כיצד ליצור כתובת .onion ב- Tor
באינטרנט, כמו שרוב האנשים משתמשים בו, שם תחום (למשל expressvpn.com) נרשם באמצעות רשם. בדרך כלל אתה משלם אגרה עבור זה.
החלק שאחרי הנקודה בצד ימין של הדומיין, כמו “.com” או “.ca”, נקרא התחום ברמה העליונה. לעתים קרובות זהו הקוד של מדינה, אך קיימים גם תחומים כלליים ברמה העליונה כמו “.website”. לאחרונה חברות אפילו הצליחו לרשום דומיינים ברמה העליונה שלהן, כמו “.apple”.
תחומים ברמה העליונה האלה מוקצים על ידי תאגיד אינטרנט לשמות ומספרים שהוקצו (ICANN). אם אתה רוצה ליצור דומיין ברמה העליונה שלך, תצטרך להגיש את ההצעה שלך, וכנראה שתשלם הרבה כסף עבור זה.
החלק שלפני הנקודה, משמאל לדומיין, הוא תת-הדומיין. כשאתה רוכש שם תחום, כגון yourname.com, אתה חופשי ליצור דומיינים ותצביע אותם על שרתים נפרדים, (למשל blog.yourname.com או chat.yourname.com).
לאחר שנרשמת דומיין משלך אצל רשם (או אפילו תחום ברמה העליונה עם ICANN), אתה יכול להפנות תחום זה לכתובת ה- IP של אתר האינטרנט שלך באמצעות שרת שמות..
עבור אינטרנט חופשי ופתוח זה יוצר בעיות שונות.
אם ICANN לא אוהב אותך, מכל סיבה שהיא, הם יכולים פשוט להסיר את הדומיין שלך ולתת אותו למישהו אחר.
תוקף יכול לקבל גישה לחשבון שלך עם הרשם ולהפנות אותו לשרת שלהם. הם יכולים להשתמש בזה כדי לדפדף סיסמאות ומידע מוגן אחר מהמשתמשים שלך. תמיד ניתן לזהות את השרת שלך בקלות דרך הדומיין שלך, מה שמקל על צנזורה או החרמת השירות שלך.
.שירותי בצל מטפלים בכל הבעיות הללו באמצעות קריפטוגרפיה חכמה וכמה טריקים.
חשיש של מפתח ציבורי
.אתרי בצל, כמו tp7q4m5ln4yhk5os.onion, אינם רשומים. במקום זאת, הם חשיפה של מפתח ציבורי.
אם לדייק, הם המחצית הראשונה של חשיפת ה- SHA-1 המקודדת של base32 של מפתח ציבורי, מצמד מפתחות RSA של 1024 סיביות עם סיומת “.onion”.
התוצאה היא ששם דומיין .onion יהיה באורך של 16 תווים ויכול להכיל אותיות קטנות בלבד a עד z והספרות 2 עד 7.
כשאתם מקלידים כתובת .onion בדפדפן ה- Tor, שלא כמו בתחום רגיל, אינכם מחפשים כתובת IP בשרת DNS. במקום זאת, אתה מבקש ספריית שירות מוסתרים, שכל אחד יכול להתנדב להפעיל.
אם ספריית השירות הנסתר שאתה מבקש יודעת למצוא את השרת שאתה מחפש, תועבר לאתר, מבלי שייחשף המיקום שלו (למידע נוסף על האופן בו טור עובד כאן).
.זיהוי בצל מרשמי אינטרנט
מכיוון שפונקציונליות זו פועלת רק ברשת Tor, תוכל לחפש אתרי אינטרנט בלבד. באמצעות דפדפן Tor. אם ICANN אי פעם היה מנפיק דומיינים עם סיום .onion, עם זאת, זה יכול היה ליצור הרבה בלבול, מכיוון ששירותים מוסתרים ואתרים ברשת הרגילה יפתרו את אותה כתובת בשתי דרכים שונות, מה שמוביל לשני אתרים שונים.
עם זאת, אין זה סביר מאוד, מכיוון ש- ICANN עשוי להכיר באימוץ והשימוש הרחב של רשת Tor ובהחלט ירצה למנוע בלבול בכל מערכת שמות הדומיינים..
כוח המשימה להנדסת אינטרנט, IETF, המפתח ושומר על תקני אינטרנט כמו TCP / IP, כבר הכיר רשמית בתחום .onion במה שנאמר כהחלטה נקודת ציון בשנת 2015. החלטה זו הגיעה לאחר שתדלנות כבדה מפרויקט טור והפכה אותו אפשרי לפייסבוק לקבל תעודת TLS דיגיטלית.
אין צורך ב- TLS ברשת Tor להצפנה, מכיוון שהחיבור כבר מוצפן מקצה לקצה בין שרת .onion למשתמש. עם זאת, אישור מקל על המשתמש לאמת שהוא מתחבר לשרת הנכון ומספק חסם נוסף עבור תוקף.
