Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: martin 15. 10. 2011, 20:21:03
-
Mate nekdo zkusenost se ziskanim SSL certifikatu od nejake uznavane autority pro domenu .onion (TOR)? Ne pro jmeno, ale pouze pro domenu, jako to ma napriklad https://www.abclinuxu.cz/ (https://www.abclinuxu.cz/)
-
Pro .onion (jako v podstate pro jakoukoli domenu) lze si vygenerovat svuj certifikat, viz linuxexpres.cz a tamni serial o treba lighttpd servru, kde a jak jej vygenerovat atd.
Spis, imho, v .onion siti je dulezitejsi, jak chces "spravne" umistit a provzovat hidden services, kdyz to chces provozovat na svem PC... ;)
-
Pro .onion nepůjde získat certifikát od jakékoliv normální certifikační autority, protože .onion nemá centrální administraci a tedy není nikdo, kdo by mohl potvrdit, že daná .onion patří zrovna vám.
Mimochodem neztratí potom .onion svůj význam, když v oficiálních certifikátech je vždy i jméno a adresa toho, kdo si jej nechal vystavit, takže rozhodně nebudete anonymní?
Použijte raději self-signed certifikát.
-
Pro .onion nepůjde získat certifikát od jakékoliv normální certifikační autority, protože .onion nemá centrální administraci a tedy není nikdo, kdo by mohl potvrdit, že daná .onion patří zrovna vám.
Mohl bych umistit html soubor, ktery by mi autorita dala.
Mimochodem neztratí potom .onion svůj význam, když v oficiálních certifikátech je vždy i jméno a adresa toho, kdo si jej nechal vystavit, takže rozhodně nebudete anonymní?
Treba Thawte SSL123 (ma i https://www.abclinuxu.cz/ ) obsahuje pouze jmeno domeny.
-
Pro .onion (jako v podstate pro jakoukoli domenu) lze si vygenerovat svuj certifikat, viz linuxexpres.cz a tamni serial o treba lighttpd servru, kde a jak jej vygenerovat atd.
Certifikat si vygenerovat umim, na tom neni nic sloziteho.
Spis, imho, v .onion siti je dulezitejsi, jak chces "spravne" umistit a provzovat hidden services, kdyz to chces provozovat na svem PC... ;)
1)nechci nic provozovat - jen mne to zajima
2)jaky ma smysl veta: "jak chces spravne umistit a provzovathidden services, kdyz to chces provozovat na svem PC... ;)" ?
-
Jaky asi muze mit smysl? ::)
Pokud bys chtel provozovat hidden services na (svem) PC a nebyli by to stranky zrovna - pomoc chudym africanum nebo cinskym disidentum atd. (neptam se co za stranky by to byly ;)), musel bys "umistit" servr, nejlip do takove virtualni site (a soucasne spravne nastaveny vsechny procesy systemu a/nebo konfigurace web-serveru, mysql, php apod.), aby servr nebyl odhalen a/nebo hacknut...
Tor je predevsim o anonymite, IMHO.
-
Mohl bych umistit html soubor, ktery by mi autorita dala.
Cože, jaký HTML soubor?
Treba Thawte SSL123 (ma i https://www.abclinuxu.cz/ ) obsahuje pouze jmeno domeny.
V případě domain-validated certifikátů je použita informace z WHOIS, které je veřejně přístupné.
-
Pro .onion nepůjde získat certifikát od jakékoliv normální certifikační autority, protože .onion nemá centrální administraci a tedy není nikdo, kdo by mohl potvrdit, že daná .onion patří zrovna vám.
Ono by to slo, potvrdit jen EFF (torproject.org), resp. temi, kdo provozujou Tor, jedine oni te muzou "certifikovat" ;)
-
A nejde to řešit přes CNAME? Tj. nechat si nejprve vystavit certifikat na skrytasluzba.cz a pak dat do DNS "skrytasluzba.cz CNAME xxxx.onion"? Server se skytou sluzbou by byl nakonfigurovan take na jmeno skrytasluzba.cz. Uznávám, že i pokud by to fungovalo, není to moc pěkné řešení...
