.onion - это специальное доменное имя верхнего уровня, обозначающее анонимную луковую службу , которая ранее была известна как «скрытая служба» [1], доступная через сеть Tor . Такие адреса не являются настоящими DNS-именами , а TLD .onion не находится в корне DNS Интернета , но с установленным соответствующим прокси-программным обеспечением интернет-программы, такие как веб-браузеры, могут получать доступ к сайтам с адресами .onion , отправляя запрос через сеть Tor. .
Введено | 2004 г. |
---|---|
Тип TLD | Суффикс хоста |
Статус | Не в корне, но используется клиентами, серверами и прокси Tor |
Реестр | Тор |
Использование по назначению | Чтобы указать луковицу, доступную через Tor |
Фактическое использование | Используется пользователями Tor для сервисов, в которых и поставщик, и пользователь анонимны и их трудно отследить. |
Ограничения регистрации | Адреса автоматически "регистрируются" клиентом Tor при настройке лукового сервиса. |
Состав | Имена - это непрозрачные строки, созданные из открытых ключей. |
Документы | |
Политика разрешения споров | N / A |
Веб-сайт реестра | www |
Цель использования такой системы - затруднить отслеживание как поставщика информации, так и человека, получающего доступ к информации, будь то друг другом, промежуточным сетевым хостом или посторонним лицом. Сайты, предлагающие выделенные адреса .onion, могут обеспечивать дополнительный уровень гарантии идентичности с помощью сертификатов EV HTTPS [ необходима цитата ] . Предоставление лукового сайта также помогает смягчить атаки с удалением SSL со стороны злонамеренных выходных узлов в сети Tor на пользователей, которые в противном случае получили бы доступ к традиционным сайтам открытой сети HTTPS через Tor. [ необходима цитата ]
Формат
Адреса в TLD .onion обычно представляют собой непрозрачные немнемонические буквенно-цифровые строки, которые автоматически генерируются на основе открытого ключа при настройке луковой службы . Они состоят из 16 символов для луковых сервисов V2 и 56 символов для луковых сервисов V3. [2] Эти строки могут состоять из любой буквы алфавита и десятичных цифр от 2 до 7, представляя в base32 либо 80-битный хэш («версия 2», либо 16-символьный), либо 256-битный ed25519 открытый ключ вместе с номером версии и контрольной суммой ключа и номером версии («версия 3», «следующее поколение» или 56 символов). В результате все комбинации из шестнадцати символов base32 потенциально могут быть действительными адресами версии 2 (хотя в качестве выходных данных криптографического хеша случайно выбранная строка этой формы, имеющая соответствующую луковую службу, должна быть крайне маловероятной ), в то время как только комбинации из 56 Символы base32, которые правильно закодировали открытый ключ ed25519, контрольную сумму и номер версии (т. е. 3), являются допустимыми адресами версии 3. [3] Можно настроить частично читаемый человеком URL-адрес .onion (например, начинающийся с названия организации) путем создания большого количества пар ключей (вычислительный процесс, который можно распараллелить ) до тех пор, пока не будет найден достаточно желательный URL-адрес. [4] [5]
Название «луковица» относится к луковичной маршрутизации - методу, используемому Tor для достижения определенной степени анонимности .
WWW в шлюзы .onion
Прокси-серверы в сети Tor, такие как Tor2web, позволяют получить доступ к onion-сервисам из браузеров, не поддерживающих Tor, а также для поисковых систем, не поддерживающих Tor. Используя шлюз, пользователи отказываются от собственной анонимности и доверяют шлюзу доставлять правильный контент. И шлюз, и луковая служба могут сканировать браузер и получать доступ к данным IP-адреса пользователя. Некоторые прокси-серверы используют методы кэширования, чтобы обеспечить лучшую загрузку страниц [6], чем в официальном браузере Tor . [7]
.exit (несуществующий домен псевдо-верхнего уровня)
.exit был доменом псевдо-верхнего уровня, который использовался пользователями Tor, чтобы на лету указывать программному обеспечению Tor предпочтительный выходной узел, который следует использовать при подключении к службе, такой как веб-сервер , без необходимости редактировать файл конфигурации для Тор ( torrc ).
Синтаксис этой области был имя хоста + .exitnode + .exit , так что пользователь хочет подключиться к http://www.torproject.org/ через узел tor26 бы ввести URL HTTP: //www.torproject. org.tor26.exit .
Примеры использования для этого могут включать доступ к сайту, доступному только для адресов определенной страны, или проверку того, работает ли определенный узел.
Пользователи также могут ввести только exitnode.exit, чтобы получить доступ к IP-адресу exitnode .
Обозначение .exit устарело с версии 0.2.9.8. [8] Он отключен по умолчанию, начиная с версии 0.2.2.1-alpha из-за потенциальных атак на уровне приложений, [9] и с выпуском Tor серии 0.3 как «стабильный» [10] теперь может считаться неработающим.
Официальное обозначение
Домен ранее был суффиксом хоста псевдо-верхнего уровня , аналогичным по концепции таким окончаниям, как .bitnet и .uucp, которые использовались в прежние времена.