השגת כתובת יהירות
כשאתה יוצר כתובת .onion, היא תיראה אקראית למדי, כמו במקרה של חשיש כלשהו. עם זאת, מבחינה סטטיסטית, אם תיצור מספיק כתובות כאלה, אחת לזמן מה תוכל למעוד באקראי על כתובת שהיא למעשה קריאה..
לכל מיקום יש 32 תווים אפשריים. אם אתה רוצה למצוא כתובת שמתחילה ב- e, אתה מצפה לנחש בערך 16 פעמים. אם אתה רוצה כתובת שמתחילה ב- ex, אתה כבר צריך לנחש (32 * 32) / 2 = 512 פעמים. לצורך ההרחבה יש צורך במעל 16,000 ניחושים.
מחשב מודרני יכול, בעזרת סקריפט, לנחש בקלות 1-2 מיליון כתובות כאלה בשנייה. מכאן אנו יכולים להעריך בקלות כמה זמן ייקח לנו למצוא את שם הדומיין שאנחנו רוצים. אנו יכולים להשתמש באותו התהליך כדי לנסות לפצח את כתובת ה- monon של מישהו אחר, אך התרשימים הבאים מראים לך שזה לא יהיה אפשרי..
כדי ליצור כתובת יוניון טובה, בלתי נשכחת ואסתטית, לא תגביל את עצמך פשוט להסתכל על הדמויות הראשונות. אתה יכול להשתמש בביטויים רגילים כדי ליצור דפוסים שקל לקרוא ולזכור.
כדי ליצור דומיין .onion שלהם בפייסבוקcorewwwi.onion, פייסבוק לקחה מרכז נתונים חדש והשתמשה ביותר מ- 500,000 ליבות כדי ליצור דומיינים שוב ושוב עד שמצאו אחד שהם אוהבים..
לקח לפייסבוק יותר משבוע כדי לייצר את תחום ה- .onion שלהם, וכוח המחשוב היה עולה בסביבות 100,000 דולר בחשמל..
ניק קוברילוביץ ‘, שהקים את השירות הנסתר עבור Blockchain, אומר שלקח להם רק 200-300 דולר וכ- 24 שעות כדי לבוא עם התחום שלהם (blockchainbdgpzk.onion) באמצעות מופע AWS G1 ואשכול של שישה כרטיסי ATi.
ExpressVPN השתמש רק במחשב יחיד עם מערכת הפעלה שהותקנה לאחרונה. המחשב לא היה מחובר לאינטרנט כדי להגביל את הסיכון של צד שלישי לאחוז במפתחות. לקח כשבועיים כדי ליצור expressobutiolem.onion כמו גם כמה תחומים אחרים, פחות יפים.
.אבטחת כתובת בצל
אמנם לא תצליחו לפצח מפתח .onion עם המחשב הנייד שלך או אפילו אלף מחשבים ניידים, אך ייתכן שתוכל אם תמצא מיליון מחשבים שכל אחד מהם מכיל פי 10,000 מכוח המחשוב של המחשב הנייד שלך כיום..
גם אז זה אולי ייקח לך כמה שנים, אבל מה שנשמע יקר עד היום בצורה שערורייתית עשוי להגיע בקרוב לטווח של סוכנות בעלת שלוש אותיות ממומנות ומונעים.
בעתיד, יש לשדרג את כתובות ה- .onion, או שתצטרך למצוא סכמה חדשה. לכל הפחות, צריך להרחיב את מפתח ה- RSA (ExpressVPN כבר משתמש במפתחות RSA באורך של 4096 ביט עבור שירות ה- VPN שלו) וניתן לשדרג את אלגוריתם ה- hashing לאלגוריתם SHA-2.
כתובות ביטקוין, למשל, נוצרות בצורה דומה מאוד לכתובות יוניון, אך ביטקוין משתמש בעקומת האליפטית ECDSA כדי ליצור מפתחות של 256 ביטים ומיישם את פונקציית ה- Hash של SHA-256 פעמיים כדי לגזור את הכתובת..
איפה הבא לטור ולאוניון?
איננו יודעים מה העתיד להחזיק בתעודות TLS של כתובת. מכיוון שקשה לחשב כתובות .ionion, קיים סיכון מועט להעתקתן, אך עדיין ניתן להערים על המשתמשים לעקוב אחר כתובת דומה ולהתחלפן. בכדי להימנע מכך, המשתמש צריך לבדוק את שלמות הדומיין כולו, ולא רק את התווים הראשונים התואמים.
אישורי TLS עשויים להקל על התהליך הזה, אך הוא גם מחייב את בעל מפתח ה- .onion לחשוף את זהותם האמיתית. הדבר יפגע בעצם השירות הסמוי..
חלופה אחת תהיה להשתמש בשירותי מיפוי כמו Namecoin או Blockstack ליצירת תחליף DNS מבוזר. עם זאת, לא ברור כיצד מערכת כזו יכולה להתמודד עם כריעה ושיטת דיוג. בסופו של דבר, העתיד עשוי אף להשתייך לשילובים פשוטים של חשיפות קריפטוגרפיות ארוכות וספרי כתובות רגילים.
יש לך תיאוריות משלך לגבי עתיד תחומי ה- .onion? שתף את מחשבותיך בתגובות למטה!