Tor funciona creando una cadena de nodos (otros usuarios de Tor) entre Alice y Bob. Cada conexión en la cadena se cifra por separado, de modo que solo el nodo correcto puede leer su carga útil asignada. Esto se aplica mediante la criptografía asimétrica para distribuir las claves. Cuando cada nodo recibe un mensaje, elimina su capa de cifrado asignada, revelando sus instrucciones y la carga útil para entregar al siguiente nodo.
(key3)
(key2) (key3)
*(key1) *(key2) *(key3)
Alice ---> Node1 ---> Node2 ---> Node3 ---> Bob
Este sistema garantiza que un nodo solo sepa de qué nodo recibió el mensaje y a qué nodo enviarlo. Dado que el origen del mensaje (en este caso, Alice) envía una carga útil estándar, Node1 no sabe si Alice es la fuente o simplemente otro nodo en una cadena. Nodo2 sabe quién es Nodo1, pero no sabe si es el origen del mensaje o un nodo en la cadena. Node3 sabe que es el nodo de salida (a menos que Bob se esté ejecutando como un servicio oculto de Tor, en cuyo caso el cifrado se mantiene directamente en la puerta de su casa) y sabe que Node2 le dio el mensaje, pero no tiene idea de quién se originó el mensaje. Por lo tanto, en ningún momento un nodo conoce el origen y el destino.
Ahora, ¿cómo atacaríamos a Tor? Lo primero que hay que recordar es que cada cadena debe tener algún tipo de identificador. En este caso, el mejor identificador es una conexión TCP. Si sabemos que Node3 creó una conexión TCP con Bob, podemos buscar conexiones a Node3 que comenzaron aproximadamente al mismo tiempo. Esto nos da la dirección IP de Nodo2. Lo mismo se puede aplicar a cada nodo de la cadena, hasta que no tengamos una conexión correlativa. En teoría, podemos usar esto para rastrear personas a través de Tor. En la práctica, es un poco más difícil.
Bluffdale solo desvía el tráfico que pasa por los nodos del nivel 1 en los Estados Unidos, mientras que Tor tiene nodos que operan en todo el mundo. Además, Tor intenta activamente distribuir geográficamente los nodos en una cadena. De hecho, estoy relativamente seguro de que intenta evitar tener el primer nodo en el mismo país que el último nodo, pero no estoy seguro de eso. De todos modos, supongamos que Node3 está en América, bien al alcance de Bluffdale. Es posible que tenga acceso a los registros de conexión hacia y desde Node3, no tiene forma de saber dónde se conectaron las conexiones, ya que Nodo2 está en Rusia y Nodo1 en España. ¡Buena suerte al presentar citaciones allí!
Hay otros ataques que correlacionan el tráfico cuando tanto el origen como el objetivo están dentro de sus registros, pero son mucho más probabilísticos, lo que dificulta la vida de las autoridades si necesitan obtener una orden judicial. Sin embargo, les proporciona pistas para investigar.
Entonces, mientras Bluffdale representa un ataque teórico contra la red Tor, hay muchas variables a considerar antes de que puedan montar un ataque práctico. En una nota un poco más tranquilizadora, este proyecto cuesta millones de dólares por año para ejecutar, por lo que la utilización se centrará en amenazas de alta prioridad. La NSA no va a malgastar dinero rastreando a las pequeñas tarjetas de crédito y miembros anónimos cuando tienen el terrorismo internacional en su plato, por lo que ciertamente no se molestarán en leer los correos electrónicos de un internauta al azar.