Tor是實現匿名通信的自由軟件,由美國非盈利組織The Tor Project, Inc開發與維護。其名源於「The Onion Router」(洋蔥路由)的英語縮寫[7][8]。用戶可透過Tor接達由全球志願者免費提供,包含7500多個中繼的覆蓋網絡[9],從而達至隱藏用戶真實地址、避免網絡監控及流量分析的目的。Tor用戶的互聯網活動(包括瀏覽在線網站、帖子以及即時消息等通訊形式)相對較難追蹤[10]。Tor的設計原意在於保障用戶的個人隱私,以及不受監控地進行秘密通訊的自由和能力。

Quick Facts 開發者, 首次發布 ...
Tor
Tor項目標誌
開發者Tor項目公司英語The Tor Project, Inc
首次發布2002年9月20日 (2002-09-20)[1]
當前版本
  • 0.4.8.13(2024年10月24日;穩定版本)[2]
編輯維基數據鏈接
源代碼庫 編輯維基數據鏈接
編程語言C[3]PythonRust[4]
操作系統
文件大小50–55 MB
類型洋蔥路由匿名
許可協議BSD許可證[5]
網站www.torproject.org
2gzyxa5ihm7nsggfxnu52rck
2vv4rvmdlkiu3zzui5du4xyclen53wid.onion
[6]Tor network (如何訪問)
Close
一段簡要介紹Tor網絡的官方動畫

Tor通過一種叫做路徑選擇算法的方式自動在網絡中選擇3個Tor節點,這三個節點分別叫做入口節點(Guard relay)、中間節點(Middle relay)和出口節點(Exit relay)。在網絡連接的應用層,數據以一種叫做洋蔥路由的方式進行傳輸。數據首先在用戶端連續加密三層,而三個中繼各自解密一層,這樣它們就能知道接下來把數據傳送給誰。在這種情況下,數據就像剝洋蔥一樣被一層一層地解密,所以被稱為「洋蔥路由」。最後的出口節點會解密最內層的加密數據並得到真實的數據內容,並把它傳送給目標地址。出口節點雖然知道真正的數據內容,但是它只知道上一個中繼節點的地址,不知道數據最初的發送者是誰,從而保證了數據發送者的安全。[11]相對應地,入口節點僅知曉用戶的IP地址而無法得知其訪問的網站,而中間節點既無法得知IP地址也無法得知用戶所訪問的內容。

攻擊者可能會嘗試透過某些手段來使Tor用戶去匿名化,就是獲知哪個Tor用戶訪問了哪一網站,比如利用Tor用戶電腦上的軟件漏洞[12]。美國國家安全局擁有針對Tor安裝包中所綑綁的舊版本Firefox漏洞的技術(代號「EgotisticalGiraffe」)[13],並曾利用XKeyscore系統來密切監控Tor用戶[14]。不少學者亦就如何破解Tor網絡進行過學術研究[15][16],此一行為受到Tor項目公司所肯定[17]

Tor不會阻止在線網站判斷用戶是否通過Tor訪問該網站。儘管它保護用戶的隱私,但不會掩飾用戶正在使用Tor這一事實。有些網站會對使用Tor的用戶進行限制。例如,維基百科為防止破壞而阻止來自Tor的編輯。[18]

開發及維護Tor的一大部分經費由美國聯邦政府所捐助[19],過去則以海軍研究辦公室及國防高等研究計劃署的名義捐助[20]

歷史

Thumb
Tor使用者分布圖

Tor的核心技術「洋蔥路由」,是在1990年代中期由美國海軍研究實驗室的員工,數學家保羅·西維森(Paul Syverson)和計算機科學家邁克·里德(G. Mike Reed)和大衛·戈爾德施拉格(David Goldschlag),為保護美國情報通信而開發的軟件。之後,洋蔥路由於1997年交由美國國防高等研究計劃署進行進一步開發[21][22][23][24][25][26]

Tor的測試版由西維森和計算機科學家羅根·丁格倫(Roger Dingledine)和尼克·馬修森(Nick Mathewson)開發[19] ,並將其命名為「洋蔥路由項目」(The Onion Routing project,簡稱TOR項目)[1][27]。這個測試版於2002年9月20日發布[1][27]。次年推出首個公開發行版本[28]。2004年8月13日,西維森、丁格倫和馬修森在第13屆USENIX安全研討會上以「Tor:第二代洋蔥路由器」為題進行演講[29]。2004年,美國海軍研究實驗室以自由軟件許可證發布了Tor代碼,電子前線基金會開始資助丁格倫和馬修森繼續開發[19]

2006年12月,丁格倫、馬修森等人成立了一個位於馬薩諸塞州的非營利組織——The Tor Project,負責維護Tor[30]。電子前線基金會擔任其早年的財政贊助商,Tor項目的早期贊助者還包括美國國際廣播局英語International Broadcasting Bureau新聞國際人權觀察劍橋大學谷歌荷蘭NLnet英語NLnet[31][32][33][34][35]

此後維護Tor所需的一大部分費用由美國聯邦政府所捐助[19]

2014年11月,由於全球司法部門開展了一項名為「去匿名化行動英語Operation Onymous」的反黑市行動,所以有推測指Tor的漏洞已被人利用[36]英國廣播公司引述評論指這是「技術性破解」[37],使得司法部門可以追蹤伺服器的物理位置。有關的法庭文件於次年引起人們對研究倫理[38]及《美國憲法第四修正案》所保證的「不能受到無理搜查」的權利之關注[39],這也可能與當時稍早時候發生且針對Tor的攻擊存有關係[40]

