Cum se generează o adresă .onion pe Tor
Pe internet, pe măsură ce majoritatea oamenilor îl folosesc, un nume de domeniu (de exemplu, expresvpn.com) este înregistrat prin intermediul unui registrator. De obicei plătiți o taxă pentru asta.
Partea de după punctul din dreapta domeniului, cum ar fi „.com” sau „.ca”, se numește domeniu de nivel superior. Adesea este codul unei țări, dar există și anumite domenii generice de nivel superior, cum ar fi „.website”. Recent companiile au reușit chiar să înregistreze propriile lor domenii de top, cum ar fi „.apple”.
Aceste domenii de nivel superior sunt atribuite de către Internet Corporation pentru numere și numere alocate (ICANN). Dacă doriți să vă creați propriul dvs. domeniu de nivel superior, va trebui să vă trimiteți propunerea și, probabil, veți plăti mulți bani pentru aceasta.
Partea dinaintea punctului, din stânga domeniului, este subdomeniul. Când achiziționați un nume de domeniu, cum ar fi numele dvs..com, sunteți liber să creați subdomenii și să le indicați către servere separate (de exemplu, blog.yourname.com sau chat.yourname.com).
După ce ați înregistrat propriul dvs. domeniu la un registrator (sau chiar un domeniu de nivel superior cu ICANN), puteți indica acest domeniu către adresa IP a site-ului dvs. web folosind un server de nume.
Pentru un internet gratuit și deschis, acest lucru creează diverse probleme.
Dacă ICANN îți place să nu-ți placă, din orice motiv, pur și simplu îți pot lua domeniul și-l pot da altcuiva.
Un atacator vă poate accesa contul cu registratorul și îl poate îndrepta către propriul server. Ei pot utiliza acest lucru pentru a phish parolele și alte informații privilegiate de la utilizatorii dvs. Serverul dvs. este întotdeauna ușor de identificat prin intermediul domeniului dvs., ceea ce face ușor să vă cenzurați sau să confiscati serviciul.
.serviciile de ceapă abordează toate aceste probleme printr-o criptografie inteligentă și câteva trucuri.
Un hash al unei chei publice
.site-urile de ceapă, cum ar fi tp7q4m5ln4yhk5os.onion, nu sunt înregistrate. În schimb, sunt un haș al unei chei publice.
Pentru a fi mai precis, acestea sunt prima jumătate a hașei SHA-1 codificate de bază32 a unei chei publice, dintr-o pereche de chei RSA de 1024 biți cu sufixul „.onion”.
Rezultatul este că un nume de domeniu .onion va avea 16 caractere și poate conține litere minuscule de la a la z și cifrele 2 până la 7.
Când introduceți o adresă .onion în browserul Tor, spre deosebire de un domeniu obișnuit, nu căutați o adresă IP pe un server DNS. În schimb, solicitați un director de servicii ascunse, pe care oricine îl poate oferi voluntar pentru a rula.
Dacă directorul serviciilor ascunse pe care le solicitați știe să găsească serverul pe care îl căutați, veți fi direcționat către site-ul web, fără ca locația acestuia să fie dezvăluită (aflați mai multe despre cum funcționează Tor aici).
.recunoașterea cepei de la înregistratori de internet
Deoarece această funcționalitate funcționează numai în rețeaua Tor, veți putea căuta doar site-uri web .onion prin browserul Tor. Dacă ICANN ar emite vreodată domenii cu finalul .onion, totuși, acest lucru ar putea crea o mulțime de confuzii, deoarece serviciile și site-urile ascunse din rețeaua obișnuită ar rezolva aceeași adresă în două moduri diferite, conducând la două site-uri diferite.
Totuși, acest lucru nu este foarte probabil, întrucât ICANN este probabil să recunoască adoptarea largă și utilizarea rețelei Tor și, cu siguranță, ar dori să evite confuziile în sistemul de nume de domeniu..
Internet Engineering Task Force, IETF, care dezvoltă și menține standarde de internet, cum ar fi TCP / IP, a recunoscut oficial domeniul .onion în ceea ce a fost salutat ca decizie de reper în 2015. Această decizie a venit după un lobby intens din partea Proiectului Tor și a făcut-o este posibil ca Facebook să primească un certificat TLS digital.
TLS nu este necesară în rețeaua Tor pentru criptare, deoarece conexiunea este deja criptată end-to-end între un server .onion și utilizator. Cu toate acestea, un certificat facilitează utilizatorului să verifice că se conectează la serverul potrivit și oferă o barieră suplimentară pentru un atacator.
Obținerea unei adrese de vanitate .onion
Când generați o adresă .onion, aceasta va arăta destul de întâmplător, așa cum este cazul oricărui hash. Cu toate acestea, statistic vorbind, dacă creezi suficiente astfel de adrese, o singură dată, te vei împiedica aleatoriu de una care poate fi citită de fapt.
