Gebruik de default versie van Tor Browser.

.onion met TLS is onzin want je connecteert van een Tor Browser via een guard (intern) naar een middel relay (intern) naar een andere Tornode (intern)

Er komt dus geen exit node (extern) aan te pas.

Sterker nog. Ik geloof dat je in bepaalde gevallen met TLS verificatie mechanismen je een Onion+TLS minder secure kan maken maar dit moet ik even onderzoeken. Dat idee heb ik wel.

Ik denk dat TLS helemaal niks toevoegd aan Onion sites. De midden relays kun je namelijk niet sniffen en als dat wel zo was was het hele Tor netwerk compromised.

Mijn 2 roebels

In het gerefereerde artikel staat dat Tor Browser session resumption niet gebruikt.

Het Tor Project voorziet dus al in je behoefte van veiligheid & privacy.

Ik denk dat zo ongeveer nu Tor-fans en ook developers hier gaan meelezen.
Trouwens kijk in de eerste plaats naar de server exploits en kwetsbaarheden op achterliggende servers.
Security is soms ook "enhanced monitoring en dat betekent dus ook verbeterde surveillance en tracking mogelijkheden.

#sockpuppeth

Verkeer zonder TLS kan iedereen inzien die op de lijn zit.
Verkeer met TLS kan iedereen alleen de meta-data van inzien (bezochte site). En je provider zou kunnen zien dat je tor gebruikt.

Duckduckgo.com (over tls) gewoon via je NL-provider, kans dat daar iemand meekijkt naar de meta-data dat je naar duckduckgo gaat: nihil. Waarom zouden ze (tenzij je in een land zit waar tls inspectie een ding is, of je straf krijgt als je duckduckgo gebruikt).

Iedereen kan een kloon van "Sukjuritie.NL" maken en daar een .onion om heen bouwen. Door het TLS certificaat weet je als bezoeker zekerder dat je met de juiste bron van doen hebt, en niet met een een of andere fake .onion.

Dit, het genoemde risico bestaat niet in de Tor Browser.

Daarnaast voegt TLS niet heel veel meer toe bovenop Tor. Het zou kunnen dat de hidden onion service los staat van de webserver, dan zorgt het wel voor een 'extra' beveiliging tussen de onion service en achterliggende webserver.

Los daarvan kan dit ook gebruikt worden om ook functies binnen de 'secure context' van een webbrowser te gebruiken, maar dat staat los van de authenticiteit en vertrouwelijkheid. Daarvoor is verbinden met een onion service op zichzelf al genoeg.

Als we nu dan toch de aandacht trekken: Real-World Onion Sites

https://github.com/alecmuffett/real-world-onion-sites

Goede link!

Verder, ook op die pagina staat (onderin)

En hoeveel kornuiten checken dagelijks elke TLS info header van elke site die ze bezoeken?

Zodra het lampje op groen gaat vertrouwen ze het al snel. StartSSL ofzo kost niks..

Just my 2 roubles...

Wie is iedereen tussen een TOR client een een .onion endnode? Het TOR net is van binnen gecompromitteerd denk je?

Ik denk het niet...

Just my 2 roubles...

Tor bridges doet precies hetzelfde. En meeste Tor traffic gaat al op TCP/443.

Elke inlichtingendienst weet de bridges wel te vinden. Die kun je zo opvragen zelfs met een scriptje krijg je er zo een paar honderd, of duizend. Of een tiental als je ipv6 bridges zoekt ;)

Duckduckgo gebruikers worden net zo hard gemonitored, want wat zou diegene verbergen!

De kans op XSS lekken en andere truuks via duckduckgo (canvas fingerprinting, webrtc zijn bekenden) verraden alsnog je IP.

Dus waarom zou je Tor niet gebruiken? Of Duckduck over Tor

Hoe verifieert tor eigenlijk of de nodes "lief" zijn en hoe verifieert tor eigenlijk of het endpoint is wie die zegt dat die is, zonder tls. Ik stel weinig vragen, maar ben nu oprecht geinterreseerd.

