È possibile che i nodi di uscita Tor possano sniffare il traffico sui normali siti Web, a meno che non ci si connetta tramite SSL / HTTPS. Ma per quanto riguarda i servizi nascosti, non sembrano supportare il protocollo HTTPS.
Il nodo di uscita può sniffare / modificare il traffico?
I nodi di uscita Tor non sono coinvolti nella connessione ai servizi nascosti. I nodi di uscita sono necessari solo quando si desidera uscire dalla rete Tor per connettersi ad alcuni siti Web al di fuori di esso. Nel caso di connessione a servizi nascosti, tutto il traffico rimane all'interno della rete Tor.
Nell'illustrazione seguente, puoi vedere come Bob (un utente normale) sta tentando di connettersi ad Alice (che ospita un servizio nascosto). Come puoi vedere, la connessione avviene attraverso un punto Rendezvous (RP) all'interno della rete Tor.
[immagine da torproject.org]
Tutto il traffico all'interno della rete Tor è crittografato e protetto con i tunnel TLS.
Sì, lo è.
Un servizio nascosto TOR deposita la sua chiave pubblica nella tabella hash distribuita della rete TOR e su diversi nodi casuali ("punti introduttivi") su tutta la rete TOR. Quando un cliente vuole connettersi a un servizio nascosto, la prima cosa che fa è ottenere quella chiave pubblica in modo che possa crittografare la richiesta al servizio nascosto.
Ciò significa che i servizi nascosti non hanno bisogno di HTTPS, perché il protocollo di servizio nascosto TOR fornisce già la crittografia end-to-end. L'infrastruttura a chiave pubblica della rete TOR è ancora più sicura di HTTPS, perché non si basa su autorità di certificazione pubbliche che possono essere compromesse.
In effetti, ottenere un certificato da una CA renderebbe del tutto inutile avere un servizio nascosto in primo luogo. Lo scopo di un certificato TLS firmato da una CA è di dimostrare la tua identità. Lo scopo di un servizio nascosto è quello di nascondere la tua identità. Quando non si desidera l'anonimato per se stessi e solo per gli utenti, configurare un server Web su un dominio non-onion, ottenere un certificato TLS e consentire solo le connessioni dai nodi di uscita TOR. A proposito, sarebbe anche molto meglio.
Ulteriori informazioni sul protocollo di servizio nascosto TOR .
Sì. Di conseguenza, non è necessario TLS, STARTLS, SSL quando ci si connette a un server di posta *****. Onion (come il gateway bitmessage e onionmail). Tuttavia, onionmail per qualche strana ragione usa ancora STARTLS. Inoltre, Thunderbird con Torbirdy mostra una connessione del server di posta come "insicura e pericolosa" perché Thunderbird non è a conoscenza di business .onon e disinforma l'utente.
Ciò aumenta la confusione risultante nella domanda dell'OP.
Leggi altre domande sui tag encryption tor