¿OpenID, SAML representa una amenaza para el anonimato de Tor? ¿Cómo puedo protegerme de un nodo .exit comprometido?

9

Este es un experimento mental sobre la interacción entre Tor, OpenID y uno (o más) nodos comprometidos en la ruta segura. Estoy centrado en cómo usar la tecnología de manera que agregue valor a una solución de nube segura. No tengo ningún interés en utilizar esta tecnología para propósitos nefarios.

Caso de uso

Supongamos que tengo un servidor multiusuario donde cada cliente determina la visibilidad de su dominio. Por ejemplo: x.myhost.com puede elegir ser "público" y xyz.myhost.com es privado y solo se puede acceder mediante una dirección oculta .onion .

Según tengo entendido, hay dos formas de que un servidor interactúe con Tor:

  1. No haga nada, use SSL y confíe en que el último nodo de salida no se haya comprometido
  2. "Enganche" a la red Tor usando un servicio oculto y una dirección .onion

Amenazas

Por lo que entiendo, la sesión es vulnerable a un nodo .EXIT comprometido. Algunos hacks que he leído incluyen:

  • divulgación de datos protegidos por SSL
  • Pérdida de anonimato si el usuario utiliza muchos servicios en la misma red Tor, lo que permite la correlación

Pregunta

Ahora que el mundo se está moviendo hacia la autenticación basada en notificaciones, SAML y OpenID, ¿cómo debería usarse Tor con estas tecnologías, considerando que los nodos .exit podrían estar comprometidos? Dado que existen hacks de correlación, ¿debería usarse OpenID / SAML? Algunas preguntas que afectan a la arquitectura incluyen

  • ¿OpenID público es menos seguro que aquellos con autenticación basada en formularios?
  • ¿El uso de OpenID / SAML permite la correlación de sesión? ¿Algunos proveedores de OpenID son mejores que otros?
  • ¿Debe el servidor OpenID / SAML tener una dirección .onion? ¿Eso ayudará a prevenir los ataques de correlación?
  • ¿Hay ventajas de usar un servidor público de OpenID (Google / Yahoo) para uno privado (Microsoft ADFSv2)
pregunta random65537 05.06.2011 - 18:09
fuente

4 respuestas

5

No entiendo completamente tu pregunta, pero hay 2 formas de interactuar con los usuarios de TOR

1) Llegan a internet a través de TOR. Esto debe utilizar SSL / TLS. Como usuario de TOR que se conecta a Internet global, a menudo utilizo un Proxy SSL / TLS, como CGIProxy o PHProxy en Apache con PKI válida (por ejemplo, certificados SSL). También a menudo especifico un nodo de salida con .exit : a menudo se selecciona al clasificar el país de origen y Listas de rendimiento en Vidalia. El motivo de esto es que los nodos de salida no cifran su tráfico saliente de forma predeterminada, por lo que los únicos destinos web seguros son los destinos SSL / TLS (a menos que use un proxy SSL / TLS).

2) Están intentando alcanzar un nodo oculto de TOR en la jerarquía .onion . Si este es el caso, realmente no necesita SSL / TLS porque el tráfico está cifrado. Sin embargo, para mantener las sesiones, querrá apoyarse en el mecanismo HTTP típico: cookies (o similares, como hashses de datos similares a Panopticlick, si son lo suficientemente dispares). Esto sería completamente independiente de la red TOR, por lo que no veo ninguna razón por la que no pueda usar ninguna de las tecnologías que mencionó para producir sesiones válidas basadas en cookies.

    
respondido por el atdre 05.06.2011 - 19:30
fuente
3

He visto sitios web que ejecutan una instancia de enrutador de cebolla (dirección .onion) así como una instancia pública.

Dicho esto, si desea que el sitio web sea público, no hay ninguna razón real para hacer ningún esfuerzo por apoyar su fin. Si las personas que se conectan a sus servicios están utilizando Tor sin entender los riesgos o exponen inadvertidamente su tráfico legítimo debido a su uso, entonces eso está totalmente relacionado con ese cliente.

Supongo que no entiendo por qué tengo nada que ver con esta situación. Si supiera que los usuarios se conectan a mi servicio a través de Tor, entonces mi única pregunta sería "¿qué está pasando con mi sitio que justifique el uso de Tor?" ¿Ejecuta un sitio para adultos, un sitio de odio, un sitio político, un sitio de blackhat o algo parecido? En ese caso, yo diría que tiene un servicio web anónimo conjunto, o incluso solo ejecuta un servicio web tor. Si nada de esto es cierto y no hay ninguna razón para que los usuarios oculten su identidad, se toman riesgos innecesarios.

Una instalación adecuada de Tor será en una caja de arena lo suficiente como para no permitir ningún tipo de sesiones persistentes (corríjame si me equivoco, pero no creo que openID funcione incluso con el valor predeterminado de tor / vadalia / paquete de instalación polipo). Por lo tanto, si sus usuarios están usando Tor correctamente, deberían estar tomando tantos pasos como sea posible para mantener su identidad confusa (es decir, no iniciar sesión en su sitio a través de tor).

Sé que no abordé sus preguntas reales con respecto a OpenID, pero creo que esta es la respuesta adecuada, ya que es la base de sus preguntas. Debería ser menos una cuestión de cómo me aseguro de que OpenID esté seguro a través de tor, y más bien una pregunta de por qué se usa tor para acceder / autenticar en su sitio y si esos usuarios conocen los riesgos.

    
respondido por el Ormis 08.06.2011 - 16:03
fuente
1

En la práctica, casi todo el mundo ahora utiliza los "paquetes de navegador" de Tor, que incluyen un FireFox modificado llamado Aurora con varias protecciones como HTTPS Everywhere habilitado de forma predeterminada. Según tengo entendido, todo el tráfico habitual de Internet debe pasar a través de su conexión a Internet principal, a menos que lo haga ssh -l marlowe - 2 1.2.3.4 -o ProxyCommand="/ usr / local / bin / connect -4 -S localhost: 9050% h% p" o lo que sea. En consecuencia, el mayor riesgo parece ser compartir una cuenta entre Tor's Aurora y otro navegador.

    
respondido por el Jeff Burdges 25.11.2011 - 22:03
fuente
0

Parece que está ejecutando un sitio web público, pero algunos de sus usuarios están utilizando TOR para acceder a su sitio web. Si a eso te refieres:

Entonces no necesitas hacer nada especial. Utilice cualquier mecanismo estándar para la administración de sesiones (por ejemplo, cookies de sesión, lo que sea). Debería funcionar bien para los usuarios de TOR. No se necesita nada especial.

Alternativamente, si eso no es lo que querías preguntar, edita la pregunta para explicar más claramente cuáles son tus restricciones.

    
respondido por el D.W. 06.06.2011 - 20:20
fuente

Lea otras preguntas en las etiquetas