L.S.

Het probleem is dus de keuze tussen niets doen en "go with the main stream flow" en iets doen, waardoor men juist kan opvallen. Men kan dan verketterd worden of juist geïncorporeerd (wegpromoveren is hier een voorbeeld van).

Kijk als je nooit iets doet, waardoor je zo'n keuze zou moeten maken, is het probleem er ook niet.

Blijft dan alleen, dat al je activiteiten op Interwebz gelogd en gemonitord worden. Dat geldt in principe voor elke digitale wereldburger anno heden. Als je dat ook niet deert om een of andere reden, dan zeg ik: "What the heck" of liever gezegd "What the hack"?

Ik heb er slechts een probleem mee om binnen een verkeerde info-bubbel of verkeerde perceptie-koker gezogen te (moeten) worden. Daarom ben ik ook een adept van de veel te vroeg gestorven F.R.A.V.I.A. en daarom deed ik NT4 met de kernel te midden van allemaal linux-mannetjes, toen het overal uitgerold moet worden in 2001. Later pas begon mijn 16 jarige website security foutenjager tijd (als vrijwillg qualified remover, vanaf 2004) en ik ben nu met pensioen, maar nog niet "oud en der dagen zat" en nog steeds actief geïnteresseerd.

Github is thans Microsoft gecontroleerd en MS en Google zitten elkander onderling af en toe wat vliegen af te vangen.
Maar toch leven ze over het algemeen "hand in foot" met elkaar. Real-World Onion Sites lijkt wel wat op Radio Free Europe goedgekeurd van weleer met BBC en die Deutsche Welle en met het bekende John de Mol sausje zonder Robert Jensen geluid overigens en de verdere gecontroleerde oppositie (anders was ie niet te horen of aanwezig).

Neem mijn 'geleuter' dus voor wat het waard is, at face value en vooral "sof, sof".

#sockpuppet

Tor is niet anoniem. Lees
https://www.hackerfactor.com/blog/index.php?/archives/896-Tor-0day-Finding-IP-Addresses.html
#sockpuppet

Waar gaan we uitkijken? Waar wordt onze complete sessie opgeslagen of worden we in de gaten gehouden?
Re: https://webtransparency.cs.princeton.edu/no_boundaries/session_replay_sites.html
luntrus

Dat oude trucje wordt steeds hopelozer temidden van de komende grote sneeuwstorm.


Mijn moeder en zusje zoeken daarmee naar de Margriet, breipatronen en kookrecepten.

Ik denk niet dat het statement 'Tor is niet anoniem' een goede samenvatting is van het artikel.

100% anonimiteit bestaat niet.
En wie suggereert dat dit wel mogelijk is, weet niets van security.

Ga gerust je gang: de hele Tor bibliografie vanaf anno 1977 staat op https://www.freehaven.net

http://7fa6xlti5joarlmkuhjaifa47ukgcwz6tfndgax45ocyn4rixm632jid.onion/anonbib/

Tor gebruikt crypted hashes voor alle communicatie. De middle nodes kunnen niet zien welke traffic er over hun router gaat. Alleen de exit nodes kunnen dat zien.

Onion traffic komt nooit bij exit nodes dus blijft binnen het core Tor netwerk. SSL is dan onzin tenzij je wilt voorkomen dat een onion adres gekraakt (met bruteforce) wordt. Tegen het bruteforcen zijn nieuwe (lange) onion addressen gekomen, om toekomstproof te zijn.

Heb ik het mis? Laat maar weten.

Just my 2 euro

Welke sneeuwstorm?

Ik kan de Tor bridges ook zo vinden. Jij ook.

Ze hebben het simpeler gemaakt.

