865 एन्क्रिप्शन टूल से अधिक हैं दुनिया भर में उपयोग में, सभी एक आम समस्या के विभिन्न पहलुओं को संबोधित करते हैं। लोग सूचनाओं को संरक्षित करना चाहते हैं: दमनकारी सरकारों से हार्ड ड्राइव, स्टॉलर्स से भौतिक स्थान, पीढ़ी उत्सुक निगमों से ब्राउज़िंग इतिहास या पड़ोसी पड़ोसीों से फोन पर बातचीत। वे सभी क्रिप्टोग्राफी पर भरोसा करते हैं, एक नाजुक शिल्प जब स्नूपर के प्रयासों के बावजूद सुरक्षित संचार सक्षम हो जाता है।

हालांकि, खराब क्रिप्टोग्राफी दूरी सुरक्षा सुरक्षा छेद खोल सकता है, एक भाग्य जो हो चुका है बहुत लोकप्रिय सिस्टम। लेकिन तकनीकी ज्ञान और अनुभव के बिना, उपयोगकर्ताओं को अच्छे और बुरे उपकरणों के बीच का अंतर तब तक नहीं पता जब तक कि बहुत देर तक नहीं हो।

सबसे लोकप्रिय क्रिप्टोग्राफिक उपकरणों में से एक - साथ में दो लाख दैनिक उपयोगकर्ताओं - है टो, गुमनाम रूप से इंटरनेट ब्राउज़िंग के लिए एक नेटवर्क यह स्वयंसेवकों के एक बड़े समूह पर निर्भर करता है, जिनमें से कुछ अज्ञात हैं, जो सिस्टम पर भरोसा करने के बारे में सवाल उठा सकते हैं। अगर विशेषज्ञ उपयोगकर्ता और डेवलपर्स के पास संदिग्ध व्यवहार का पता लगाने के उपकरण थे, तो वे समस्याओं को दूर कर सकते हैं, विश्वसनीयता में सुधार कर सकते हैं - और विश्वसनीयता - सभी के लिए

टोर को समझना

लोग विभिन्न कारणों के लिए टो का उपयोग करते हैं: रोगों के शोध के लिए, घरेलू दुरुपयोग से खुद को बचाने के लिए, कंपनियों को प्रोफ़ाइल देने से रोकना या देशव्यापी सेंसरशिप को निरोधक बनाना, बस कुछ ही नाम देना टो यह एक उपयोगकर्ता की पहचान को अपने ऑनलाइन गतिविधि से decoupling द्वारा करता है उदाहरण के लिए, जब टो का उपयोग किया जाता है, तो फेसबुक जैसी वेबसाइटों का पता नहीं चल सकता है कि उपयोगकर्ता किन शारीरिक रूप से स्थित है, और इंटरनेट सेवा प्रदाता कंपनियों को यह नहीं पता है कि ग्राहक किस साइट पर जा रहे हैं

यह प्रणाली एक उपयोगकर्ता को इच्छित वेबसाइट पर एन्क्रिप्टेड कनेक्शन के अनुक्रम पर कंप्यूटर से कनेक्ट करने के लिए कनेक्ट करती है, जो नेटवर्क में भाग लेने के लिए साइन अप करते हैं। रिले अनुक्रम में पहला कंप्यूटर, जिसे "एंट्री गार्ड" कहा जाता है, उपयोगकर्ता के नेटवर्क पते को जानता है, क्योंकि वह आने वाले ट्रैफ़िक को स्वीकार करता है लेकिन क्योंकि सामग्री एन्क्रिप्ट की गई है, वह कंप्यूटर नहीं जानता है कि उपयोगकर्ता ऑनलाइन क्या कर रहा है

श्रृंखला में दूसरा कंप्यूटर नहीं जानता है कि उपयोगकर्ता कहां है, और ट्रैफ़िक के साथ केवल "एक्जिट रिले" कहलाता है। यह कंप्यूटर उपयोगकर्ता की इंटरनेट गतिविधि को डिक्रूट करता है और अनएन्क्रिप्टेड इंटरनेट के साथ डेटा का आदान-प्रदान करता है। निकास रिले को पता है कि उपयोगकर्ता ऑनलाइन क्या कर रहा है, लेकिन यह आसानी से नहीं पहचान सकता कि यह कौन कर रहा है।