Pentru fiecare poziție, există 32 de caractere posibile. Dacă doriți să găsiți o adresă care începe cu e, vă așteptați să trebuie să ghiciți de aproximativ 16 ori. Dacă doriți o adresă care începe cu ex, trebuie să ghiciți deja (32 * 32) / 2 = 512 ori. Pentru exp, sunt necesare peste 16.000 de ghiciri.
Un computer modern poate, folosind un script, să ghicească cu ușurință aproximativ 1-2 milioane de astfel de adrese pe secundă. De aici putem estima cu ușurință cât timp ne-ar lua să găsim numele de domeniu dorit. Am putea folosi același proces pentru a încerca să rupem adresa .onion a altcuiva, dar graficele următoare vă arată că acest lucru nu va fi posibil.
Pentru a genera o adresă bună, memorabilă și estetică .onion, nu te vei limita doar la privirea primelor personaje. Puteți utiliza expresii obișnuite pentru a crea modele ușor de citit și de reținut.
Pentru a genera domeniul lor .onion facebookcorewwwi.onion, Facebook a luat un nou centru de date și a folosit peste 500.000 de nuclee pentru a genera domenii de mai multe ori până când au găsit unul care le-a plăcut..
A fost nevoie de Facebook peste o săptămână pentru a-și genera domeniul .onion, iar puterea de calcul ar fi costat aproximativ 100.000 USD în energie electrică.
Nik Cubrilovic, care a creat serviciul ascuns pentru Blockchain, spune că le-a luat doar 200-300 USD și aproximativ 24 de ore pentru a veni cu domeniul lor (blockchainbdgpzk.onion) folosind o instanță AWS G1 și un grup de șase carduri ATI.
ExpressVPN a folosit doar un singur computer cu un sistem de operare proaspăt instalat. Calculatorul nu a fost conectat la internet pentru a limita riscul ca un terț să pună mâna pe chei. A fost nevoie de aproximativ două săptămâni pentru a genera expresobutiolem.onion, precum și câteva alte domenii, mai puțin drăguțe.
.securitatea adresei cepei
Deși nu veți putea sparge o cheie .onion cu laptopul sau chiar cu o mie de laptopuri, puteți fi capabil dacă găsiți un milion de calculatoare care au fiecare de aproximativ 10.000 de ori mai mult decât puterea de calcul a laptopului..
Chiar și atunci, s-ar putea să vă dureze câțiva ani, dar ceea ce sună astăzi scump de scump ar putea ajunge în curând la îndemâna unei agenții de trei scrisori bine finanțate și motivate.
În viitor, adresele .onion vor trebui actualizate sau va trebui găsită o nouă schemă. Cel puțin, cheia RSA va trebui extinsă (ExpressVPN folosește deja chei RSA cu o lungime de 4096 biți pentru serviciul său VPN) și algoritmul de hashing ar putea fi actualizat la un algoritm SHA-2.
Adresele Bitcoin, de exemplu, sunt create foarte similar cu adresele .onion, dar Bitcoin folosește curba eliptică ECDSA pentru a genera chei de 256 biți și aplică de două ori funcția de hashing SHA-256 pentru a obține adresa.
Unde urmează Tor și .onion?
Nu știm care va fi viitorul pentru certificatele TLS cu adresă .onion. Întrucât adresele .onion sunt greu de calculat, există puține riscuri de a fi copiate, dar utilizatorii pot fi în continuare păcăliți să urmărească o adresă similară și să ajungă să fii înșelat. Pentru a evita acest lucru, utilizatorul trebuie să verifice integritatea întregului domeniu, nu doar primele câteva caractere potrivite.
Certificatele TLS pot face acest proces mai ușor, dar necesită, de asemenea, deținătorul cheii .onion să le dezvăluie identitatea reală, ceea ce ar submina chiar scopul serviciului ascuns.
O alternativă ar fi utilizarea serviciilor de mapare precum Namecoin sau Blockstack pentru a crea un înlocuitor DNS descentralizat. Cu toate acestea, nu este clar cum un astfel de sistem ar putea face față cu ghemuirea numelor și phishing. În cele din urmă, viitorul poate aparține chiar și unor simple combinații de hașe criptografice lungi și cărți de adrese obișnuite.
Aveți propriile teorii despre viitorul domeniilor .onion? Împărtășește-ți gândurile în comentariile de mai jos!
17.04.2023 @ 16:43
Înțelegerea sistemului de nume de domeniu este importantă pentru oricine utilizează internetul. Este interesant să aflăm că există diferite niveluri de domenii, inclusiv domenii de nivel superior și subdomenii. Cu toate acestea, există și probleme de securitate asociate cu înregistrarea unui domeniu, cum ar fi riscul de a fi cenzurat sau de a avea domeniul confiscat de către atacatori. Serviciile de ceapă abordează aceste probleme prin utilizarea criptografiei și a altor trucuri. În plus, înțelegerea sistemului de nume de domeniu poate fi utilă pentru a înțelege cum funcționează rețeaua Tor și site-urile web .onion. Este important să fim conștienți de aceste probleme de securitate și să luăm măsuri pentru a ne proteja informațiile și site-urile web.