Eerst kreeg je 3 bridges per email en nu krijg je ze gewoon na een captcha online. Een paar keer refreshen en je hebt zo een hele lijst.

Heel slecht is dat er nauwelijks Bridges zijn op ipv6. Dus mensen met ipv6.... Entry Guards op ipv6 zijn tekort!

Slechts een hand vol.

Er zijn legio presentaties op het internet die dit uitvoerig uitleggen. Google eens.

Lees je bijvoorbeeld eens in over "spoiled onions" .Hoe Yandex en Facebook onions gebruik traceerden. Omzeilen van ad- blokkeren, enz.
#sockpuppet

Brave Browser met uMatrix and UBlockOrigin en Startpage.com zijn een goed alternatief voor de gewone gebruiker

JudoQus

Dit natuurlijk ^^ en daarbij merk ik dat veel van die gecontroleerde (en vooral ongecontroleerde) oppositie de wanhoop nabij is. Dat is altijd als het tegen het einde aanloopt. Een kat in het nauw maakt rare springen zeggen ze dan :) Rustig af en wachten op de dag zal ik maar zeggen dan. :noworries:

Ik kreeg laatst een bericht dat ik ingeschreven was voor een energie site "Gaslight". Ik was dus echt niet van plan om mijn energieleverancier te switchen. Hemellief ik krijg zoveel korting bij de huidige. Laat staan dat ik mij had ingeschreven om prijzen te vergelijken. Ik dus erachter aan. Wat blijkt? Iemand anders had mijn email adres aan hun mailings proberen toe te voegen. Het bleek wederom een Tor IP.

Nou ik vind het zielig voor diegene die dat doet, die zo rusteloos is en ik wens hem en de zijnen rust n vrede toe natuurlijk. Ik slaap er geen nacht slechter door. Maar ik besef mij wel heel goed dat Tor ook voor minder nobele dingen wordt gebruikt.

Shalom

Ik zie allerlei resources over Spoiled Onions binnen het Tor netwerk. Maar nergens een connectie met Yandex. Of dat zij dit zouden doen. Heb je een linkje?

Wil je nu zeggen dat het Tor Project verantwoordelijk is?

Misschien ben JIJ niet zo'n lief mannetje en wilde iemand jou een hak zetten. Hoop het niet!

Schijnt dat Yandex een 404 error laat zien en stelt dat je een virus hebt opgedaan.

Verder schijnt Yandex je hele sessie vast te kunnen leggen.

Jumping to Yandex is going from the frying pan into the fire )van de regen in de spreekwoordelijke drup'.

luntrus

Yandex kan deceptie zijn natuurlijk. De voorpagina lijkt net alsof je terug gaat naar 1990 webdesign.

-SterretjeDawood-

You don’t really need SSL/TLS in an onion address (ie. https) since it’s a complete encrypted tunnel + PFS (perfect forward secrecy), but it does not hurt having extra layers in that onion!

Although it is true that extra layers are good beware that usually redirecting to SSL/TLS will mean that the certificate will not validate (because the hostname will be *.onion, instead of the certificate that you have for your public service). If you can get a .onion certificate, that works!

If your onion service does use TLS, make sure that it does not send a certificate for an external website.

https://reddit.com/r/onions/comments/5aj1fb/tor_hidden_services_and_tls/

Kijk even hier:https://amiunique.org/fp

U bent ook op Tor goed te identificeren aan de hand van het volkomen uniek zijn van uw fingerprint.

luntrus

Nitpick: this does work if you set your .onion service as an Alt-Svc header (instead of redirecting). In that case it is required to present the 'normal' certificate of your website, instead of a *.onion certificate.

Wat je waarschijnlijk bedoeld is dat de Tor Browser ook een uniek patroon kan geven. En of je als uniek geïdentificeerd kunt worden hangt wel af of de webserver deze analyse doet, en deze gegevens bewaard c.q. distribueert.

Notitie: normaliter spreekt men over het Tor netwerk wanneer men de term Tor gebruikt.