2015年12月,Tor專案公司宣佈聘用莎麗·斯蒂爾(Shari Steele),由她擔任新任執行董事[41]。莎麗在這以前領導過電子前線基金會15年之久,且在2004年使得電子前線基金會決定為Tor的早期維護提供資金。其目標之一為增加Tor的用戶友好度,使得更多人能夠匿名地瀏覽網頁[42]

2016年7月,Tor專案公司的董事會成員集體辭任,同時成立一個由馬特·布拉澤英語Matt Blaze辛迪·科恩英語Cindy Cohn加布里埃拉·科爾曼英語Gabriella Coleman、萊納斯·諾德伯格(Linus Nordberg)、梅根·普賴斯(Megan Price)及布魯斯·施奈爾組成的新董事會[43][44]

應用

More information 分類, 比例 ...
2015年1月基於網絡的洋蔥服務[45]
分類 比例
賭博
0.4
槍械
1.4
聊天
2.2
新類別
(尚未編入索引)
2.2
虐待
2.2
電子書
2.5
目錄
2.5
網誌
2.75
色情
2.75
託管
3.5
黑客
4.25
搜索
4.25
匿名
4.5
論壇
4.75
贗品
5.2
吹哨人
5.2
Wiki
5.2
電子郵件
5.7
比特幣
6.2
詐騙
9
市場英語Darknet market
9
毒品 
15.4
Close
More information 分類, % 總計 ...
2016年1月基於網絡的Tor洋蔥服務[46][47]
分類 % 總計 % 活躍
暴力
0.3
0.6
武器
0.8
1.5
非法社交
1.2
2.4
黑客
1.8
3.5
非法鏈接
2.3
4.3
非法色情
2.3
4.5
極端主義
2.7
5.1
其他非法內容
3.8
7.3
非法金融
6.3
12
非法藥物
8.1
15.5
不違法+未知
22.6
43.2
非法內容總計
29.7
56.8
不活躍
47.7
活躍
52.3
Close

使用了Tor的用戶可以匿名地瀏覽在線網站、聊天和發送即時信息。他們可把Tor應用於合法目的上,也可應用於非法目的上[48]。例如犯罪企業、黑客行動主義組織及執法機關會為了各種目的而使用Tor[49][50]。除此之外,美國政府的內部機構會為Tor提供贊助(美國國務院、國家科學基金會,以及美國廣播理事會皆有/曾為Tor提供贊助)並試圖破解它[12][51]

Tor不能夠使網絡活動完全匿名。其設計目的並不是使網絡跟蹤完全消去,而是減低網站透過數據及活動跟蹤用戶的可能性[52]

Tor也被用於進行非法活動,例子包括存取在當地受到審查的資訊、組織政治運動[53]、規避禁止人們發表批評國家首腦的言論的法律。

經濟學人》的一篇報導稱Tor跟比特幣絲路有關,並指Tor為「網絡上的陰暗角落」[54]。儘管美國國家安全局及英國政府通信總部已把Tor視為破解目標,但只取得少許成功[12]英國國家打擊犯罪調查局英語National Crime Agency的「確認行動」(Operation Notarise)為最為成功破解Tor的行動[55]。同時,英國政府通信總部利用了一款名為「Shadowcat」的工具來「透過Tor網絡,並使用安全外殼協定存取受到端對端加密的虛擬專用服務器[56][57]。它也可應用於匿名誹謗、洩露政府敏感資訊、上下載侵權作品、分發非法色情內容[58][59][60]、販賣受管制藥物[61]、武器及被盜的信用卡號碼[62]洗錢[63]、銀行詐騙[64]信用卡詐騙身份詐騙假幣兌換[65];以Tor為基礎架構的黑市網站有相當一部分會以比特幣作交易媒介[49]。最後它還可用於攻擊物聯網設備[66]

美國聯邦調查局在逮捕絲路的創辦人羅斯·烏布利希的過程中,承認Tor「存有合法用途」[67][68]CNET的報導指,Tor的匿名功能「受到像電子前線基金會般的民權組織的贊同,因為它能為告密者和人權工作者提供一個渠道,以跟記者溝通」[69]。電子前線基金會的監控自衛指南包含了如何使用Tor的描述,並指它符合保障私穩及匿名性的大原則[70]

電子前線基金會的伊娃·加爾佩林英語Eva Galperin於2014年接受《彭博商業周刊》訪問時指出:「Tor最大的問題就是新聞報道(的取向),沒人聽說過有些用戶透過其擺脫濫用者的追蹤,但只聽說過人們如何透過其下載兒童色情作品」[71]

Tor專案公司指出,Tor用戶當中也有「正常人」,這包括渴望網站及廣告商不會得知自己的網上活動的人、擔憂網絡偵察的人,以及像活動家、記者和軍事專業人士般渴望擺脫審查的用戶。截至2013年11月,Tor有大約400萬名用戶[72]。《華爾街日報》指出,Tor有約14%的流量來自美國,它的第二大用戶群來自「網絡審查盛行的國家」[73]家庭暴力的受害者、社工及幫助受害者的機構使用Tor溝通的情況也有上升趨勢,儘管他們可能沒受過網絡安全相關的專業培訓[74]。然而若進行了適當的配置,它便可以使人不會受到數碼追蹤的影響[75]。像《衛報》、《紐約客》、《ProPublica》及《The Intercept》般的新聞機構會利用SecureDrop及Tor來保障告密者的私隱[76]

英國國會科學與技術辦公室英語Parliamentary Office of Science and Technology於2015年3月發佈了一份簡要報告,當中指出「英國人普遍不會認為完全禁止線上匿名系統是可接受的……即使若事實並不如此,技術上這也是一項挑戰」。除此之外,它進一步指出Tor「在線上觀看和分發兒童不雅物品上,只扮演一個較小的角色(這可部分歸因於Tor的固有延時)」。Tor也因能幫助網絡觀察基金會運作、告密者告密以及突破防火長城而受到熱捧[77]

