Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: martin 15. 10. 2011, 20:21:03

Název: SSL certifikát pro .onion (TOR) doménu
Přispěvatel: martin 15. 10. 2011, 20:21:03
Mate nekdo zkusenost se ziskanim SSL certifikatu od nejake uznavane autority pro domenu .onion (TOR)? Ne pro jmeno, ale pouze pro domenu, jako to ma napriklad https://www.abclinuxu.cz/ (https://www.abclinuxu.cz/)
Název: Re: SSL certifikat pro .onion (TOR) domenu
Přispěvatel: Torsteles Onionus 16. 10. 2011, 16:57:28
Pro .onion (jako v podstate pro jakoukoli domenu) lze si vygenerovat svuj certifikat, viz linuxexpres.cz a tamni serial o treba lighttpd servru, kde a jak jej vygenerovat atd.

Spis, imho, v .onion siti je dulezitejsi, jak chces "spravne" umistit a provzovat hidden services, kdyz to chces provozovat na svem PC... ;)
Název: Re: SSL certifikát pro .onion (TOR) doménu
Přispěvatel: Sten 16. 10. 2011, 22:21:26
Pro .onion nepůjde získat certifikát od jakékoliv normální certifikační autority, protože .onion nemá centrální administraci a tedy není nikdo, kdo by mohl potvrdit, že daná .onion patří zrovna vám.

Mimochodem neztratí potom .onion svůj význam, když v oficiálních certifikátech je vždy i jméno a adresa toho, kdo si jej nechal vystavit, takže rozhodně nebudete anonymní?

Použijte raději self-signed certifikát.
Název: Re: SSL certifikát pro .onion (TOR) doménu
Přispěvatel: martin 16. 10. 2011, 22:46:10
Pro .onion nepůjde získat certifikát od jakékoliv normální certifikační autority, protože .onion nemá centrální administraci a tedy není nikdo, kdo by mohl potvrdit, že daná .onion patří zrovna vám.
Mohl bych umistit html soubor, ktery by mi autorita dala.

Mimochodem neztratí potom .onion svůj význam, když v oficiálních certifikátech je vždy i jméno a adresa toho, kdo si jej nechal vystavit, takže rozhodně nebudete anonymní?

Treba Thawte SSL123 (ma i https://www.abclinuxu.cz/ ) obsahuje pouze jmeno domeny.
Název: Re: SSL certifikat pro .onion (TOR) domenu
Přispěvatel: martin 16. 10. 2011, 22:48:23
Pro .onion (jako v podstate pro jakoukoli domenu) lze si vygenerovat svuj certifikat, viz linuxexpres.cz a tamni serial o treba lighttpd servru, kde a jak jej vygenerovat atd.
Certifikat si vygenerovat umim, na tom neni nic sloziteho.
Spis, imho, v .onion siti je dulezitejsi, jak chces "spravne" umistit a provzovat hidden services, kdyz to chces provozovat na svem PC... ;)
1)nechci nic provozovat - jen mne to zajima
2)jaky ma smysl veta: "jak chces spravne umistit a provzovathidden services, kdyz to chces provozovat na svem PC... ;)" ?
Název: Re: SSL certifikát pro .onion (TOR) doménu
Přispěvatel: Torservers Eff 16. 10. 2011, 23:08:25
Jaky asi muze mit smysl? ::)

Pokud bys chtel provozovat hidden services na (svem) PC a nebyli by to stranky zrovna - pomoc chudym africanum nebo cinskym disidentum atd. (neptam se co za stranky by to byly ;)), musel bys "umistit" servr, nejlip do takove virtualni site (a soucasne spravne nastaveny vsechny procesy systemu a/nebo konfigurace web-serveru, mysql, php apod.), aby servr nebyl odhalen a/nebo hacknut...
Tor je predevsim o anonymite, IMHO.
Název: Re: SSL certifikát pro .onion (TOR) doménu
Přispěvatel: Sten 17. 10. 2011, 00:24:31
Mohl bych umistit html soubor, ktery by mi autorita dala.

Cože, jaký HTML soubor?

Treba Thawte SSL123 (ma i https://www.abclinuxu.cz/ ) obsahuje pouze jmeno domeny.

V případě domain-validated certifikátů je použita informace z WHOIS, které je veřejně přístupné.
Název: Re: SSL certifikát pro .onion (TOR) doménu
Přispěvatel: Torservers Eff 17. 10. 2011, 03:15:49
Pro .onion nepůjde získat certifikát od jakékoliv normální certifikační autority, protože .onion nemá centrální administraci a tedy není nikdo, kdo by mohl potvrdit, že daná .onion patří zrovna vám.
Ono by to slo, potvrdit jen EFF (torproject.org), resp. temi, kdo provozujou Tor, jedine oni te muzou "certifikovat"  ;)
Název: Re: SSL certifikát pro .onion (TOR) doménu
Přispěvatel: MilanK 17. 10. 2011, 09:45:05
A nejde to řešit přes CNAME? Tj. nechat si nejprve vystavit certifikat na skrytasluzba.cz a pak dat do DNS "skrytasluzba.cz CNAME xxxx.onion"? Server se skytou sluzbou by byl nakonfigurovan take na jmeno skrytasluzba.cz. Uznávám, že i pokud by to fungovalo, není to moc pěkné řešení...

