Разработчики Tor об отказе от v2-адресов

НОВОСТИ
2021-06-24 16:34:41
0
432

По сообщению девелоперов из Tor Project, они отказываются от второй версии Onion Service, которая использует "короткие" onion-адреса вида abcdefghijklmnop.onion. На домашней странице Tor Browser сказано, что такие адреса перестанут работать 15 октября, а адреса для V3 с 56 символами перед .onion станут единственными доступными.

Озвученная причина: «одним словом: безопасность». Недостатки V2 известны команде уже давно, и ещё в 2018 в Tor добавлена поддержка V3.

Первые два недостатка: Onion service V2 использует криптографический алгоритм RSA-1024 и 80-битный SHA1.

SHA1

Полноценный алгоритм SHA1 является 160-битным с числом раундов равным 80. Onion service V2 использует его более слабую 80-битную версию.

Ещё в 2005 году на усечённую версию SHA1 (53 раунда, а не 80) была проведена теоретическая атака профессиональными криптографами, которая позволяет находить коллизии за 2 в 33-й степени операций. А чуть позднее в том же году – на полноценный SHA1 за 2 в 69-й степени. При том, что брутфорс позволяет это сделать за 2 в 80-й степени. А нахождение исходного сообщения по его хешу требует 2 в 160-й степени операций.

Нахождение коллизий — ситуация, когда двум различным исходным сообщениям соответствует одно и то же хеш-значение.

В 2006 и 2007 новые успехи криптоаналитиков: коллизии в полноценном SHA1 за 2 в 63-й степени и в 64-раундовом за 2 в 35-й степени. Учёные получают за это престижные премии, а эксперты предсказывают первые реальные получения исходного сообщения по его хешу в ближайшие 5-10 лет.

В 2015 коллизию в полноценном SHA1 научились находить за 2 в 57-й степени операций. А Национальный институт стандартов и технологий США запланировал полный отказ от SHA-1 в цифровых подписях.

Наконец, 23 февраля 2017 года Национальный исследовательский институт математики и информатики в Амстердаме совместно с Google провели первую настоящую атаку. Они опубликовали два PDF-файла с одинаковой контрольной суммой SHA-1 – то есть практически доказали ненадёжность всего, что хешировано этим алгоритмом. Правда, для этого им понадобились большие мощности, а на одном графическом процессоре это заняло бы около 110 лет.

RSA-1024

На данный момент за успешный взлом RSA-1024 объявлена награда в $100 тысяч. В 2010 году учёные вычислили исходное сообщение, зашифрованное RSA длиной 768 бит. Также они были уверены, что от RSA-1024 нужно отказаться в ближайшие 3-4 года. Что сделала, например, Mozilla: с 2014 года её браузеры не поддерживают сертификаты удостоверяющих центров с ключами RSA меньше 2048 бит.

Причём от могущественных спецслужб США и Европы можно ожидать, что для взлома алгоритмов они наймут учёных в тайне от общества, и не будут публиковать свой успех.

TAP handshake

V2 использует процедуру подтверждения связи (handshake) под названием TAP. Она уже много лет как не используется в Tor, за исключением V2. Примитивная система директорий делает её уязвимой для атаки путём перечисления и прогнозирования местоположения. Это даёт узлам HSDir слишком большую возможность проводить против V2-адресов атаки перечисления и даже блокировать их.

HSDir – узел в Tor, являющийся базой данных в виде DHT. Пользователь, желающий подключиться к onion-домену, должен сначала получить для этого инструкции у одного из HSDir-узлов. Таким узлом может стать практически любой заинтересованный человек, способный держать включенным маломощный сервер.

Наконец, код V2 попросту не развивается уже долгое время. Разработчики, по своим же словам, закрывают только самые серьёзные уязвимости. Поэтому к 15 октября пользователям не оставляют выбора: V2 отключается в пользу V3, доступной с 2018 года.

0
432
Написать комментарий

Добавить комментарий