TOR и незашифрованный HTTP-трафик

Question

Если АНБ определило определенных людей, использующих TOR, есть ли способ шифрования незашифрованного веб-трафика? Я предполагаю, что это своего рода тупой вопрос, который отвечает сам по себе, поскольку, как только он покидает выходной узел, все становится ясно.

Ipv6 поддерживает ssl, tls или какое-либо шифрование vpn для всех соединений? Например, реализация может быть такой: у вас есть незашифрованное соединение с какой-либо службой, вы можете просто нажать "Защитить это соединение" и вуаля! Обеспеченные!

Кажется, я помню, что эта функция упоминалась в некоторых ранних статьях об ipv6 (но могла быть лишь случайным слэшдоттером).

Answer 1

Нет, вы не можете защитить свой веб-трафик, если вы не можете аутентифицировать веб-сервер, к которому вы подключаетесь, потому что в противном случае вы могли бы разговаривать с блоком атаки АНБ "Человек в середине" (MitM) (представьте себе веб-прокси, который перехватывает и отслеживает, но все же передает все ваше общение с этим веб-сервером). Если вы не аутентифицировали другую конечную точку вашего зашифрованного сеанса, вашим партнером по шифрованию может быть MitM АНБ, а не реальный веб-сайт.

К сожалению, нет надежного или широко распространенного способа аутентификации веб-серверов, который АНБ не может обойти.

Вы упомянули IPv6, но это не настоящее решение. В свое время в каком-то неясном техническом документе, связанном с IPv6, говорилось, что хосты с поддержкой IPv6 "ДОЛЖНЫ" поддерживать IPsec, но в 2011 году этот показатель был понижен до "СЛЕДУЕТ". И даже если бы этого не было, это не значит, что "полиция IPv6" отозвала вашу "лицензию IPv6", если вы не включили поддержку IPsec в свой стек IPv6. И даже если вы можете рассчитывать на каждый хост с поддержкой IPv6, поддерживающий IPsec, это не означает, что он включен и правильно настроен так, что вы можете воспользоваться этим. И даже если бы вы могли воспользоваться этим, типичные методы аутентификации хоста используют сертификаты X.509, как SSL/TLS, которые, как я только что упомянул, АНБ, как известно, сломали. А еще есть утверждение Джона Гилмора о том, что сотрудники АНБ включили в стандарт IPsec неверные требования и слишком усложнили его настолько, что исследователи криптографии даже не пытаются анализировать его на предмет безопасности.

Так что, может быть, вы думаете:«Эй, эти атаки MitM кажутся довольно нацеленными и дорогими, может быть, я не буду на них нацеливаться, поэтому, возможно, я буду заботиться только о том, чтобы мои данные не попали в программы массовых драгнет», которые я Вы могли бы возразить:«Да, но немаскирующие атаки пользователей Tor тоже целенаправленные и дорогие, но вы все еще считали себя достаточно вероятным, чтобы быть целью, что вы искали что-то лучше, чем Tor». А затем я бы отметил, что АНБ считает зашифрованные данные подозрительными и заявляет о своем праве хранить их до тех пор, пока они не смогут их расшифровать.