Tor的時任執行董事安德魯·勒曼(Andrew Lewman)於2014年8月說道,美國國家安全局及英國政府通信總部的特務曾匿名地向Tor專案公司報告Tor的漏洞[78]

Tor項目的常見問題解答頁面上寫道:

運作方式

Thumb
描述Tor如何運作的信息圖形(由電子前線基金會創作)

Tor的設計原意在於保障用戶的個人私隱,以及不受監控地進行秘密通訊的自由和能力。它能夠實現洋蔥路由這一種使通訊加密,和在由全球志願者運行的中繼中隨機跳轉的技術。該些洋蔥路由器會對信息進行多層加密(因此以洋蔥來比喻),由此確保中繼間的完美前向安全性,使用戶的網絡位置得以匿名化。這種匿名性也使得Tor可以寄存規避審查的匿名服務[29]。此外其還把一部分的入口中繼保密,使得依賴封鎖Tor公開節點的互聯網審查失效[80]

由於接收者和發送者的IP位址在任何中繼中都不是通過明文傳輸,所以若有人在中繼路徑中的任何一點竊聽,都無法同時識別兩端。而且接收者眼中,似乎通信來源是最後一個Tor節點,而不是發送者。

流量溯源

Thumb
透過開源數據包分析器EtherApe來分析的一些Tor中繼節點流量。

Tor在本地提供Socks接口,通常在9050(獨立Tor)或9150(Tor瀏覽器)端口,支持該協議的應用程序可以設定讓Tor接管其流量。Tor會定期透過Tor網絡創立虛擬迴路,從而可復用流量並傳送其至目標。在Tor網絡內部,雙方的流量是通過路由器沿著迴路傳送至下一個路由器,最終到達出口節點;在出口節點的封包被明文轉送至原本的目標地址。從目標的角度來看,流量來源是出口節點。

Thumb
一個Tor的非出口節點,圖中可見其最大輸出為每秒239.69KB

Tor的獨特運作方式使得其跟其他匿名網絡得以區分開來:它建立在傳輸控制協議(TCP)流之上,這意味着常見互聯網活動包括IRC即時通訊以及瀏覽萬維網可透過Tor匿名化。

洋蔥服務

Tor也可以為網站及伺服器提供匿名性。只接受透過Tor從外部連接的伺服器一般統稱為洋蔥服務Onionsite,另有隱藏服務這個較正式的稱呼)[81]。洋蔥服務分為V2版(2020 年 9 月,Tor 開始提醒洋蔥服務管理員和客戶端, 0.4.6 版本將棄用並淘汰 v2。 2021 年 6 月,Tor 瀏覽器開始提醒用戶。在 2021 年 7 月,0.4.6 版 Tor 將不再支持 v2,並從代碼庫中移除相關支持。2021 年 10 月,我們將為所有支持的系列發布新的 Tor 穩定版本客戶端,該版本將禁用 v2[82]。)和V3版,V2版URL僅有16個字符,V3版URL為56個字符,該些洋蔥服務一般能在配合Tor瀏覽器的情況下,經洋蔥地址來存取,而不像瀏覽一般網站般先找出伺服器的IP位址後再存取。Tor網絡以找出相應的公鑰分散式雜湊表(DHT)中的介紹結點(introduction points)的方式來得知其位址。它可以路由傳入洋蔥服務或從洋蔥服務傳出的數據,這同樣適用於在網絡地址轉換(NAT)或防火牆背後的主機,並能保障雙方的匿名性。對於存取該些洋蔥服務而言,Tor是必要的[83]

洋蔥服務在2003年首次提出[84],並自次年起在Tor網絡上配置[85]。除了存儲洋蔥服務的描述符所需的數據庫之外[86],Tor在設計上是去中心化的;不存在一個列出所有洋蔥服務的可供閲讀列表,儘管一些洋蔥服務目錄會把知名的洋蔥地址列出。

由於洋蔥服務會把它們的所有流量皆經由Tor網絡路由,所以它們的連接為端到端加密的,且不能夠成為竊聽的目標。但Tor的洋蔥服務仍有安全問題。例如所有能透過Tor洋蔥服務和公共互聯網存取的服務皆易受相關攻擊(correlation attacks)的影響,由此可見它的匿名性並不是完美的。其他隱患包括服務設定錯誤(例如Web伺服器的默認錯誤頁面可能會包含識別信息)、運行和停機時間統計、交集攻擊(intersection attacks)以及用戶錯誤[86][87] 。獨立安全研究者莎拉·傑米·劉易斯英語Sarah Jamie Lewis開發了一個名為「OnionScan」的開源軟件,用於全面檢測洋蔥服務上的漏洞[88](劉易斯還是研究透過洋蔥路由來進行遠程性愛的先驅,因為她認為性玩具不應透過互聯網不安全地連接[89]。)

洋蔥服務也可在客戶端沒有連接Tor網絡的情況下透過標準瀏覽器存取,比如使用像Tor2web般的服務即可存取之[90] 。人們常在Pastebin英語PastebinTwitterReddit及其他網絡論壇分享以.onion為頂級域的暗網鏈接[91]

Nyx狀態監視器

Nyx是一款以Python來編寫的Tor命令行界面狀態監視器[92][93]。其能使人實時監視其所運行的Tor節點的狀態,它的監視範圍包括:

