Tor隠しサービスの詳細な質問

私がこれを解釈した別の方法は、クライアントもTorも、ランデブーポイントを介してのみ通信し、ランデブーの通常のように3つの暗号化されたホップを通過するため、非表示のサービスホスティング業者の実際のIPアドレスを知る必要があるということです。ポイント、両方の匿名性を提供します。

はい、これは正しいです。非表示のサービスを標準のTor接続のミラーと考えると便利です。ユーザーとサイトの両方が3ノードの回線を作成し、通常は出口ノードが相互に通信します*。アクセスするクリアネットサイトが自分のIPを知らないのと同じように、出口ノードだけを知っているので、隠しサービスのIPはわかりません。

これらのメカニズムの詳細については、 Tor Stack Exchangeで および Tor Webサイト を参照してください。

*クライアントの出口ノードは、非表示のサービスの「出口」ノードとのみ通信して、ランデブーポイントの要求を渡します。サービスは1つで応答し、残りの通信はthat回路を介して行われます。

上記の答えに追加するには：

Bの場合。が真の場合、クライアントと非表示のサービスホスティング業者は、安全ではないため、ランデブーポイントの外で通信しません...では、どちらが通信するのかをどのようにして見つけるのでしょうか。

ランデブーポイントは、Torリレーノードのリストからランダムにclientによって選択されます（出口ノードである必要はありません）。クライアントは、どのノードがRPとして機能するかを決定し、このノードへの回線を確立してから、サーバーにノードのフィンガープリントを（導入ポイントを介して）通知します。

また、データがホストからの隠しサービスからランデブーポイントで復号化され、クライアント用に再度暗号化された場合、悪意のある/敵対者が制御するランデブーポイントは、どのデータが送受信されているかを確認できますか？

サーバーとクライアント間の通信はRPで復号化されません。エンドツーエンドで暗号化されています。 RPはそれらの間でデータを転送するだけですが、そこに何があるのか​​わかりません。したがって、答えはノーです。敵のRPは、送信されているデータを確認できません。ただし、データが送受信されているTorノードを確認できます。これが、TorクライアントがRPと直接通信しない理由です。

個人が抑圧的な政府のある国に住んでいて、危険な状況を回避するためにこのように隠されたサービスをホストしたい場合、彼らはどのようにそうしますか？

次に、個人は、できれば外部ファイアウォールを使用して、インターネットからサーバーを実行しているマシンをファイアウォールで保護します。ファイアウォールは着信接続を通過させず、発信TCP接続のみを通過させる必要があります。ICMP（いくつかの例外を除く）とUDPもブロックする必要があります。

サーバーは127.0.0.1IPアドレスでのみリッスンする必要があり、他のアドレスではリッスンする必要はありません。

非表示のサービスはTor構成で構成されます。たとえば、torrcファイルに以下を追加することにより、サーバーでsshを構成できます。

HiddenServicePort 22 127.0.0.1:22

これは、Tor隠しサーバーアドレスに接続が来ることを意味します。ポート22は127.0.0.1、ポート22に転送されます。sshdが127.0.0.1:22でのみリッスンしている場合、「通常」からアクセスできないSSHサーバーがあります。インターネットであり、Torを介してのみアクセスできます。