Pokud už používáte Tor a musíte tedy něco (minimálně Tor) instalovat na klientské počítače, doporučuji stejně self-signed certifikát. Je to bezpečnější (vzhledem k častým bezpečnostním problémům oficiálních CA).
-
SSL IMHO netřeba, kryptografické zabezpečení (hash klíče?) je přímo v té šílené adrese.
-
+Jenda: asi nevis jak Tor funguje :-\
Kdyz packety opousteji Tor sit, jsou 'otevrena'...
-
+Jenda: asi nevis jak Tor funguje :-\
Kdyz packety opousteji Tor sit, jsou 'otevrena'...
Když pakety opouštějí síť Toru, tak tam už žádné .onion nejsou a používá se klasický systém certifikací.
-
Pokud provozovatel hidden services nabizi SSL v prubehu celeho session s klientem, tak ani exit node 'nevidi' do obsahu packetu, nebo se snad mylim? ::)
Proto je, IMO, nejlepsi, kdyz jste na ssl, ktere si muzete overit fingerprints ssl (pokud to provozovatel nabidne) signed...
-
Oni se hlavně při použití hidden services žádný exit nody nepoužívají. A řešit SSL je zbytečný, protože .onion adresa je hash veřejného klíče. Dúležitejší je zajistit, aby neprosákly citlivé informace, třeba skrz špatnou konfiguraci.
-
+Anonymous: ale IMHO je potreba se na to divat z dvou uhlu: z pohledu klienta, kdy na enter/exit nodech jsou packety bez SSL 'otevrene', ne?
A z pohledu servru, kde bezi hidden services, kde je samozrejme dulezite dobre nastaveni/konfigurace, 'umisteni' a SSl je jen bonus navic ;).
-
Pakety na hidden service nejsou nikdy "otevřené", protože nikdy nejdou přes exit/enter node.
-
Ok, mozna blbe napsane ;) Ale bylo to mysleno tak, ze kdyz si vymenujes data (send/receive ~ download/upload) se servrem, data musi projit i tim exit nodem...
-
Tak potřetí. Data vyměňovaná mezi klientem a hidden service serverem neopustí tor síť. Nejdou přes exit node do internetu.
-
Jasne, mas pravdu ;D
Jsem to zamotal, v .onino je to tak, jak pises.
Co bylo mysleno, jak je popsane v casti "On-line anonymita" v spodni tretine na strance
http://anarchistblackcross.cz/pc-bezpecnost/zabezpeceni-pocitace-v-praxi.php
Nebo v casti "Co z toho dále plyne?" na strance http://www.security-portal.cz/clanky/tor-onion-router-syst%C3%A9m-pro-vysoce-anonymn%C3%AD-%C5%A1ifrovan%C3%BD-p%C5%99%C3%ADstup-k-internetu (http://www.security-portal.cz/clanky/tor-onion-router-syst%C3%A9m-pro-vysoce-anonymn%C3%AD-%C5%A1ifrovan%C3%BD-p%C5%99%C3%ADstup-k-internetu)
A pamatuju na nejaky clanek, kdy nejaky typek ze svedska, ktery provozoval exit node, tak se pry dostal ke spouste loginu, hesel k uctum atd. Pry to bylo prave proto, ze nepouzivali SSL...
Sorry za trochu zamotani :)
-
Ano ... k nim se mohl dostat, protože na exit node se data musí úplně dešifrovat, aby bylo možné poslat dotaz na normální server. Ale k těm datům se nedostane jenom exit node, ale i všechny další servery mezi exit nodem a dotazovaným serverem. Je to podobné, jako když pošleš data bez SSL přímo na server, všichni na cestě k serveru si je mohou přečíst. Ale to není o tom používat SLL v TORu, ale o tom, kontaktovat vnější servery mimo TOR přes SSL.
-
A lze tedy rict, ze v siti .onion je pouziti SSL jeste neco jako 'bonus' navic? O neco malo lepsi zabezpeceni dat? ;)
-
A lze tedy rict, ze v siti .onion je pouziti SSL jeste neco jako 'bonus' navic? O neco malo lepsi zabezpeceni dat? ;)
Lze říci, že SSL uvnitř Toru je zbytečnost (komunikace je stejně šifrovaná) a pro spojení vně Tor je nezbytnost, která ale nemá žádný vztah k .onion.