  • 目前正在使用的資源(帶寬、CPU和記憶體的使用情況)
  • 中繼的一般資訊(暱稱、指紋、旗標或/dir/controlports)
  • 擁有正則表達式過濾和重複數據刪除功能的事件記錄表
  • 與Tor數據一致相關的連接(IP地址、連接類型、詳細中繼資訊等等)
  • 在torrc設定檔上加入語法突顯及行數

Nyx的大多數屬性都可以通過armrc設定檔進行設定。它能在任何支持curses函式庫的平台上運行,包括macOSLinux及其他類Unix系統

這一專案始於2009年的夏天[94][95],並自2010年7月18日起正式成為Tor專案的一部分。它是一款以GNU通用公共許可證授權的自由軟件

弱點

Tor就像其他低延遲匿名網絡般,不能夠也沒有嘗試阻止他人監聽Tor網絡流量的邊界(亦即流量進出網絡時的情形)。儘管Tor能保護人們免於受到流量分析英語Traffic analysis,但它仍不能夠防止流量確認(traffic confirmation,亦即端對端確認)的發生[96][97]

一項發表於2009年的研究指出,Tor及另外一套匿名網絡系統Java Anon Proxy比其他隧道協議更對網站指紋技術有適應力。

其原因在於單一節點的VPN協定的封包重新建構次數一般不比使用了多重節點的Tor及Java Anon Proxy多。利用網站指紋識別在傳統VPN協定上識別HTTP封包的準確率達90%,與此相比識別透過Tor傳送的封包的準確率只有2.96%。然而若使用了像OpenVPNOpenSSH般的協定,那麼也需要大量數據才可識別HTTP封包[98]

密歇根大學的研究者開發了一款網絡掃描器,能一次掃描86%的可用Tor網橋[99]

竊聽

自治系統竊聽

如果「客戶至入口中繼」及「出口中繼至目標地址」這兩段網絡路徑皆為同一個自治系統所管轄,那麼該系統就能經由統計把入口路段和出口路段劃上關係,且有可能推斷出客戶把封包傳送至哪個目的地。LASTor於2012年發表了一篇論文,當中提出如何預測處於上述兩條路徑的自治系統的方法,並建議如何在路徑選擇演算法中避免選擇由同一個自治系統管轄的路徑。在這篇論文中,作者們也以選擇較短路徑的方式來改善延遲性。[100]

出口節點竊聽

瑞典安全顧問丹·艾格斯塔德(Dan Egerstad)在2007年9月透露,他透過運行和監聽Tor出口節點來截獲一些電子郵件帳戶的用戶名和密碼[101]。由於Tor不能加密出口節點至目標伺服器之間的流量,所以任一出口節點皆有能力截獲通過它而又沒經過傳輸層安全性協定(TLS)或安全通訊協定(SSL)進行端到端加密的流量。儘管這可能並不對來源端的匿名性構成任何影響,但截獲流量的第三方也可能能在實際數據和協議數據中找到來源端的信息[102]。艾格斯塔德同時擔憂情報機構會暗中破壞Tor[103]

「若你們認真找一下Tor節點的位置及規模,就會了解一些節點因為使用了大量頻寬及成為高負載伺服器等原因,而每月花費數千元,為的只是成為一台網絡主機。誰會為此付出那麽多而不公開自己的身份?」

法國計算機電子技術自動化工程師學院英語ESIEA (university)的一隊研究團隊在2011年10月宣稱找到危害Tor網絡安全性的方法——解密經過它的通訊[104][105]。這項技術的前設包括一張關於Tor節點的圖表、控制三分之一的Tor節點、獲取用於加密的密鑰以及演算法的隨機種子英語Random seed。他們宣稱他們能夠使用已知的密鑰及隨機種子,解密三層加密中的兩層,然後利用基於統計的攻擊來解密最後一層。最後為了將流量重定向到他們控制的節點而使用阻斷服務攻擊。Tor對此在官方博客上進行了回應,稱該些有關Tor網絡的安全性受到損害的傳聞過分誇大[106]

流量分析攻擊

流量分析攻擊可分為兩種:被動式及主動式。採用了被動式流量分析攻擊的攻擊者先會從一端網絡找出一段特定流量的特徵,然後在另一端網絡尋找該些特徵。採用了主動式流量分析攻擊的攻擊者會在一端網絡按特定模式修改封包的定時(timings),然後在另一端尋找符合該些模式的封包。攻擊者可以籍此把兩端的流量聯繫起來,使其去匿名化[107]。即使在封包上加入定時雜訊也好,也有攻擊手段能夠抗衡它[107]

劍橋大學史蒂文·默多克英語Steven Murdoch和喬治·達內茲(George Danezis)在2005年的IEEE流量分析研討會上發表了一篇論文,其內容提及到一種技術,其能使只知道一部分網絡的攻擊者推斷出哪些中繼是用於傳遞匿名數據流[108]。該些技術會大大減低Tor的匿名性。他們的研究也表明,即使數據流不相關,也可以把它們跟同一個來源聯繫起來。但這種攻擊無法找出原始用戶的身份[108]。默多克自2006年起跟Tor合作,並受到其資助。

Tor出口節點封鎖

網站營運者有能力封鎖來自Tor出口節點的流量,或減少Tor用戶所能使用的功能。比如除非另有豁免,否則使用了Tor的用戶不能編輯維基百科,因為維基百科主動屏蔽了來自Tor節點的編輯[18]。英國廣播公司的iPlayer封鎖了Tor所有的入口和出口節點,但沒有封鎖中繼和網橋[109]