Pokud už používáte Tor a musíte tedy něco (minimálně Tor) instalovat na klientské počítače, doporučuji stejně self-signed certifikát. Je to bezpečnější (vzhledem k častým bezpečnostním problémům oficiálních CA).
Název: Re: SSL certifikát pro .onion (TOR) doménu
Přispěvatel: Jenda 17. 10. 2011, 15:15:38
SSL IMHO netřeba, kryptografické zabezpečení (hash klíče?) je přímo v té šílené adrese.
Název: Re: SSL certifikát pro .onion (TOR) doménu
Přispěvatel: Torservers Eff 17. 10. 2011, 15:48:59
+Jenda: asi nevis jak Tor funguje  :-\
Kdyz packety opousteji Tor sit, jsou 'otevrena'...
Název: Re: SSL certifikát pro .onion (TOR) doménu
Přispěvatel: Sten 17. 10. 2011, 16:58:24
+Jenda: asi nevis jak Tor funguje  :-\
Kdyz packety opousteji Tor sit, jsou 'otevrena'...

Když pakety opouštějí síť Toru, tak tam už žádné .onion nejsou a používá se klasický systém certifikací.
Název: Re: SSL certifikát pro .onion (TOR) doménu
Přispěvatel: Tor Thor 17. 10. 2011, 19:12:10
Pokud provozovatel hidden services nabizi SSL v prubehu celeho session s klientem, tak ani exit node 'nevidi' do obsahu packetu, nebo se snad mylim? ::)
Proto je, IMO, nejlepsi, kdyz jste na ssl, ktere si muzete overit fingerprints ssl (pokud to provozovatel nabidne) signed...
Název: Re: SSL certifikát pro .onion (TOR) doménu
Přispěvatel: Anonymous 17. 10. 2011, 20:06:23
Oni se hlavně při použití hidden services žádný exit nody nepoužívají. A řešit SSL je zbytečný, protože .onion adresa je hash veřejného klíče. Dúležitejší je zajistit, aby neprosákly citlivé informace, třeba skrz špatnou konfiguraci.
Název: Re: SSL certifikát pro .onion (TOR) doménu
Přispěvatel: Tor Thor 17. 10. 2011, 20:13:46
+Anonymous: ale IMHO je potreba se na to divat z dvou uhlu: z pohledu klienta, kdy na enter/exit nodech jsou packety bez SSL 'otevrene', ne?
A z pohledu servru, kde bezi hidden services, kde je samozrejme dulezite dobre nastaveni/konfigurace, 'umisteni' a SSl je jen bonus navic ;).
Název: Re: SSL certifikát pro .onion (TOR) doménu
Přispěvatel: Anonymous 17. 10. 2011, 20:23:44
Pakety na hidden service nejsou nikdy "otevřené", protože nikdy nejdou přes exit/enter node.
Název: Re: SSL certifikát pro .onion (TOR) doménu
Přispěvatel: Tor Thor 17. 10. 2011, 20:31:23
Ok, mozna blbe napsane ;) Ale bylo to mysleno tak, ze kdyz si vymenujes data (send/receive ~ download/upload) se servrem, data musi projit i tim exit nodem...
Název: Re: SSL certifikát pro .onion (TOR) doménu
Přispěvatel: Anonymous 17. 10. 2011, 20:40:34
Tak potřetí. Data vyměňovaná mezi klientem a hidden service serverem neopustí tor síť. Nejdou přes exit node do internetu.
Název: Re: SSL certifikát pro .onion (TOR) doménu
Přispěvatel: Tor Thor 17. 10. 2011, 21:38:27
Jasne, mas pravdu  ;D
Jsem to zamotal, v .onino je to tak, jak pises.
Co bylo mysleno, jak je popsane v casti "On-line anonymita" v spodni tretine na strance
http://anarchistblackcross.cz/pc-bezpecnost/zabezpeceni-pocitace-v-praxi.php

Nebo v casti "Co z toho dále plyne?" na strance http://www.security-portal.cz/clanky/tor-onion-router-syst%C3%A9m-pro-vysoce-anonymn%C3%AD-%C5%A1ifrovan%C3%BD-p%C5%99%C3%ADstup-k-internetu (http://www.security-portal.cz/clanky/tor-onion-router-syst%C3%A9m-pro-vysoce-anonymn%C3%AD-%C5%A1ifrovan%C3%BD-p%C5%99%C3%ADstup-k-internetu)

A pamatuju na nejaky clanek, kdy nejaky typek ze svedska, ktery provozoval exit node, tak se pry dostal ke spouste loginu, hesel k uctum atd. Pry to bylo prave proto, ze nepouzivali SSL...

Sorry za trochu zamotani :)
Název: Re: SSL certifikát pro .onion (TOR) doménu
Přispěvatel: Oxymoron 18. 10. 2011, 15:26:39
Ano ... k nim se mohl dostat, protože na exit node se data musí úplně dešifrovat, aby bylo možné poslat dotaz na normální server. Ale k těm datům se nedostane jenom exit node, ale i všechny další servery mezi exit nodem a dotazovaným serverem. Je to podobné, jako když pošleš data bez SSL přímo na server, všichni na cestě k serveru si je mohou přečíst. Ale to není o tom používat SLL v TORu, ale o tom, kontaktovat vnější servery mimo TOR přes SSL.
Název: Re: SSL certifikát pro .onion (TOR) doménu
Přispěvatel: Tor Thor 18. 10. 2011, 15:37:45
A lze tedy rict, ze v siti .onion je pouziti SSL jeste neco jako 'bonus' navic? O neco malo lepsi zabezpeceni dat? ;)
Název: Re: SSL certifikát pro .onion (TOR) doménu
Přispěvatel: Sten 18. 10. 2011, 17:19:16
A lze tedy rict, ze v siti .onion je pouziti SSL jeste neco jako 'bonus' navic? O neco malo lepsi zabezpeceni dat? ;)

Lze říci, že SSL uvnitř Toru je zbytečnost (komunikace je stejně šifrovaná) a pro spojení vně Tor je nezbytnost, která ale nemá žádný vztah k .onion.