एक बार बाहर निकलने के रिले को इंटरनेट से जानकारी मिलती है, यह इसे एन्क्रिप्ट करती है और इसे श्रृंखला में पिछली कड़ी में वापस भेजती है। जब तक मूल कंप्यूटर डेटा प्राप्त न कर लेता है और उपयोगकर्ता के लिए प्रदर्शित करता है, तब तक प्रत्येक लिंक एक ही काम करता है।

टो नेटवर्क की संरचना टोर ग्राहक बेतरतीब ढंग से तीन रिले चुनते हैं जो क्लाइंट और सर्वर के बीच नेटवर्क यातायात को आगे बढ़ाते हैं- उदाहरण के लिए, फेसबुक जबकि टो आंतरिक नेटवर्क यातायात (ठोस हरे रंग की रेखा को देखें) को एन्क्रिप्ट करता है, यह समझना महत्वपूर्ण है कि टो एक बार एक बार नेटवर्क नेटवर्क को एन्क्रिप्ट नहीं कर सकता जब वह टोवर नेटवर्क छोड़ देता है (बिंदीदार लाल रेखा देखें)। फिलिप शीतकालीन

अधिकांश लोग इस माध्यम से टो नेटवर्क का उपयोग करते हैं टो ब्राउज़र। यह लोकप्रिय फ़ायरफ़ॉक्स वेब ब्राउज़र का एक संशोधित संस्करण है, जिसमें उपयोगकर्ताओं की गोपनीयता की रक्षा के लिए अतिरिक्त सुविधाएं हैं। इनमें कॉन्फ़िगर योग्य सुरक्षा स्तर और ऐड-ऑन जैसे शामिल हैं HTTPS-हर जगह (जब भी संभव हो सुरक्षित वेब कनेक्शन का उपयोग करें) और NoScript (जावास्क्रिप्ट की कुछ कमजोरियों को कम करने के लिए, अन्य बातों के अलावा)। उस के ऊपर, टो ब्राउज़र का कार्यान्वयन तकनीकों को लोगों को ऑनलाइन ट्रैक करना कठिन बनाना। उदाहरण के लिए, यह फ्लैश अक्षम करता है और केवल कुछ फोंट का उपयोग करता है, वेबसाइटों को रोकने से वे स्थापित फोंट के आधार पर उपयोगकर्ताओं को पहचानते हैं.

कोड पर विश्वास करना

टोर सॉफ्टवेयर को विकसित और वितरित किया जाता है जिसे एक गैर-लाभकारी संस्था द्वारा वितरित किया जाता है Tor परियोजना। लोग टॉअर का उपयोग मुफ्त में करते हैं; धन जैसे समर्थकों से आता है व्यक्तियों, कंपनियां, गैर-लाभकारी संस्थाएं और सरकारें। चिंताओं के प्रति संवेदनशील है कि बड़े फंडर्स जनता को चिंता कर सकते हैं कि वास्तव में नियंत्रण में कौन है, संगठन अपनी वित्तीय स्वतंत्रता को सुधारने के लिए काम कर रहा है: हाल ही में इसकी पहली फ़ेडरफ़ंडिंग अभियान यूएस $ 200,000 से अधिक बढ़ाया।

इसके अलावा, टो प्रोजेक्ट गोपनीयता के लिए अपने समर्पण के बारे में स्पष्ट रूप से व्यक्त किया गया है, जिसमें एबीआई के एन्क्रिप्शन सॉफ़्टवेयर में एक जानबूझकर कमजोरी का निर्माण करके एफबीआई के एन्क्रिप्टेड आईफोन का उपयोग करने में मदद नहीं करने का निर्णय शामिल है - जिसे अक्सर "पिछला" कहा जाता है। टॉर प्रोजेक्ट घोषित, "हम अपने सॉफ्टवेयर को कभी भी बेकार नहीं करेंगे."

