TLS in Tor è inutile?

12

Sto cercando di ottimizzare la libreria del client Orchid Tor per le mie esigenze e ho notato che ogni connessione con ogni nodo utilizza TLS con la verifica del certificato disattivata.

In realtà non ci sono certificati TLS su alcun nodo Tor, quindi sembra essere inutile; è?

Posso disattivarlo per migliorare la velocità della rete?

    
posta ex3ndr 15.12.2014 - 04:50
fonte

1 risposta

5

Quando sfogli TOR servizi nascosti , il sistema TOR fornisce già la crittografia end-to-end, quindi un altro livello TLS è ridondante . È in effetti controproducente, perché uno degli obiettivi di TLS è quello di rendere anonimo il server. Non ha senso passare attraverso il problema di creare un servizio nascosto e quindi ottenere un certificato da un'autorità di certificazione che dice al mondo intero chi sei. Bene, potresti usare un certificato autofirmato (alcune persone sembrano farlo, altrimenti Orchid non disabilita esplicitamente la verifica), ma un certificato non firmato da un'autorità di certificazione può essere sostituito da un man-in-the-middle così fornisce solo protezione da un intercettatore passivo.

Tuttavia, quando navighi su siti web normali tramite TOR, TLS è ancora più importante del solito, perché il nodo di uscita può intercettare il traffico in chiaro e persino manipolarlo . Esistevano già nodi di uscita individuati in natura che sfruttano questo aspetto inserendo pubblicità o malware nei siti Web visitati dagli utenti o annusando gli accessi ai siti Web più diffusi. L'utilizzo di TLS lo rende impossibile, ma solo se usato correttamente (il che significa con la convalida del certificato. Un certificato non convalidato potrebbe provenire dal nodo di uscita malevolo).

    
risposta data 15.12.2014 - 09:07
fonte