壞蘋果攻擊

2011年3月,法國國家信息與自動化研究所和其他外界研究者記錄了一種攻擊手段,其能夠找出利用Tor網絡來進行BT上下載的用戶的IP地址。壞蘋果攻擊利用了Tor本身的設計,暴露同時使用兩者的Tor用戶的IP地址。其中一種攻擊手段取決於對出口節點的控制,或被劫持的BT伺服器的回應。另一種則基於對分散式雜湊表的追蹤統計[110]。研究指出[110]

壞蘋果攻擊研究中作者所得出的結果是以針對Tor網絡發起的外圍攻擊為依據的。該攻擊以6個出口節點為目標,時長23日,並找出了10,000名活躍Tor用戶的IP地址。這一研究的結果具有重大意義,因為它是首項存有正式記錄,並針對Tor網絡上的P2P文件分享應用程序的攻擊[110]。BitTorrent可能佔了高達40%的Tor整體流量[111]。此外壞蘋果攻擊不僅對BitTorrent有效,且還能有效攻擊任何運行在Tor之上的不安全應用程序[110]

暴露IP地址的協定

來自法國國家信息與自動化研究所的研究者表示,BitTorrent中的Tor掩飾技術可以被控制Tor出口節點的攻擊者繞過。該研究以6個出口節點為監控目標,時長23日。研究者在當中使用了三種攻擊手段[112]

檢查BitTorrent的控制信息
BT伺服器的宣告和擴展協議握手可能包含客戶的IP地址。對收集到的數據進行分析後,結果顯示33-35%的信息包含客戶地址[112]:3
劫持BT伺服器的回應
由於BT伺服器和用戶群之間的通信缺乏加密或認證,所以傳統的中間人攻擊能使攻擊者確定用戶群的IP地址,以至驗證內容的分佈。當Tor僅用於跟BT伺服器通訊時,此類攻擊就能生效[112]:4
利用分散式雜湊表
此攻擊利用了分散式雜湊表不可能透過Tor連接的事實,因此即使目標使用了Tor連接到其他用戶群,攻擊者也可以在分散式雜湊表中查找目標的IP地址[112]:4–5

透過這種技術,研究者能夠識別用戶發起的其他數據流、找出該用戶的IP地址[112]

狙擊手攻擊

詹森等人描述了針對Tor節點軟件的分散式阻斷服務攻擊(DDoS),以及針對該攻擊或其變體的防禦方式。攻擊者會使用串連在一起的伺服器和客戶端發動攻擊,不斷地往出口節點的任務隊列填入要求,直到節點的記憶體不足以應付為止。此舉能使受到攻擊的出口節點不能為其他(真正的)客戶提供服務。攻擊者可以透過這種方式來攻擊大部分出口節點,使網絡降速,及增加用戶使用由攻擊者控制的節點的機會[113]

心臟出血漏洞

2014年4月,OpenSSL心臟出血漏洞Heartbleed)使Tor網絡受到了幾天的影響,期間Tor網絡的中繼要生成新的私有密鑰。Tor專案建議中繼和隱藏服務的營運者在修補OpenSSL後,應復原並生成新密鑰,但同時指出,兩套Tor中繼密鑰及多次跳轉的設計已最大限度地減少了單一中繼遭竊取所造成的影響[114]。為了防止用戶受到此漏洞的影響,隨後發現存在漏洞的586個中繼被強制下線[115][116][117][118]

中繼早期流量確認攻擊

2014年7月30日,Tor項目發佈了一項有關「中繼早期流量確認攻擊」的安全問題警告,於當中指出他們發現一組嘗試使洋蔥服務的用戶和營運者去匿名化的中繼[119]。用以攻擊的洋蔥服務目錄節點會修改單元的表頭,使它們分別標記為「中繼」或「中繼早期」單元,用以編碼額外的資訊,然後把其傳送給用戶/營運者。若用戶/營運者的入口中繼也為攻擊者所控制,那麼便有可能能夠獲取用戶/營運者的IP地址及所請求的洋蔥服務資訊。由於該些中繼是特意設計成「適合充當洋蔥服務目錄」或「適合充當入口中繼」的,所以洋蔥服務的用戶和洋蔥服務皆有機會利用該些目錄節點或入口節點[120]

該些節點在2014年1月30日加入網絡,同年7月4日Tor項目把它們從網絡中移除[120]。儘管相關攻擊於何時開始尚是不明,但Tor官方表示,2-7月期間洋蔥服務用戶和營運者的IP地址可能已經洩漏[121]

除了從網絡中移除用以攻擊的中繼以外,Tor項目官方還提到了以下減低影響的措施:

  • 修複中繼的軟件,使其不會把表頭標記為「中繼早期」的非預期單元轉送出去[122]
  • 計劃升級用戶的網絡代理軟件,令其能夠檢驗有否從中繼中收到「中繼早期」單元(正常情況下不會出現這種情況)[123],以及把「三個中繼都是隨機選擇」的設置換成只固定連接到某一個入口節點,用以減低連接至受到攻擊的中繼的可能性[124]
  • 建議洋蔥服務的營運者考慮把伺服器搬至另一處地方[125]
  • 提醒用戶和營運者若攻擊者控制或監聽了Tor線路的兩端,那麼流量就無可避免地可被攻擊者去匿名化[126]

2014年11月,由全球司法部門開展的「去匿名化行動」導致了來自不同地區的17人被捕,故此後來有推測指Tor的漏洞已被人利用。歐洲刑警組織的代表不願透露鎖定目標時所用的方法,稱:「我們想把一些事保持在只有我們知道的狀態。我們所使用的方法不能夠透露給全世界知道,因為我們會一而再,再而三地使用該套方法[36]。」英國廣播公司引述評論指這是「技術性破解」[37],並稱該套方法能讓人知道伺服器的地理位置,指最初公佈的滲入網站數量引來了漏洞已被人利用的猜測。Tor的代表安德魯·勒曼(Andrew Lewman)認為Tor已被破解的可能性頗低,並認為警方所使用的目標鎖定方法較有可能是「傳統的那一套」[127][128]

