HeartbleedはTORユーザーのIPアドレスを公開できますか?
観察するのは興味深いです 、古いOpenSSL実装を持つTOR出口ノード自体が Heartbleed バグの影響を受ける可能性があること。
Heartbleedは、脆弱なTOR出口ノードを悪用するだけでTORユーザーのIPアドレスを公開できますか、またはチェーン内のすべてのリレーサーバーも脆弱である必要があり(同時に悪用される)、リクエストのチェーン全体が1つずつ「デコード」されます。元のユーザーのIPアドレスのマスクを解除しますか?
言い換えれば、HeartbleedバグからのTOR匿名性はどれほど堅牢ですか? (IPアドレスに関して)
出口ノードはあなたのIPアドレスを知りません-それがオニオンルーティングの要点です。むしろ、データが最終的にあなたに返されるためにどのリレーノードに接続するかを知っています。 IPアドレスを確実に公開するには、チェーン全体が脆弱である必要があります。入口ノードと出口ノードの両方が脆弱である場合、攻撃者はリレーノードの使用を相互に関連付けることにより、IPについて合理的な推測を行うことができます。
TORは最近、SSLを更新していないすべてのサーバーを拒否し始めました。将来、パッチが適用されていないSSLでオンラインになるサーバーをブロックするイニシアチブもあります。これらの削減により、Torのネットワーク容量が最大12%低下します。これは、最大380台のサーバーをブロックした結果です。
以下は、Torのメーリングリストのメッセージからの抜粋です。
I thought for a while about taking away their Valid flag rather
than rejecting them outright, but this way they'll get notices
in their logs.
I also thought for a while about trying to keep my list of fingerprints
up-to-date (i.e. removing the !reject line once they've upgraded their
openssl), but on the other hand, if they were still vulnerable as of
yesterday, I really don't want this identity key on the Tor network even
after they've upgraded their openssl.
If the other directory authority operators follow suit, we'll lose about
12% of the exit capacity and 12% of the guard capacity.
I/we should add to this list as we discover other relays that come
online with vulnerable openssl versions.
Also these are just the relays with Guard and/or Exit flags, so we should
add the other 1000+ at some point soon.
メーリングリストの詳細: https://lists.torproject.org/pipermail/tor-relays/2014-April/004336.html