Blockchain.info на защите пользователей Tor

onion

Последние месяцы оказались не лучшим временем для проекта Tor: в конце лета выяснилось, что при достаточных ресурсах теоретически можно деанонимизировать пользователей, а около месяца назад появились сообщения, что кто-то действительно это проделал и, судя по всему, этот «кто-то» связан с правительством.

Тем не менее, Tor остается важным инструментом защиты конфиденциальности. Сам по себе Tor не остановит специализированное агентство или даже квалифицированного хакера, но все же он скрывает секреты гораздо лучше, чем традиционные браузеры.

Разработчики из blockchain.info недавно запустили сайт Tor со специально подобранным адресом https://blockchainbdgpzk.onion/ и цифровым SSL-сертификатом от DigiCert. Примечателен тот факт, что это лишь второй сертификат, выданный скрытому Tor-сервису (первый  сертификат был выдан недавно запущенному Tor-сервису Facebook). Кроме того, для защиты blockchain.info — как общедоступного сайта, так и скрытого onion-сервиса — по умолчанию используется протокол HTTPS с дополнительными функциями Strict Transport Security (HSTS) и Public Key Pinning (HPKP).

Получить такой onion-адрес для сайта blockchain.info помог Ник Кубрилович (Nik Cubrilovic), бывший автор TechCrunch, который в настоящее время работает над стартапом. Почему и как это было сделано, вы можете узнать по этой ссылке. Если вы любите технические подробности, вам определенно понравится эта статья. Если же детали вас не интересуют, суть в том, что пользователи, которые посещали сайт blockchain.info через Tor, были уязвимы для атак «посредник», в результате которых их биткойны могли быть украдены. Имитировав узел Tor, злоумышленники могли переключить трафик на незашифрованное подключение HTTP. Если бы пользователь не заметил, что подключение больше не защищено, он мог бы, сам того не зная, предоставить ворам доступ к своим учетным данным. Злоумышленники могли даже изменить значок рядом с URL-адресом на замок SSL, и тогда единственным признаком того, что пользователь больше не находится на настоящем сайте blockchain.info, было бы использование префикса HTTP вместо HTTPS.

Onion-адрес blockchain.info представляет особый интерес. Веб-адреса Tor создаются во многом подобно биткойн-адресам: базовый принцип состоит в том, что в обоих случаях на основе открытого ключа генерируется случайная строка букв и цифр. Кубриловичу и blockchain.info удалось подобрать адрес с десятью нужными буквами, для чего был использован крупный кластер графических веб-серверов Amazon, работавших примерно 40 часов с максимальным хэшрейтом чуть менее 10 000 мегахэшей в секунду. Если для поиска адреса использовался тот же способ, что и в Facebook, это означает, что до получения адреса со словом «blockchain» было сгенерировано много тысяч лишних адресов.  Все onion-адреса должны содержать ровно 16 знаков, что объясняет наличие 6 случайных знаков после слова «blockchain». Facebook нужно было подобрать только 8 букв, благодаря чему им удалось сделать и вторую половину адреса сравнительно понятной и запоминающейся, тогда как у blockchain.info шесть последних букв ничего не значат.

Скорее всего, полностью защитить Биткойн и его пользователей от атак не получится, но все же подобные меры могут улучшить его имидж. С другой стороны, добавление легальных сервисов в Tor вносит вклад в развитие «глубинного» Интернета, подтверждая право каждого человека на анонимность.

Ян Демартино (Ian DeMartino)

Источник: cointelegraph.com



Categories: Безопасность, Сервисы, Технологии

Tags: ,

Leave a Reply

2 Комментарий на "Blockchain.info на защите пользователей Tor"

Notify of
avatar
trackback
Риски и выгоды электронных валют по версии The Blockchain (Часть 1) – Bit•Новости

[…] Qkos – учрежденный в Великобритании создатель “Blockchain.info” (почти идеального биткойн-кошелька для iPhone и Android), […]

ололо
Гость

в топку тор, ждем аналогию в дарккоине

wpDiscuz