「去匿名化行動」的法庭檔案[40]於次年引起人們對研究倫理[38]及《美國憲法第四修正案》所保證的「不能受到無理搜查」的權利之關注[39]。此外文件和專家的意見也可能顯示網絡攻擊與執法行動之間的關係,該些證據包括:

  • 對絲路2.0的管理員發出之搜查令表明,2014年1月-7月期間,美國聯邦調查局收到從「大學研究所」發出的資訊,其內容有關「像RS2般的隱藏服務和TOR的IP地址」,這使得「最少另外17個建構於TOR之上的黑市網站」和「最少78個存取供應商的.onion地址的用戶之IP地址」遭到識別。其中之一便是上述管理員的IP地址[40]
  • 加利福尼亞大學柏克萊分校國際電腦科學研究所英語International Computer Science Institute的一位資深研究員在接受訪問時說,跟美國聯邦調查局合作的「幾乎可以肯定」是卡內基·梅隆大學[40],這與Tor項目及普林斯頓大學電腦科學系教授愛德華·費爾滕英語Edward Felten的估計一致;後者更把估計範圍收窄至該大學的電腦網路危機處理暨協調中心英語CERT Coordination Center[38][129]

費爾滕在7月31日發表的分析中,除了指出這種做法所引起的倫理問題外,還質疑該做法是否符合協調中心的原本目的——「防止攻擊、通知相關人員、把漏洞對大眾公佈」,因為他們是在「沒有通知相關人員的情況下實施大規模長期性攻擊,且沒有就發現漏洞一事向大眾公佈」[129]

鼠標指紋

一位來自巴塞羅那的資訊安全研究者在2016年3月展示了一項實驗室技術,該項技術能透過JavaScript在1毫秒的層面上進行時間測量[130]。它可以識別用戶的獨特鼠標移動方式,並使其跟先後利用Tor瀏覽器和常規瀏覽器訪問了同一個「指紋識別」網站的用戶劃上關係[131]。是項技術利用了「透過JavaScript進行時間測量」這一項在Tor專案上無指定驗證時間的概念[132]

資料大小相關信息

一項研究指出「匿名方案僅能降低選擇監控目標的有效度」,它們一般「不會隱藏對於目標選擇而言是必要的資料大小信息」[133]

實現

Tor主要由C語言編寫而成,緊隨其後的有PythonJavaScript程式語言。截至2021年4月,它共有505,034行源代碼[3]

2020 年開始,tor官方就開始使用 Rust 編程語言開發 Tor 協議的新實現Arti,2022年9月2日發布Arti 1.0.0,生產環境可用。[134]

Tor瀏覽器

Quick Facts 開發者, 當前版本 ...
Tor瀏覽器
Thumb
Thumb
Tor Browser的啟動畫面(about:tor)
開發者Tor Project
當前版本
  • 14.0a9(2024年10月9日;預覽版本;Microsoft Windows、macOS、Linux、Android)[135]
  • 14.0.2(2024年11月13日;穩定版本;Microsoft Windows、macOS、Linux、Android)[136]
編輯維基數據鏈接
源代碼庫gitlab.torproject.org/tpo/applications/tor-browser/
引擎Gecko
操作系統
文件大小90–165 MB
語言37種語言[137]
類型洋蔥路由匿名網頁瀏覽器聚合器
許可協議Mozilla Public LicenseGPL[138]
網站torproject.org/download
Close

Tor瀏覽器,前身為Tor Browser Bundle(TBB)[139],是Tor項目的主要產品[140]。由Mozilla Firefox ESR瀏覽器修改而成,並由Tor Project開發人員做了許多安全性和隱私保護的調校,預載TorButton、TorLauncher、NoScriptHTTPS Everywhere等擴充套件與Tor代理[141][142]。其為開源軟體自由軟體綠色軟件,可在多種作業系統上運行,包括WindowsMac OS XLinuxUnixAndroid[143][144]

Tor瀏覽器在後台啟動Tor進程並透過其連接網絡。一旦程序斷開連接,Tor瀏覽器便會自動刪除隱私敏感數據,如cookie和瀏覽歷史記錄[142]

Tor瀏覽器本身提供SOCKS代理服務,一些應用程式已可藉此使用Tor網路。若結合代理伺服器軟體 Privoxy,可以讓所有走HTTP/HTTPS協定的連網應用程式、以及所有能夠設定HTTP/HTTPS代理的應用程式都透過Tor網路來上網。[145]

斯圖爾特·德雷奇(Stuart Dredge)在2013年11月,亦即一系列的全球監控被揭露之後,於《衛報》上建議人們使用Tor瀏覽器,以避免被竊聽及保障自身私隱[146]

Firefox/Tor瀏覽器攻擊

2011年,荷蘭當局在調查網上流通的兒童色情作品時,發現Tor洋蔥服務網站「Pedoboard」的管理員的IP地址,並把這項資訊轉交給美國聯邦調查局跟進。聯邦調查局藉此鎖定其擁有者為亞倫·麥格拉思(Aaron McGrath)。在經過1年的監視後,聯邦調查局展開名為「Operation Torpedo」的行動,拘捕麥格拉思,並在由麥格拉思管理的3個洋蔥服務網站上安裝惡意軟件,獲取造訪用戶的資訊[147]。 當中利用了Firefox/Tor瀏覽器經已修補的漏洞,故此以不安裝更新,並安裝了Flash的用戶為目標。該漏洞能讓聯邦調查局直接把用戶的IP地址傳輸回自身的伺服器[148][149][150][151],這個漏洞導致至少25名美國用戶以及眾多外國用戶的IP地址曝光[152]。麥格拉思於2014年初被判處20年徒刑,隨後有18名用戶陸續被判刑,當中包括一名美國衛生及公共服務部前網絡安全代理總監[153][154]

