-------------------------------------------------------------------------------- Diese Shownotes wurden automatisiert aus extrahiert, siehe . -------------------------------------------------------------------------------- ## November 2017 **\* neue Onion-Services ((Zwiebel)dienste 3.0)** An wen richten wir uns? - an die Szene und an die Leute von Außerhalb, beide sollen vom Radio nicht verschreckt werden TODO - honky - \[x\] kürzbare (z.B. ohne Text) Music raussuchen - so 5 Stück mit Autor - - freemusicarchive top 100 - \[x\] Onion Service 5 Satz Erklärung - ~~Simon~~ - ~~Anfänge von Tor wo Navy drauf aufsetzt~~ - ~~Ich hab nichts gefunden .... lassen wir dann wohl weg~~ - Was ist Tor? - anonymes Internet im Internet - ~~\*hand wave\* Deep web \*still waving\* Dark Web~~ - ~~Tor kann derzeit theoretisch 200GB/s pushen, effektiv ist es weniger als die Hälfte~~ - ~~davon sind etwa 3% Onion Service Traffic~~ - ~~in Zahlen: \~1GB/s~~ - ~~Das ist ein Schneeball vom Eisberg~~ - ~~Ein Zählung der Onion Adressen (~~[~~https://metrics.torproject.org/hidserv-dir-onions-seen.html)~~](https://metrics.torproject.org/hidserv-dir-onions-seen.html)) ~~ergibt ähnliches~~ - Funktionsweise - als Nutzer einfach runterladen, ein Firefox ohne Install - Zwiebelschalenprinzip - Verteilung von Traffic auf verschiedene Relays - Gründe für Tor - Politische Systeme / Zensur, Überwachung - Werbenetzwerke / Malware - Diversität der Nutzerschaft (nicht nur politische Aktivisten!) - Geschichte Tors - Ausgangspunkt: »Untraceable electronic mail, return addresses, and digital pseudonyms« von Chaum - Später anon.penet.fi von Julf Helsingius - danach Cypherpunks-Remailer und Mixmaster-Remailer als praktische Anwendungen - Pfitzmann mit ISDN-Mixen - Einer der ersten Ideen zu Tor is »Hiding Routing Information« von Goldschlag, Reed und Syverson - Ursprungsidee aus Slovenien? 87/88 Mailboxen? - von ~~Navy Geheimdienst~~ Naval Research Lab (Forschungszweig der US Navy und USMC) - dann der Community übergeben - seit 15 Jahren in freier Hand und - überprüft und vertrauenswürdig - 200Gbit/s advertised Bandwith / 100 genutzt / 3% davon Onion Service - Anzahl der Nutzer - Gründe gegen Tor - Performance (in Deutschland und USA geringeres Hindernis als in Asien/Afrika) - Einschränkungen bei der Nutznug - Google Captchas --\> - Wikipedia nicht editierbar; Man kann Beantragen, dass der eigene Account von den IP-Blockierungen ausgenommen wird - weil man was anderes nutzt und das dem Zweck genügt - SPAM Lister - Tor is not foolproof - opsec mistakes - browser metadata fingerprints (chrome has proxy bypasses by design) - browser exploits - traffic analysis - Mythen über Tor - Navy wrote it ("Dingledine did it") ... but partly at NRL - NSA runs half the relays (they simply don't and if they don't have an incentive) - Tor is slow (it was but it's fasten when more happen to use it) - 80% of Tor users are doing bad things (normal users at 80% mostly facebook und google) - Nur 3% des Tor traffics sind onion services (Mai 2017) - - doing it, makes NSA watching me (they are watching anything) - i heard Tor is broken - Onion Services - Beispiele - Protokolle (http,https,ssh,irc,mail,…); Tor ist egal, was du transportierst (solange es TCP ist) - Secure Drop (New Yorker Strongbox, Guardian etc) WhistleBlowing Plattforms - Ricochet/briar/Tor Messenger, decentralised instant message; Jeder Nutzer ist ein onion service sind - - OnionShare OneTime-Website for Sharing files as e.g. Journalist - anonymous Updates (z.B. für Debian-Packete) apt-tor-transport - Facebook (largest "deep web" site) 1 Million people use Facebook over tor April 2016 - will direct tracking canvas malen :D - Arbeitgeber soll nicht sehen, dass ich den ganzen Tag nur Facebook nutze ;-) - NYTimes - - Google - Benutzung durch z.B. zensierende Systeme - - Funktionsweise - Step 1: Bob picks some introduction points and builds circuits to them - Step 2: Bob advertises his hidden service XYZ.onion at the Database "in the sky" (HSDIR all 96 hour relays) - Step 3: Alice hears that XYZ.onion exists and she requests more info at the database. She also sets up a rendevous point at a non IP relay. - Step 4: Alice writes a message to Bob (encrypted to PK) listing the rendevous point and a one-time secret and asks an introduction point to deliver it to bob - Step 5: Bob connects to the Alice's rendezvous point and provides her one-time secret (handshake + encryption) - Step 6: Bob and alice proceed to use there tor circuits like normal Zusammenfassung der Funktionsweise in wenigen Sätzen: Bob möchte für eine in seinem Land Absurdistan verbotene Demo/Partei/Religion eine unsperrbare Webseite anbieten. Hierfür legt er auf einem Server einen Onion-Service an, welcher sich eine Adresse generiert und es an 3-bzw.6 Relays (den Knotenpunkten des Tor Netzwerkes) bekannt gibt - die sogenannten Introduction Points. Anschließend druckt er diese Adresse auf einen Zettel und verteilt diesen in seiner Gruppe/Partei/Gemeinde. Alice bekommt einen dieser Zettel und tippt die Adresse in ihren Tor-Browser. Dieser kann anhand der Adresse und dem HSDir einen der 3. bzw. 6 Introduction Points kontaktierten. Außerdem gibt Alice ein anderes Relay als Treffpunkt mit (Rendevouz Point) vor und unterschreibt alles kryptografisch. Der kontaktierte Introduktionpoint gibt Bobs Onion-Service die Information "Da ist jemand, der deine Daten will und er wartet übrigends an Rendevouz Point dort drüben". Nun kontaktiert Bobs Service den RP und kann durch die Signatur beider Services sicherstellen nur mit Alice zu kommunizieren. Vorteile des Systems: - Alice kennt die Adresse/Guard von Bob nicht. - Bob kennt die Adresse/Guard von Alice nicht. - der Introductionpoint weiß nicht ob und welche Daten ausgetauscht wurden. - der Rendevouz Point weiß nichts von Alice und Bob - niemand in Absurdistan kann wissen, was über Bobs Seite ausgetauscht wurde, selbst wenn der Geheimdienst tor exit nodes betreibt. Cool things about it: Rendezvous Point doesn't know who alice or bob is, it is beeing used once knows nothing - Neuerungen (am besten auf das Beispiel beziehen) - each onion service picks 6 tor relays each day uses HS Directory - \#1 old onion keys are weak - was first 80 bits of SHA-1 of the 1024-bit RSA key (each word is bad news) short 16 chars - now: ED25519 long 52 chars (ed25519 public key base32 encoded) - \#2 Global shared random value (not predictable) - HSDir relays were predictable, and therefore bad guy runs 6 relays that would have been picted - \#3 new crypto hides the address - HSDirs get to learn onion addresses by running relays and learn unpublished onion addresses - now signing by subkey - implizites Signing - \#4 Rendevouz single onion services - 3hops by alice just one hop for bob (which can be located) - e.g. for Facebook, debian, … - \#5 Guard discovery is a big deal - Tor client uses a single relay (called guard) for the first hop - really bad for onion services - really good against other attacks -\> - Vanguards proposel - - Motivation - Erreichbarkeit - NAT Punching - Anonymität != Verschlüsselung - "We kill people based on metadata" - Anbieter des Service - Nutzer des Service - Serverzugriff - Angriffe auf Onion Services - Tor Adresse vorlesen - Wohin soll diese zeigen? - \* Warum nutzen wir Tor? \* congress vom 27.-30. in Leipzig \* congress everywhere \* chaosZone assembly Links: Vortrag: auch gut: (ab Minute 30) \<- 200 GBit/s advertised, 100 GBit/s used) \<- 1 to 2 GBit/s used for onion traffic \<- onion address (version 2) berechnen für die Zukunft