Как да генерирате .onion адрес на Tor
В интернет, тъй като повечето хора го използват, име на домейн (например expressvpn.com) се регистрира чрез регистратор. Обикновено плащате такса за това.
Частта след точката вдясно на домейна, като „.com“ или „.ca“, се нарича домейн от най-високо ниво. Често това е кодът на дадена държава, но съществуват и някои общи домейни от най-високо ниво като „.Web сайт“. Наскоро компаниите дори успяха да регистрират свои собствени домейни от най-високо ниво, като „.apple“.
Тези домейни от най-високо ниво се присвояват от Интернет корпорация за присвоени имена и номера (ICANN). Ако искате да създадете свой собствен домейн от най-високо ниво, ще трябва да изпратите предложението си и вероятно ще платите много пари за него.
Частта преди точката, отляво на домейна, е поддомейнът. Когато купувате име на домейн, като например вашето име.com, можете да създадете поддомейни и да ги насочите към отделни сървъри (например blog.yourname.com или chat.yourname.com).
След като регистрирате свой домейн с регистратор (или дори домейн от най-високо ниво с ICANN), можете да насочите този домейн към IP адреса на вашия уебсайт с помощта на сървър на имена.
За безплатен и отворен интернет това създава различни проблеми.
Ако ICANN ви отведе нехаресване по някаква причина, те могат просто да ви отнемат домейна и да го дадат на някой друг.
Нападателят може да получи достъп до вашия акаунт при регистратора и да го насочи към собствения си сървър. Те могат да използват това за фиширане на пароли и друга привилегирована информация от вашите потребители. Вашият сървър винаги е лесно разпознаваем чрез вашия домейн, което улеснява цензурирането или конфискуването на услугата ви.
.лукови услуги адресират всички тези проблеми чрез умна криптография и няколко трика.
Хеш на публичен ключ
.сайтове за лук, като tp7q4m5ln4yhk5os.onion, не са регистрирани. Вместо това те са хеш на публичен ключ.
За да бъдем точни, те са първата половина на кодирания SHA-1 на публичен ключ, основан на32, от 1024-битова двойка RSA ключове с наставката „.onion“.
Резултатът е, че име на домейн .onion ще бъде с дължина 16 знака и може да съдържа само малки букви от a до z и цифрите от 2 до 7.
Когато въведете .onion адрес в браузъра си Tor, за разлика от обикновен домейн, не търсите IP адрес на DNS сървър. Вместо това питате директория за скрити услуги, която всеки може доброволно да стартира.
Ако директорията за скрита услуга, която искате, знае как да намери сървъра, който търсите, ще бъдете насочени към уебсайта, без да се разкрива местоположението му (научете повече за това как Tor работи тук).
.разпознаване на лук от интернет регистратори
Тъй като тази функционалност работи само в мрежата Tor, ще можете да търсите уебсайтове .onion само през браузъра Tor. Ако някога ICANN издаде домейни с завършващия .onion, това обаче може да създаде много объркване, тъй като скритите услуги и сайтове в обикновената мрежа ще разрешат един и същ адрес по два различни начина, водещи до два различни сайта.
Това обаче не е много вероятно, тъй като ICANN вероятно ще разпознае широкото възприемане и използване на мрежата Tor и със сигурност би искал да избегне объркване в системата за имена на домейни.
Работната група по интернет инженеринг, IETF, която разработва и поддържа интернет стандарти като TCP / IP, вече официално призна домейна .onion в това, което беше приветствано като забележително решение през 2015 г. Това решение дойде след тежко лобиране от проекта Tor и го направи възможно е Facebook да получи цифров TLS сертификат.
TLS не е необходим в мрежата на Tor за криптиране, тъй като връзката вече е шифрована от край до край между .onion сървър и потребителя. Сертификатът обаче улеснява потребителя да провери дали се свързва с правилния сървър и предоставя допълнителна бариера за атакуващ.
Получаване на адрес на суета .onion
Когато генерирате .onion адрес, той ще изглежда доста случаен, какъвто е случаят с всеки хеш. Статистически погледнато, ако създадете достатъчно такива адреси, веднъж след време ще се натъкнете на случаен принцип върху един, който всъщност е четим.
За всяка позиция има 32 възможни знака. Ако искате да намерите адрес, който започва с e, очаквате да се досетите около 16 пъти. Ако искате адрес, започващ с ex, вече трябва да отгатнете (32 * 32) / 2 = 512 пъти. За опит, са необходими над 16 000 догадки.
