¿Descargando a través de Tor o no Tor? [duplicar]

Hay un par de respuestas diferentes a esto dependiendo de las circunstancias ...

Descargas de igual a igual (como torrents o redes de intercambio de archivos)

Si está hablando de descargar datos ilegalmente (por ejemplo, datos con derechos de autor en muchos países), no debería hacerlo en primer lugar. Sé un hombre y descarga esa película a través de internet normal. Si descarga muchos datos de esta manera, está utilizando una gran cantidad de CPU y ancho de banda de varios servidores de todo el mundo y básicamente está obstruyendo la red. Eso también es algo que no debes hacer porque la red dejará de ser posible si demasiadas personas lo hacen.

Si necesita descargar muchos datos de forma anónima y tiene un propósito real para ser anónimo (p. ej., es un periodista que escribe un artículo sobre pornografía infantil), sea mi invitado y use esos recursos .
Si eres alguien que quiere jugar los últimos juegos sin pagar, bueno, creo que sabes a dónde va esto.

Descargas de sitios web

Y NO estás usando https

Al conectarse a través de Tor a Internet abierta (cualquier dirección http: // o ftp: //), Tor básicamente funciona como un servidor proxy. El sitio web que descarga desde envía datos, unos cuantos nodos de la red Tor lo envían y, finalmente, termina con usted. Es decir, si todo va como debería.

Lo que Tor también hace es cifrar el tráfico dentro de la red Tor. Esto significa que no es posible ningún ataque MITM en su red local (por ejemplo, una red WiFi insegura). Así que esta es una ventaja para usar Tor para descargar cosas.

Por otra parte, está voluntariamente procesando su tráfico a través de al menos otro extraño en Internet que puede modificar el tráfico como lo desee. También es un riesgo a considerar, así que asegúrese de validar las sumas de comprobación si están disponibles.

Y, por supuesto, como siempre, Tor también enmascara su dirección IP (y por lo tanto la posibilidad de encontrar su ubicación física), que funciona especialmente bien cuando está utilizando el sistema operativo Tails o el paquete del navegador Tor.

Si está utilizando https

El único valor agregado de Tor en este caso es que ocultará su dirección IP.

Si está visitando un sitio web .onion y descargando desde allí

Esto funciona de manera muy similar a https, excepto que ahora no solo enmascara su dirección IP, sino que también enmascara la dirección IP del servidor. Las autoridades policiales y otros, básicamente, no pueden controlar que alguien haya descargado un archivo de ese servidor. Hace que el servidor sea tan anónimo como usted.

Note que técnicamente es posible desenmascarar a las personas que usan Tor si alguien realmente quiere gastar millones (¿miles de millones?) en él, pero esto no suele ser el caso. Si esto es una preocupación, lea más acerca de cómo funciona Tor, esta respuesta ciertamente no es suficiente.

Tor funciona como cualquier otra interfaz de red. El sitio que sirve los datos no sabe que un nodo Tor lo está solicitando. Si obtiene el mismo archivo desde la misma ubicación, ambos tendrán contenidos idénticos.

Pero perderá todo el anonimato que Tor ofrece. Puedes regalarte solo con navegar por el mismo sitio, no es necesario descargar para que se realice un seguimiento de tu actividad.     

1 El nodo de salida malintencionado puede modificar los archivos descargados a través de él de manera maliciosa. TorProject tiene un bot para detectar y prohibir dichos nodos, pero no ayudará si el nodo de salida actúa maliciosamente con baja frecuencia.

2 HTTPS puede ayudar y no puede ayudar, depende de su modelo de amenaza. Si trata de evitar las NSA o agencias poderosas similares, https no es suficiente en la mayoría de los casos: los sitios web podrían verse obligados a revelar sus claves privadas y / o efímeras a dichas agencias, e incluso la fijación de claves públicas no ayudará. En el caso de que un adversario no tenga acceso a las claves de los sitios web, pero tenga acceso a las claves de las AC o se les otorgue un certificado de CA intermedio, puede volver a emitir los certificados. En este caso, pkp ayudará.

3 Puede descargar y verificar las claves gpg y luego verificar los archivos suministrados con la firma, si cree que la clave pública no está comprometida.