TLS is gewoon een extra laag bovenop de TOR onion lagen die onderling trouwens ook een vorm van TLS tussen de nodes gebruiken. Prima toch?

Nee, TLS in deze context zit juist in de binnenste schil van de Tor onion lagen, en niet bovenop.

Op youtube staan verscheidene presentaties waar Tor wordt uitgelegd. De moeite waard!

AmIUnique.org en de bedenker daarvan, de franse wiskundige Pierre Laperdrix, werkzaam voor INRIA.fr, zijn zeer zeker geen onbekenden bij de groep van Tor Browser ontwikkelaars:


guest post by Pierre Laperdrix | September 04, 2019

https://blog.torproject.org/browser-fingerprinting-introduction-and-challenges-ahead


Het traceren van een afwijkende fingerprint is, zeker zolang die in het .onion domein zit, bepaald geen eenvoudige klus.

Get a TLS certificate for your v3 .onion site
by isabela | March 24, 2021

https://blog.torproject.org/tls-certificate-for-onion-site

Test hier: https://ssl-tools.net/webservers

luntrus

In de alpha testversie van de Tor Browser zit de al enige tijd de zogenaamde "snowflake" bridge functie ingebouwd. Als straks iedereen, die dagelijks de stabiele versie gebruikt, met een simpele muisklik de Tor Browser zelf met de snowflake functie als een verborgen obfs4 bridge kan laten functioneren, dan krijg je een "sneeuwstorm" van IP-adressen.

https://snowflake.torproject.org

Zelfs als later blijkt dat maar 3% van de huidige 2,5+ miljoen Tor gebruikers hieraan dagelijks meedoet, dan heeft het Tor Project er plotseling 75 000+ tijdelijke, vluchtige Tor bridges meer bij. Een getal dat lineair opschaald met het toenemend totaal aantal Tor Browser gebruikers. Hoe meer hoe beter.


De lijst van de bestaande obfs4 en meek Tor bridges, die men op die manier via het captcha of per email verkrijgt, is met opzet altijd onvolledig. Er zit daarnaast ook een aanvraag limiet op de captcha en de mail functie. Los daarvan bestaan er ook nog een onbekend groot aantal onbekende of private Tor bridges, die niet in de lijst staan.

onion service met TLS certificaat veiliger?


Ja als we dit moeten geloven ;

Tor Encryption can Allegedly be Accessed by the NSA, Says Security Expert

https://www.techtimes.com/articles/262645/20210709/tor-encryption-can-allegedly-be-accessed-by-the-nsa-says-security-expert.htm

Jullie mening hier graag over .....

In de blogpost van Robert Graham staat niet meer dan dat "everyone agrees that the NSA can break 1024 bit keys" .
Geen verwijzing naar wie die 'everyones' zijn -.

Het is een heel klein groepje mensen dat werkelijk verstand heeft van factorisatie en reëel kan schatten wat er met een maximale inspanning mogelijk zou zijn.
Dus zoeken naar bronnen .

Ok - ik vond een presentatie van (o.a.) Dan Bernstein - die inderdaad één van de mensen is die er echt wat zinnigs over kan zeggen .
https://www.hyperelliptic.org/tanja/vortraege/facthacks-29C3.pdf

Als het goed interpreteer zou een enkele 1024-bit sleutel te kraken zijn met pakweg een jaar werk van een stevi datacenter vol GPUs.
Een ander paper - 2003 (met o.a. Arjen Lenstra en Adi Shamir als auteurs) komt ook met een schatting die RSA-1024 'in principe' bereikbaar maakt .

Dus bij elkaar - ja,vermoedelijk is het mogelijk met een hoog budget , ruime tijd - en een set erg goede wiskundigen (er moeten wat parameters "goed" gekozen worden , en dat is werk voor wiskundigen) een enkele 1024 bit RSA key te kraken.