2013年8月,有人[誰?]發現很多舊版本的Tor Browser Bundle所捆綁的Firefox皆會受到一種JavaScript攻擊的影響[13]。攻擊者可以藉此提取用戶的IP和MAC位址、以及Windows電腦名稱[155][156][157]。新聞將此跟提供Tor匿名網頁寄存服務的Freedom Hosting的負責人埃里克·埃恩·馬克斯(Eric Eoin Marques)被捕劃上聯繫,他被指控分發、密謀分發、宣傳,以及協助和教唆他人宣傳兒童色情物品。逮捕令稱馬克斯為「這個星球上最大的兒童色情物品推動者」[158][159]。聯邦調查局於2013年9月12日在都柏林提交的法庭文件中承認了這起JavaScript攻擊[160]愛德華·斯諾登洩露的培訓演示文稿中透露了更多有關該漏洞的細節,並揭示了該漏洞的代號——「EgotisticalGiraffe」[161]。而Mozilla已在2012年11月釋出的Firefox 17版修補了該漏洞[162]

Tor Messenger

Quick Facts 開發者, 首次發布 ...
Tor Messenger
Thumb
開發者Tor專案公司
首次發布2015年10月29日,​9年前​(2015-10-29[163]
源代碼庫https://gitweb.torproject.org/tor-messenger-build.git
編程語言C、C++、JavaScript、CSSXUL
操作系統
語言英語
許可協議 編輯維基數據鏈接
網站trac.torproject.org/projects/tor/wiki/doc/TorMessenger
Close

2015年10月29日,Tor專案公司釋出了一款基於Instantbird的即時通訊程序的測試版——Tor Messenger,預設情況下透過Tor連接及不會留下通訊記錄[163]。它跟PidginAdium一樣,能夠支援多種通訊協定;但是,它卻不依賴libpurple函數庫來實現之,反之用記憶體安全性較佳的語言JavaScript來實現所有通訊協定的支援[164]

Tor Messenger於2018年4月因數據必然洩露至社交網站、人手不足及Instantbird停止維護等問題而結束[165]

第三方應用

Brave瀏覽器(電腦版)[166]BitTorrent客戶端Vuze[167]、匿名訊息系統比特信[168]及即時通訊軟件TorChat英語TorChat[169]皆支持Tor。

保衛者計劃是一項為了提高智能手機的通訊安全性,而開發相關韌體和應用的活動[170]。由這個計劃開發的Tor相關產品包括Tor實施工具Orbot[171]、私隱增強型移動瀏覽器Orweb(官方不再提供下載)[172]、Orfox(Tor瀏覽器的移動版本)[173]、Firefox附加元件ProxyMob (官方不再提供下載)[174]

側重安全的作業系統

一些側重安全的GNU/Linux發行版會廣泛使用Tor,包括Linux From ScratchIncognito英語Incognito(operating system)、Liberté Linux、Qubes OSSubgraph英語SubgraphTailsTor-ramdisk英語Tor-ramdiskWhonix[175]

影響及反應

Tor網絡遭到審查時可使用pluggable transports繞過審查,以上是一段有關pluggable transports的影片[176]

Tor因能為擔憂監控和被捕的政治活動家、規避網絡審查的網民、受到纏擾者暴力對待或威脅的人提供匿名隱私保護,而受到讚賞[177][178]。美國國家安全局稱Tor為「具有高安全性及低延遲性特點的互聯網匿名系統之王」[12];《彭博商業周刊》形容Tor為「規避各國情報機構所嘗試進行的線上監控的最有效方案」[179]。此外其他媒體對Tor有著以下的評價:「一款極為成熟的私隱保障工具」[180]、「容易上手」[181]、「即使是世界上最頂尖的電子間諜也對如何破解Tor束手無策」[71]

Tor的支持者稱它能透過保障用戶的匿名性和隱私性的方式,來促進言論自由;即使是在互聯網受到審查的國家也是如此。還有評價指「Tor就像基礎設施的一部分,政府自然會為他們想要使用的基礎設施付費」[182]

Tor最初是由美國情報機構開發的,此後維護Tor所需的一大部分費用也是由美國聯邦政府所捐助,因此有批評指:「它更像是一個間諜專案,欠缺問責性及透明度,只是一款因文化而生的工具」[19]。截至2012年,Tor的200萬美元總年度預算當中有約8成來自美國政府,當中大多數捐款來自美國國務院、美國國際媒體署、國家科學基金會[183],用以「幫助專制國家的民主支持者」[14]。其他有參與捐款的公共機構包括美國海軍研究實驗室國防高等研究計劃署瑞典政府[34][184]。有意見指政府重視Tor對推動言論自由的承諾,並會暗中利用暗網收集情報[185]。Tor也有收到部分非政府組織和私人機構的捐款,包括人權觀察RedditGoogle[186]。丁萊迪稱美國國防部的捐款「與其說是採購合同,倒不說其更像研究補助金」。Tor的前任執行董事德魯·勒曼稱,雖然它接受了美國聯邦政府的捐款,但「我們沒有跟美國國家安全局合作,沒有跟其一起找出用戶的身份」[187]

