifrån dessa loggar. NSA får även reda på vilken middle-node som förde vidare mina requests.
1.a) Del-fråga: Är det möjligt för NSA att ta få tag i informationen ovan enbart genom att gå via exitnodens ISP? Rent logiskt borde svaret vara ja, eftersom ISP:er brukar spara loggar i en viss tid + att de kan se vad exitnoden anslöt till (även om https-kryptering förekommer).

2) NSA går till middle-noden och ber om att få se loggar. Middle-noden ger loggar till NSA. Låt oss anta att antalet anslutningar till exitnoden i 1) var 1000, och att det fanns 100 gemensamma anslutningar till samma middle-node som jag hade vid tillfället för uppladdningen. Hos middle-noden är allting krypterat, så det är svårare att ta reda på vad fan som sker. Bland 100 olika användare vid en viss tidpunkt är det mycket mödosamt att bryta krypteringen hos alla för att ta reda på vilken av dem var just min request till malwarehacks.com. Men om middle-noden är villig att hjälpa NSA och har sparat loggar, borde inte de kunna använda middle-nodens krypteringsnycklar för att dekryptera ”krypteringshölje” #2 på alla 100 anslutningar och kolla vilken som matchar den som är min och som fördes vidare till exit-noden? Om detta inte är möjligt, skulle väl NSA kunna utföra någon slags packet-analysis för att kolla vilka som (med relativt hög sannolikhet) tillhör just min anslutning, genom att matcha datan från packet-analysen till de erhållna packets i exitnoden.
2.a) Del-fråga: Är det möjligt för NSA att få tag i informationen ovan enbart genom att gå via middlenodens ISP? Rent logiskt borde svaret vara ja, för att ISP:er brukar spara loggar i en viss tid + att de kan se alla krypterade anslutningar som går genom middle-noden. Men om NSA skulle gå genom middle-nodens ISP skulle de vara tvungna att utföra s.k. packet-analysis eftersom middle-noden då inte skulle kunna ge ut krypteringsnycklarna till NSA.

3) NSA går till entrynoden och får ut loggar. Låt oss anta att antalet samma anslutningar här som min var 10 vid tillfället för uppladdningen (dvs totalt 10 personer hade EXAKT samma tor-route som jag). Om NSA går genom ISP:en → packet-analysis. Om NSA går genom driftaren av entrynoden → krypteringsnycklar, dekryptera alla och kolla vilken som korresponderar med datan som skickades vidare till middlenoden.
3.a) Del-fråga: Är det möjligt för NSA att få tag i informationen ovan enbart genom att gå via entrynodens ISP? (Samma fråga som förut)

Är detta en korrekt uppfattning om hur NSA kan gå från exit-nod till ursprung för att avidentifiera tor-användare?

Användarvisningsbild
Chloë
Administratör
Inlägg: 2505
Blev medlem: 08 okt 2014, 02:28
Områden: Webbsäkerhet
Kontakt: Twitter

Re: Är detta ett möjligt tillvägagångssätt att knäcka Tor?

20 nov 2017, 11:44

1.a) Del-fråga: Är det möjligt för NSA att ta få tag i informationen ovan enbart genom att gå via exitnodens ISP? Rent logiskt borde svaret vara ja, eftersom ISP:er brukar spara loggar i en viss tid + att de kan se vad exitnoden anslöt till (även om https-kryptering förekommer).
Egentligen beror det helt på hur internetleverantörens loggpolicyer ser ut, och i Sverige loggar inte ISP'er vad för adresser deras IP kontaktar, utan enbart vilka enheter i deras nät som fått vilken IP tillägnad. Så svaret kan vara ja på din fråga, men lär vara nej i stor majoritet av fallen.
2) NSA går till middle-noden och ber om att få se loggar. Middle-noden ger loggar till NSA.
Jag känner av att du mer misstolkar vad loggar är och innehåller. Precis som du skriver så är allting krypterat i middle relayen och att spara alla denna data är mycket mödosamt. Den typ av loggar som dock kan existera i detta fall är vilka anslutningar IP-adressen gjort, och då kommer dessa peka på olika exit nodes samt på sin höjd hur stor denna datan var, men eftersom Tor skickar allting i chunks så får man bara ett ungefärligt svar på hur stor data som skickats.
2.a) Del-fråga: Är det möjligt för NSA att få tag i informationen ovan enbart genom att gå via middlenodens ISP? Rent logiskt borde svaret vara ja, för att ISP:er brukar spara loggar i en viss tid + att de kan se alla krypterade anslutningar som går genom middle-noden. Men om NSA skulle gå genom middle-nodens ISP skulle de vara tvungna att utföra s.k. packet-analysis eftersom middle-noden då inte skulle kunna ge ut krypteringsnycklarna till NSA.
DPI utförs på kompletta dataströmmar och inte i loggar så för att NSA ska kunna mer bestämt kunna avgöra om en klient har skickat den data du talar om så måste dataströmmar blivit loggade, den risken är extremt minimal, speciellt Tor-trafik då den alltid är krypterad.

Ingen ISP i världen sparar kompletta dataströmmar.


---

Besvarar gärna dina frågor men föreslår att de ställs mer konkreta.
keybase.io/dotchloe | chloe.re | chloe.website

Användarvisningsbild
westminister
Respekterad Medlem
Inlägg: 129
Blev medlem: 16 apr 2016, 13:47

Re: Är detta ett möjligt tillvägagångssätt att knäcka Tor?

20 nov 2017, 20:18

Om du vill har du möjlighet att ställa dessa frågor till Tor-utvecklaren Linus Nordberg i denna tråd: viewtopic.php?f=40&p=16909. :)
keybase.io/westminister | westminister[at]swehack.org