तकनीकी रूप से बोलते हुए, उपयोगकर्ता यह तय कर सकते हैं कि क्या इसे स्वतंत्र रूप से सत्यापित करके टो सिस्टम पर भरोसा करना है या नहीं। स्रोत कोड है आसानी से उपलब्ध, और टो प्रोजेक्ट सभी ~ 200,000 लाइनों का निरीक्षण करने के लिए लोगों को प्रोत्साहित करती है। ए हाल ही में बनाया बग बाउंटी कार्यक्रम डेवलपर्स और शोधकर्ताओं को सुरक्षा समस्याओं की पहचान करने और उनके बारे में प्रोजेक्ट प्रोग्रामर को प्रोत्साहित करना चाहिए।

हालांकि, अधिकांश लोग स्रोत कोड से अपने स्वयं के निष्पादन योग्य कार्यक्रमों का निर्माण नहीं करते हैं। इसके बजाय, वे डेवलपर्स द्वारा प्रदान किए गए प्रोग्राम का उपयोग करते हैं। हम उनकी विश्वसनीयता का मूल्यांकन कैसे कर सकते हैं? टोर के सॉफ्टवेयर विज्ञप्ति को आधिकारिक क्रिप्टोग्राफ़िक हस्ताक्षरों के साथ हस्ताक्षरित किया जाता है, और एन्क्रिप्टेड और प्रमाणीकृत कनेक्शन के माध्यम से डाउनलोड किया जा सकता है ताकि उपयोगकर्ताओं को आश्वस्त किया जा सके कि वे असली टोर सॉफ्टवेयर डाउनलोड करते हैं जो हमलावरों द्वारा संशोधित नहीं किए गए थे।

इसके अतिरिक्त, टो ने हाल ही में "प्रतिलिपि प्रस्तुत करने योग्य बनाता है"संभव है, जो स्वयंसेवा को यह सत्यापित करने की अनुमति देता है कि टो द्वारा वितरित निष्पादन योग्य कार्यक्रमों में छेड़छाड़ नहीं हुई है यह उन उपयोगकर्ताओं को आश्वस्त कर सकता है, उदाहरण के लिए, निष्पादन योग्य प्रोग्राम बनाने वाले टोर प्रोजेक्ट के कंप्यूटर समझौता नहीं किए जाते हैं।

नेटवर्क पर विश्वास करना

हालांकि सॉफ़्टवेयर को टो प्रोजेक्ट द्वारा विकसित किया गया है, नेटवर्क दुनियाभर के स्वयंसेवकों द्वारा चलाया जाता है, एक साथ ऑपरेटिंग मई 7,000 के रूप में 2016 रिले कंप्यूटर.

कुछ संगठनों इस तथ्य का प्रचार करते हैं कि वे एक या अधिक रिले संचालित करते हैं, लेकिन बहुत से लोग अलग-अलग ऑपरेटरों द्वारा चलाए जाते हैं जो उनकी भागीदारी की घोषणा नहीं करते हैं मई 2016 के अनुसार, टोर रिले के एक तिहाई से अधिक ऑपरेटर के साथ संपर्क में आने का कोई रास्ता नहीं पेश करता है।

इतने अज्ञात प्रतिभागियों के साथ नेटवर्क पर भरोसा करना मुश्किल है बस खुली वाई-फाई स्पॉट के साथ कॉफी की दुकानों की तरह, हमलावरों हवा या नेटवर्क पर यातायात को रोक सकते हैं टोरी उपयोगकर्ताओं पर चलने वाले रिले और स्नूपिंग चलाना.

बुरे कलाकारों को ढूँढना और निकालना

टोर उपयोगकर्ताओं को इन समस्याओं से बचाने के लिए, मेरी टीम और मैं दो नि: शुल्क सॉफ्टवेयर टूल्स विकसित कर रहा हूं - जिसे कहा जाता है exitmap और sybilhunter - जो टोर परियोजना को "बुरा" रिले की पहचान करने और ब्लॉक करने की अनुमति देता है ऐसे खराब रिले, उदाहरण के लिए, पुराने टॉर रिले सॉफ़्टवेयर का इस्तेमाल कर सकते हैं, नेटवर्क यातायात को गलत तरीके से या दुर्भावनापूर्ण रूप से टो उपयोगकर्ताओं के पासवर्ड चोरी करने का प्रयास कर सकते हैं।