9 сентября 2015 года ICANN , IANA и IETF определили .onion как «домен специального назначения», придав этому домену официальный статус по предложению Джейкоба Аппельбаума из проекта Tor и инженера по безопасности Facebook Алека Маффетта . [11] [12] [13]
Поддержка HTTPS
До принятия CA / Browser Forum Ballot 144 сертификат HTTPS для имени .onion можно было получить только путем обработки .onion как внутреннего имени сервера. [14] Согласно базовым требованиям CA / Browser Forum, эти сертификаты могут быть выпущены, но срок их действия должен истечь до 1 ноября 2015 года. [15]
Несмотря на эти ограничения, DuckDuckGo запустила луковый сайт с самоподписанным сертификатом в июле 2013 года; [16] Facebook получил первый SSL-сертификат Onion, который был выпущен центром сертификации в октябре 2014 года, [17] Blockchain.info в декабре 2014 года [18] и The Intercept в апреле 2015 года. [19] Позднее к ним присоединилась New York Times. в октябре 2017 года. [20]
После принятия избирательного бюллетеня 144 CA / Browser Forum и определения домена как «специального использования» в сентябре 2015 года .onion соответствует критериям RFC 6761 . [21] Центры сертификации могут выдавать SSL-сертификаты для HTTPS-сайтов .onion в соответствии с процессом, описанным в Базовых требованиях CA / Browser Forum [22], представленных в бюллетене 144. [14]
По состоянию на август 2016 года 13 луковых доменов подписаны по протоколу https в 7 различных организациях через DigiCert . [23]
Смотрите также
- .tor
- .i2p
- .немного
- Даркнет
- Темная паутина
- GlobaLeaks
- Список луковых услуг Tor
- Луковая маршрутизация
Рекомендации
- ^ Зима, Филипп. "Как пользователи Tor взаимодействуют с Onion Services?" (PDF) . Проверено 27 декабря 2018 года .
- ^ «Введение в луковые службы нового поколения (также известные как prop224)» . Проект Tor . Проверено 5 мая 2018 .
- ^ «Кодирование луковых адресов [ЛУКОВЫЙ АДРЕС]» . gitweb.torproject.org . Проверено 8 февраля 2021 года .
- ^ «Лук-шалот» . GitHub . Проверено 2 ноября 2014 года .
- ^ Маффет, Алек (31 октября 2014 г.). «Re: Facebook перебор скрытых сервисов» . tor-talk (список рассылки). Простой конечный пользователь Linux . Проверено 2 ноября 2014 года .
- ^ "Onion.cab: Преимущества этого TOR2WEB-прокси" . Архивировано из оригинального 21 мая 2014 года . Проверено 21 мая 2014 .
- ^ «Пакет браузера Tor» . Проверено 21 мая 2014 .
- ^ «Примечания к выпуску Tor» . Проверено 4 октября 2017 года .
- ^ «Особые имена хостов в Tor» . Проверено 30 июня 2012 года .
- ^ «Выпущен Tor 0.3.2.9: у нас новая стабильная серия!» . Проект Tor . Проверено 7 мая 2018 .
- ^ Натан Уиллис (10 сентября 2015 г.). «Домен Tor .onion одобрен IETF / IANA» . LWN.net .
- ^ Франчески-Биккьерай, Лоренцо (10 сентября 2015 г.). «Интернет-регуляторы только что узаконили Dark Web» . Проверено 10 сентября 2015 года .
- ^ «Особые доменные имена» . Проверено 10 сентября 2015 года .
- ^ а б «Бюллетень 144 CA / Browser Forum - правила проверки для имен .onion» . Проверено 13 сентября 2015 года .
- ^ «Базовые требования к выпуску и управлению общедоступными сертификатами, версия 1.0» (PDF) . Проверено 13 сентября 2015 года .
- ^ _zekiel (1 июля 2013 г.). «Мы обновили нашу скрытую службу Tor для работы через SSL. Пока нет решения для предупреждения о сертификате!» . Reddit . Проверено 20 декабря +2016 .
- ^ Маффет, Алек (31 октября 2014 г.). «Сделать подключение к Facebook более безопасным» . Проверено 11 сентября 2015 года .
- ^ Элисон (3 декабря 2014 г.). «Повышенная безопасность для пользователей Tor» . Проверено 11 сентября 2015 года .
- ^ Ли, Мика (8 апреля 2015 г.). «Наша система SecureDrop для утечек теперь использует HTTPS» . Проверено 10 сентября 2015 года .
- ^ Сандвик, Руна (27 октября 2017 г.). «New York Times теперь доступна как луковая служба Tor» . Нью-Йорк Таймс . Проверено 17 ноября 2017 года .
- ^ Аркко, Яри (10 сентября 2015 г.). ".onion" . Проверено 13 сентября 2015 года .
- ^ «Документы с исходными требованиями» . Проверено 13 сентября 2015 года .
- ^ Джейми Льюис, Сара (7 августа 2016 г.). «Отчет OnionScan: июль 2016 - HTTPS Где-то Иногда» . Дата обращения 15 августа 2016 .
Внешние ссылки
- "Браузер Tor" . Проект Tor .
Анонимный просмотр через Tor, используемый для доступа к сайтам .onion
- «Tor: Инструкции по настройке службы Onion» . Проект Tor.
- «Спецификация Tor Rendezvous» . Проект Tor.
- Бирюков Алексей; Пустогаров, Иван; Вайнманн, Ральф-Филипп (2013 г.), «Траулер для скрытых сервисов Tor: обнаружение, измерение, деанонимизация» (PDF) , Симпозиум по безопасности и конфиденциальности , IEEE
- «Бюллетень 144» . CA / Форум браузеров . 18 февраля 2015.