Το Tor Project ανακοίνωσε ότι αντικαθιστά την αρχική μέθοδο κρυπτογράφησης αναμετάδοσης, που ονομάζεται tor1, με ένα νέο design που ονομάζεται Counter Galois Onion (CGO) σε μια προσπάθεια βελτίωσης της ασφάλειας έναντι των διαδικτυακών εισβολέων.
Το Tor Project δήλωσε ότι η νέα μέθοδος κρυπτογράφησης έχει εφαρμοστεί στο Arti (η υλοποίηση του Rust Tor) και στην υλοποίηση του C Tor για αναμεταδότες (relays).
Τρία προβλήματα που εντοπίστηκαν με την παλιά κρυπτογράφηση tor1 είναι οι επιθέσεις tagging, η έλλειψη άμεσης εμπιστευτικότητας προώθησης και ο ασθενής έλεγχος ταυτότητας.
Μεταξύ αυτών, οι επιθέσεις tagging είναι το μεγαλύτερο πρόβλημα. Το Tor1 χρησιμοποιεί AES-CTR χωρίς έλεγχο ταυτότητας hop-by-hop, καθιστώντας το πολύ ευαίσθητο σε επιθέσεις. Έτσι ένας εισβολέας θα μπορούσε ενδεχομένως να αποανωνυμοποιήσει τους χρήστες.
Η έλλειψη άμεσης εμπιστευτικότητας προώθησης (forward secrecy) που υπάρχει στο tor1 σημαίνει ότι τα ίδια κλειδιά AES χρησιμοποιούνται για ολόκληρη τη διάρκεια ζωής του circuit (η διαδρομή που ακολουθείτε για να συνδεθείτε σε έναν ιστότοπο). Εάν κλαπεί ένα κλειδί, όλη η προηγούμενη κίνηση σε ένα circuit μακράς διαρκείας μπορεί να αποκρυπτογραφηθεί.
Τέλος, το tor1 έχει ασθενή έλεγχο ταυτότητας.
Χρησιμοποιεί ένα μικρό digest 4 byte που χρησιμοποιεί το SHA-1, δημιουργώντας μια πιθανότητα 1 στα 4 δισεκατομμύρια για μη ανιχνεύσιμη πλαστογράφηση κελιών. Με τη νέα κρυπτογράφηση CGO, το digest 4 byte αντικαθίσταται από ένα ισχυρότερο εργαλείο ελέγχου ταυτότητας 16 byte.
Αντιμετωπίζοντας το ζήτημα του forward secrecy, το CGO διαθέτει μια δομή “Ενημέρωσης” που μετασχηματίζει τα κλειδιά κρυπτογράφησης οριστικά κάθε φορά που δημιουργείται ή λαμβάνεται ένα νέο cell. Αυτό εξαλείφει τη δυνατότητα αποκρυπτογράφησης προηγούμενων cells. Αποτρέπει επίσης τις επιθέσεις tagging χρησιμοποιώντας μια δομή wide-block. Εάν η είσοδος παραβιαστεί, καθιστά ολόκληρη την έξοδο μη ανακτήσιμη.
Εάν χρησιμοποιείτε τον Tor Browser ή το λειτουργικό Tails, θα επωφεληθείτε από αυτήν την αλλαγή που θα γίνει στο παρασκήνιο και έτσι δεν θα χρειαστεί να κάνετε κάτι.
Εάν δεν γνωρίζετε το Tor, είναι ένα δίκτυο που σας βοηθά να ανωνυμοποιήσετε τις δραστηριότητες της περιήγησής σας. Ο κύριος τρόπος με τον οποίο το χρησιμοποιούν είναι μέσω του Tor Browser, αλλά και άλλα πιο εξειδικευμένα εργαλεία όπως το Tails OS και το Orbot.
Το Tor Project δεν διευκρίνισε ποια έκδοση του Tor Browser θα λάβει αυτήν την ενημέρωση.
Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω … γιατί καμιά φορά κρύβονται οι συντάκτες.
