web-dev-qa-db-ja.com

Tor経由でダウンロードするか、Tor経由でダウンロードしないか?

Torを介してファイルをダウンロードする場合、通常のインターネットブラウザーを介してファイルをダウンロードする場合と何が違いますか? Torを使ってダウンロードしましたが、とても遅いです。 Torを参照していても、通常のブラウザでファイルをダウンロードするのかどうか疑問に思っていましたが、実際には同じものですか、まったく異なるものですか?

具体的には、Tor経由でダウンロードした場合、実際に実際のIPアドレスと場所が表示されますか?もしそうなら、通常のブラウザからのダウンロードは同じではないでしょうか?

3
Erosion

状況に応じて、これに対するいくつかの異なる答えがあります...

ピアツーピアのダウンロード(急流やファイル共有ネットワークなど)

データを違法にダウンロードすることについて話している場合(たとえば、多くの国で著作権で保護されているデータ)、そもそもそれを行うべきではありません。男になり、通常のインターネットを介してその映画をダウンロードしてください。この方法で大量のデータをダウンロードすると、世界中の複数のサーバーから大量のCPUと帯域幅を使い果たし、基本的にネットワークが詰まっています。これも、あまりに多くの人がこれを行うとネットワークが不可能になるため、行うべきではありません。

大量のデータを匿名でダウンロードする必要があり、匿名であることの本当の目的がある場合(たとえば、ジャーナリストが児童ポルノで作品を書いている場合) 、私のゲストになって、それらのリソースを使用してください。
あなたがお金を払わずに最新のゲームをプレイしたい人なら、まあ、私はこれがどこへ向かっているのか知っていると思います。

ウェブサイトからのダウンロード

そしてあなたはhttpsを使っていません

Torを介してオープンインターネット(http://またはftp://アドレス)に接続する場合、Torは基本的にプロキシサーバーとして機能します。あなたがダウンロードしたウェブサイトはデータを送信し、Torネットワークのいくつかのノードがそれを転送し、最終的にそれはあなたと共に終わります。つまり、すべてが正常に進んだ場合。

Torはまた、Torネットワーク内のトラフィックを暗号化します。つまり、ローカルネットワーク(安全でないWiFiネットワークなど)に対するMITM攻撃は不可能です。これは、Torを使用してダウンロードする場合の利点です。

一方、必要に応じてトラフィックを変更できるインターネット上の他の見知らぬ人を介して、トラフィックを喜んでプロキシします。これは考慮すべきリスクでもあるので、可能な場合はチェックサムを検証してください。

もちろん、いつものように、TorはIPアドレスもマスクします(そのため、物理的な場所を見つける可能性があります)。これは、Tails OSまたはTorブラウザバンドルを使用している場合に特に効果的です。

httpsを使用している場合

この場合のTorの唯一の付加価値は、IPアドレスをマスクすることです。

。onion Webサイトにアクセスしてそこからダウンロードする場合

これはhttpsとほとんど同じように機能しますが、IPアドレスをマスクするだけでなく、サーバーのIPアドレスもマスクします。法執行機関などは基本的に、だれもがそのサーバーからファイルをダウンロードしたことをまったく監視できません。それはあなたと同様にサーバーを匿名にします。

誰かが本当に数百万(数十億?)を費やしたいのであれば、Torを使用している人のマスクを解除することは技術的には可能かもしれませんが、通常はそうではありません。これが懸念事項である場合は、Torのしくみについて詳しく読んでください。この答えは確かに十分ではありません。

3
Luc

Torは他のネットワークインターフェイスと同じように機能します。データを提供するサイトは、Torノードが要求していることを認識していません。同じ場所から同じファイルを取得している場合、どちらも同じ内容になります。

しかし、Torが提供するすべての匿名性は失われます。同じサイトを閲覧するだけで自分を解放できます。アクティビティを追跡するためにダウンロードする必要はありません。

1
John Deters

1悪意のある出口ノードは、ダウンロードされたファイルを悪意のある方法で変更する可能性があります。 TorProjectにはそのようなノードを検出して禁止するボットがありますが、出口ノードが悪意を持って低頻度で動作する場合は役に立ちません。

2 HTTPSは役立つこともできないこともあり、脅威モデルによって異なります。 NSAまたは類似の強力な機関を避けようとすると、ほとんどの場合、httpsで十分ではありません。Webサイトは、そのような機関や、さらには公開機関に対して、プライベートキーやエフェメリアルキーを公開することを余儀なくされる可能性があります。キーのピン留めは役に立ちません。攻撃者がWebサイトのキーにアクセスできないが、CAのキーにアクセスできる場合、または中間CA証明書が与えられている場合は、証明書を再発行できます。この場合、pkpが役立ちます。

3公開鍵が危険にさらされていないと確信している場合は、gpgキーをダウンロードして検証し、署名付きのファイルを検証できます。

0
KOLANICH