Съвременният компютър може, използвайки скрипт, лесно да отгатне около 1-2 милиона такива адреси в секунда. От тук можем лесно да преценим колко време ще ни отнеме да намерим името на домейна, което искаме. Бихме могли да използваме същия процес, за да се опитаме да пробием адреса на някой друг .onion, но следващите диаграми ви показват, че това няма да е възможно.
За да генерирате добър, запомнящ се и естетичен .onion адрес, няма да се ограничавате просто да разгледате първите знаци. Можете да използвате регулярни изрази, за да създадете модели, които са лесни за четене и запомняне.
За да генерира своя .onion домейн facebookcorewwwi.onion, Facebook взе нов център за данни и използва над 500 000 ядра за генериране на домейни отново и отново, докато не намери такъв, който им харесва.
На Facebook беше необходима повече от една седмица, за да генерира техния домейн .onion, а изчислителната мощност би струвала около 100 000 щатски долара електричество.
Ник Кубрилович, който създаде скритата услуга за Blockchain, казва, че са им нужни само 200-300 USD и около 24 часа, за да излязат с домейна си (blockchainbdgpzk.onion), използвайки AWS G1 инстанция и клъстер от шест ATi карти.
ExpressVPN използва само един компютър с току-що инсталирана операционна система. Компютърът не е бил свързан с интернет, за да ограничи риска трета страна да се хване за ключовете. Отне около две седмици за генериране на expressobutiolem.onion, както и няколко други, по-малко хубави домейни.
.лук адрес сигурност
Въпреки че не бихте могли да взломите ключ с .onion с вашия лаптоп или дори хиляда лаптопи, може би ще успеете, ако намерите милион компютри, всеки от които има около 10 000 пъти по-голяма от компютърната мощност на вашия лаптоп днес.
Дори тогава може да ви отнеме няколко години, но това, което днес звучи възмутително скъпо, скоро може да попадне в обхвата на добре финансирана и мотивирана агенция с три букви.
В бъдеще адресите на .onion ще трябва да бъдат надградени или ще трябва да се намери нова схема. Най-малкото, ключът RSA ще трябва да бъде разширен (ExpressVPN вече използва RSA ключове с дължина 4096 бита за своята VPN услуга) и алгоритъмът на хеширане може да бъде надстроен до SHA-2 алгоритъм.
Биткойн адресите например са създадени много подобно на .onion адреси, но Bitcoin използва елиптичната крива ECDSA за генериране на ключове от 256 бита и прилага SHH-256 хеширащата функция два пъти, за да извлече адреса.
Където за Тор и .onion?
Не знаем какво ще има бъдещето за сертификатите за .onion адрес TLS. Тъй като .onion адресите са трудни за изчисляване, има малък риск те да бъдат копирани, но потребителите все още могат да бъдат подмамени да следват подобен адрес и да получат фишинг. За да избегне това, потребителят трябва да провери целостта на целия домейн, а не само на първите няколко съвпадащи знака.
TLS сертификатите потенциално улесняват този процес, но той също изисква притежателя на ключа .onion да разкрие истинската им идентичност. Това би подкопало самата цел на скритата услуга.
Една алтернатива би била използването на услуги за картографиране като Namecoin или Blockstack, за да се създаде децентрализирана DNS замяна. Не е ясно обаче как такава система може да се справи с клякането на имена и фишинга. В крайна сметка бъдещето може дори да принадлежи на прости комбинации от дълги криптографски хеши и обикновени адресни книги.
Имате ли свои теории за бъдещето на .onion домейните? Споделете мислите си в коментарите по-долу!
Leland
17.04.2023 @ 16:43
В интернет, както повечето хора го използват, името на домейн (например expressvpn.com) се регистрира чрез регистратор. Обикновено плащате такса за това. Частта след точката вдясно на домейна, като „.com“ или „.ca“, се нарича домейн от най-високо ниво. Често това е кодът на дадена държава, но съществуват и някои общи домейни от най-високо ниво като „.Web сайт“. Наскоро компаниите дори успяха да регистрират свои собствени домейни от най-високо ниво, като „.apple“. Тези домейни от най-високо ниво се присвояват от Интернет корпорация за присвоени имена и номера (ICANN). Ако искате да създадете свой собствен домейн от най-високо ниво, ще трябва да изпратите предложението си и вероятно ще платите много пари за него. Частта преди точката, отляво на домейна, е поддомейнът. Когато купувате име на домейн, като например вашето име.com, можете да създадете поддомейни и да ги насочите към отделни сървъри (например blog.yourname.com или chat.yourname.com). След като регистрирате свой домейн с регистратор (или