Il protocollo SSL / TLS può compromettere l'anonimato (ad esempio quando si utilizza HTTPS tramite Tor)?

5

Se comprendo correttamente, SSL / TLS non solo crittografa il traffico, ma offre anche un framework per (facoltativamente?) autenticare i server e i client .

Quindi, se io, ad esempio, apro una connessione HTTPS tramite Tor, l'handshake SSL / TLS potrebbe fornire qualsiasi informazione sulla mia identità al server HTTPS a cui mi sto connettendo? Come il mio indirizzo IP locale, o qualche altro ID univoco che assegna al mio sistema, ecc ...

Ciò potrebbe dipendere dalle impostazioni di connessione utilizzate? In tal caso, c'è un modo per configurare SSLEngine di Java in assicurati che non vi siano informazioni sul sistema su cui è in esecuzione?

    
posta Markus A. 19.05.2018 - 07:33
fonte

2 risposte

9

TLS autentica sempre il server (tranne in alcune varianti che non vengono mai utilizzate sul Web perché sono utili solo in ambienti molto specifici). Ciò è necessario perché se nessuna delle due parti autentica l'altra, allora non può garantire di avere una connessione crittografata, al contrario di ognuna con una connessione crittografata a un man-in-the-middle che decodifica e inoltra il traffico. Il server in una connessione HTTP non è comunque anonimo.

TLS autentica solo il client se il client offre di essere autenticato. Questa funzione non è comunemente utilizzata sul Web pubblico, principalmente su intranet e più comunemente con protocolli diversi da HTTP (ad esempio client di posta elettronica). Il tuo cliente non invierà accidentalmente un certificato che lo autentica: dovrebbe prima creare un certificato e in genere non utilizzare lo stesso certificato con un altro client. Naturalmente se usi un programma client di cui non ti fidi, potrebbe rivelare informazioni su di te, ma farlo creando e utilizzando un certificato client è un metodo molto improbabile.

TLS stesso non invia alcuna informazione di identificazione diretta sul client, ma come con qualsiasi altro livello del protocollo può rivelare informazioni indirettamente tramite impronte digitali. Le impronte digitali di un client TLS riguardano principalmente le funzionalità pubblicizzate sul server (quali algoritmi crittografici e funzionalità di protocollo opzionali supportano). Per quanto riguarda l'anonimato, la soluzione migliore è attaccare il browser Tor nella sua configurazione predefinita, in modo che l'impronta digitale corrisponda all'impronta digitale di tutti gli altri che utilizzano la stessa configurazione. Se utilizzi un altro client, anche l'attenuazione del valore predefinito di tale client di solito riduce al minimo le informazioni trapelate tramite le impronte digitali.

    
risposta data 19.05.2018 - 11:14
fonte
0

Nello scenario di utilizzo di Tor, il primo nodo a cui ci si connetterà avrà l'indirizzo IP di origine poiché deve sapere dove inviare i pacchetti di ritorno. Per quanto ne so, i nodi relay di Tor non assegnano alcun identificativo univoco agli host. L'anonimato di Tor non deriva dall'uso di SSL / TLS ma dall'inoltrare il tuo traffico attraverso 3 punti al fine di offuscare il tuo IP.

Connessioni dirette con server che utilizzano SSL / TLS, verrà comunque rivelato il tuo indirizzo IP sorgente. Oltre a ciò, chiunque sniffing potrebbe anche essere in grado di identificare il sito che si sta visitando (anche se non è in grado di decrittografare i pacchetti), cioè il campo SNI dell'handshake. Questo ridurrà l'anonimato poiché consentirà di costruire un profilo della persona.

Tieni presente che SSL / TLS non punta principalmente a garantire l'anonimato. L'anonimato è ottenuto attraverso la pratica di comportamenti disciplinati e strumenti / protocolli (con SSL / TLS essendo uno di loro). Un compromesso in qualsiasi parte può far trapelare informazioni. Questo è il motivo per cui il vero anonimato è quasi impossibile.

Da solo, SSL / TLS può perdere informazioni e essere utilizzato per creare un profilo su un utente. Utilizzato in combinazione con altri strumenti, può fornire un potente livello di sicurezza all'anonimato (ad esempio utilizzando SSL / TLS attraverso sistemi di gestione della privacy come Tails o Qubes).

    
risposta data 20.05.2018 - 14:24
fonte

Leggi altre domande sui tag