Exitmap से बाहर निकलें परीक्षण रिले, हज़ार या तो कंप्यूटर जो टो नेटवर्क और इंटरनेट के बाकी के बीच के अंतर को पुल करते हैं। यह सभी रिले के संचालन की तुलना करके यह करता है उदाहरण के लिए, एक परीक्षक सीधे- बिना टोवर के फेसबुक तक पहुंच सकता है - और डिजिटल हस्ताक्षर रिकॉर्ड करता है, साइट उन उपयोगकर्ताओं को आश्वस्त करने के लिए उपयोग करती है जो वे वास्तव में फेसबुक से बात कर रहे हैं फिर, एग्ज़ेक्सएमएप चलाना, परीक्षक हजारों से बाहर निकलने वाले रिले के माध्यम से फेसबुक से संपर्क करेगा, फिर डिजिटल हस्ताक्षर रिकॉर्ड करेगा। किसी भी टोर रिले के लिए जो सीधे फेसबुक से भेजे गए हस्ताक्षर से अलग हस्ताक्षर प्रदान करते हैं, exitmap एक चेतावनी उठाती है

हमारे अन्य उपकरण, सिलेबर्ट, एक ऐसे व्यक्ति के नियंत्रण में हो सकते हैं जो रिले के सेट की तलाश करता है, जैसे कि कोई व्यक्ति जो हमला शुरू करने के लिए उसकी रिले का इस्तेमाल कर सकता है। अन्य चीजों के अलावा, सिबिलहेंचर ऐसे चित्र बना सकते हैं जो बताते हैं कि जब टॉर रिले में शामिल हो और नेटवर्क छोड़ दें रिले जो एक ही समय में शामिल होने और छोड़ना एक व्यक्ति द्वारा नियंत्रित किया जा सकता है

जनवरी 2014 के भाग के लिए कुछ टोर रिले के अपटाइम का विज़ुअलाइज़ेशन। पिक्सल की हर पंक्ति एक घंटे का प्रतिनिधित्व करती है, जबकि पिक्सेल्स के प्रत्येक स्तंभ एक रिले का प्रतिनिधित्व करता है। एक ब्लैक पिक्सेल बताता है कि एक रिले ऑनलाइन था, और एक सफेद पिक्सेल दर्शाता है कि रिले ऑफ़लाइन था लाल ब्लॉक अत्यधिक सहसंबंधित रिले को उजागर करते हैं, जो एक ही व्यक्ति द्वारा संचालित किया जा सकता है। फिलिप शीतकालीन

हमारे अनुसंधान ने कई तरह के दुर्व्यवहार रिले की पहचान की है कुछ लोगों ने फेसबुक जैसे लोकप्रिय साइटों के लिए उपयोगकर्ता की लॉगिन जानकारी चुराने की कोशिश की। समान रूप से आम रिले थे जो देशव्यापी सेंसरशिप सिस्टम के अधीन थे, कुछ प्रकार की वेबसाइटों तक पहुंच को अवरुद्ध करते हैं, जैसे अश्लील साहित्य हालांकि रिले ऑपरेटरों ने स्वयं नतीजे नहीं बदलते हैं, यह टो नेटवर्क दर्शन के खिलाफ जाता है कि इसके उपयोग में सामग्री फ़िल्टरिंग शामिल नहीं होनी चाहिए। हमने कुछ निकास रिले की खोज की जो बिटकॉइन वर्चुअल मुद्रा लेनदेन के साथ हस्तक्षेप करते हुए टो उपयोगकर्ताओं के पैसे चोरी करने की कोशिश की।

इन परिणामों को उचित परिप्रेक्ष्य में देखना महत्वपूर्ण है हालांकि कुछ हमलों के बारे में दिखाई देते हैं, दुर्व्यवहार रिले स्पष्ट अल्पसंख्यक हैं, और अक्सर टो उपयोगकर्ताओं द्वारा नहीं आते हैं। यहां तक ​​कि अगर उपयोगकर्ता के बेतरतीब ढंग से चुनी गई निकास रिले दुर्भावनापूर्ण हो जाते हैं, तो टार ब्राउज़र में अन्य सुरक्षा विशेषताओं जैसे कि पहले उल्लेखित HTTPS-everywherewhere, हानि को कम करने के लिए सुरक्षा उपायों के रूप में कार्य करें।

के बारे में लेखक

फिलिप शीतकालीन, कंप्यूटर विज्ञान में पोस्ट डॉक्टरल रिसर्च एसोसिएट, प्रिंसटन विश्वविद्यालय

यह आलेख मूलतः पर प्रकाशित हुआ था वार्तालाप। को पढ़िए मूल लेख.

संबंधित पुस्तकें

at इनरसेल्फ मार्केट और अमेज़न