批評者指責Tor不像其所標榜的那樣安全[188],並以絲路、Freedom Hosting等例子為佐證[19]。《衛報》在愛德華·斯諾登洩露一糸列分析性文件後,報導指美國國家安全局曾不斷地嘗試破解Tor,但仍未能破壞其核心安全性,不過在攻擊Tor用戶的電腦方面取得了部分成功[12]。《衛報》也把美國國家安全局的2012年幻燈片刊出,其內容指:「我們一直以來都無法使所有Tor用戶去匿名化」,即使「加上了人手分析,我們也就只能使極少一部分的Tor用戶去匿名化」[189]。被捕的Tor用戶多因為人為錯誤而被捕[190]。《明鏡周刊》在2014年末的報告中使用了經由斯諾登洩露出去的資料,指截至2012年為止,美國國家安全局認為Tor本身就是其使命的「主要威脅」,並把與「像OTR、Cspace、ZRTP英語ZRTPRedPhoneTailsTrueCrypt般的隱私工具」併用的情況稱為「災難性的」,令「我們幾乎完全喪失/缺乏對目標通信的洞察力」[191][192]

2011年,Tor贏得自由軟件基金會的2010年度社會福利自由軟件大獎。該基金會指:「Tor已使全世界大約3,600萬人能夠在互聯網上實現存取和言論自由,同時又能夠保障他們的私隱性和匿名性。它的網絡已在伊朗埃及的持不同政見者運動中發揮關鍵作用[193]。」

在2012年,《外交政策》把丁格倫、馬修森、西維森並列在FT 100全球知識分子名單之上,因為他們為「告密者提供一個更安全的網絡環境」[194]

電腦安全研究員雅各·布阿貝爾鮑姆英語Jacob Appelbaum在2013年稱Tor為「軟件生態系統的一部分,其能幫助人們收回及重新獲得他們的自主權。它有助於使人們賦權、助人自助。它是開放的,並得到了各個大型社區的支持。」[195]

愛德華·斯諾登於2013年6月利用Tor把稜鏡計畫的資料傳送給《華盛頓郵報》和《衛報[196]

在2014年,俄羅斯政府簽訂了一份值111,000美元的合同,為的是「研究在Tor匿名網絡中獲取用戶及其設備的技術性信息的可能性[197][198]。」

2014年10月,Tor項目從外部公關公司聘請了公關,以改善其公眾形象(特別是想改善暗網方面的負面印象),並就Tor的應用技術向記者提供教育[199]

對Tor的審查

由於Tor可繞過政府對網站的審查,部分國家及地區封鎖了Tor。作為應對措施,Tor開發了多種可插拔傳輸(網橋指在 Tor 公共目錄里列出的 Tor 中繼節點。)以應對審查。obfs4網橋將Tor流量混淆至不含流量特徵,且其服務器不位於Tor的目錄服務器中,因而難以全部封鎖。meek通過域前置技術將Tor流量偽裝成訪問如微軟雲計算服務的流量,但速度通常較慢。Snowflake則通過WebRTC技術搭建的閃現代理Flash proxy)繞過審查。WebTunnel能將Tor連接偽裝成HTTPS連接。

中國大陸

由於Tor可訪問在中國大陸被封鎖的網站,且其節點皆為公開可見,防火長城封鎖了幾乎全部Tor節點導致其在中國大陸無法通過正常方式連接。[200]防火長城亦會通過主動探測的方式檢測並封鎖Tor網橋。[201]使用Tor的網橋(如meek-azure、Snowflake、WebTunnel以及未公開的私人obfs4網橋)可以在中國大陸內連接至Tor網絡。[202][203]

俄羅斯

2021年12月,俄羅斯監管機構聯邦通信、信息技術和大眾傳媒監督局Roskomnadzor)頒布法庭命令,要求各ISP封鎖Tor節點和網站。Tor隨後通過增加網橋的方式繞過封鎖措施。數據顯示,自該年12月以來,俄羅斯境內直接連接到Tor的用戶數大幅下降,而通過obfs4、Snowflake網橋等連接的用戶數則有大幅增加。[204]2022年俄羅斯入侵烏克蘭後,被俄羅斯占領的地區,如赫爾松市,其網絡流量被俄羅斯接管,亦受到此封鎖的影響。[205]

安全性

儘管Tor以修補漏洞及增進安全性的方式來回應上述弱點,但是人為錯誤可引致用戶身份遭到識別。Tor專案在其官網上提供了如何正確地使用Tor的指引。不正確地使用Tor是不能夠保障用戶的身份不遭到識別。譬如Tor提醒其用戶只有經Tor瀏覽器路由的流量受到保護,其他流量一概不受保護。Tor還提醒用戶應使用HTTPS版本的網站、不要在Tor之上進行BT下載、不要再自行加插拓展和插件、不要在保持連線時打開經由Tor下載的文件、使用安全的網橋[206]。此外Tor亦警告用戶不要在網上披露真實名稱等個人訊息,同時應在網絡上保持匿名[207]

儘管情報機構在2013年的分析聲稱,他們能在6個月內把8成Tor用戶去匿名化[208],但這終究沒有得到實現。事實上截至2016年9月,FBI仍無法找到入侵希拉里·克林頓電子郵件伺服器的Tor用戶的真實身份[209]

從手段來看,執法機構對Tor用戶進行去匿名化的最佳策略仍是自行運行一個節點和依賴於Tor用戶的人為錯誤,比如經Tor瀏覽器下載視頻後,再在保持連線的情況下,以未受保護的硬盤開啓之[210]

參見

注釋

參考文獻

延伸閱讀

外部連結

Wikiwand in your browser!

Seamless Wikipedia browsing. On steroids.

Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.

Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.