بریو با استفاده از ویژگی‌های تور (Tor)، برای کاربران بیشتری امنیت فراهم می‌کند

در سال ۲۰۱۸ بریو به استفاده از ویژگی‌های تور (Tor) در مرورگر خود پرداخت تا به کاربران، حالت وبگردی جدیدی ارائه دهد که می‌تواند از حریم خصوصی آنها نه تنها در دستگاه مدنظر کاربران، بلکه در سراسر شبکه محافظت کند. همکاری بریو با تور به کاربران کمک می‌کند تا در مقابل ISP ها، ارائه‌دهندگان وای‌فای و سایت‌های مشاهده شده که ممکن است به نظارت بر ارتباط اینترنتی کاربران یا حتی رصد و جمع‌آوری آدرس IP آنها بپردازند محافظت شوند. به علاوه، بریو با اجرای Tor relays در شبکه تور فعال بوده است.

بریو امنیت بالاتری برای کاربران خود ایجاد می‌کند

brave

بریو به منظور ادامه پشتیبانی و فعالیت خود، با ایجاد خدمات Tor onion در صدد این است تا دانلود مرورگر خود را برای کاربران تور امکان‌پذیر سازد. این خدمات روشی برای محافظت از متاداده‌های کاربران نظیر موقعیت جغرافیایی آنها است و امنیت رمزگذاری بریو را ارتقا می‌بخشد. این موضوع به چند دلیل حائز اهمیت است که مهمترین آن، دسترسی یافتن به کاربرانی است که در شرایط نامناسب شناخت و دریافت مرورگر بریو قرار دارند.

در این مقاله به بررسی فرایند ایجاد شرایطی خواهیم پرداخت که می‌توانید از آن برای ایجاد سرویس onion خود بهره ببرید.

به منظور شروع این فرایند، با استفاده از نرم‌افزاری به اسم ماینر، آدرس موردنظر را استخراج کردیم. ما از نرم‌افزار Scallion به دلیل پشتیبانی از لینوکس و کارت گرافیک استفاده می‌کنیم. به فرآیند محاسباتی گران قیمت برای ایجاد کلید خصوصی به منظور اثبات ادعای مالکیت آدرس onion، ماینینگ گفته می‌شود. آدرس‌های onion (نسخه ۲)، رشته‌های ۱۶ کاراکتری هستند که این کاراکترها متشکل از حروف a تا z و اعداد ۲ الی ۷ هستند. این آدرس‌ها به onion. منتهی می‌شوند و ورودی‌ها به دامنه‌های onion. از شبکه تور خارج نمی‌شوند. آدرس‌های نسخه ۳ طولانی‌تر و ایمن‌تر هستند که رمزنگاری قوی‌تری ارائه خواهند داد و به زودی به این آدرس‌ها انتقال خواهیم یافت.

در مثال ما، رشته‌ای (string) می‌خواهیم که با brave شروع شود و با اعداد ادامه یابد. استخراج یک پیشوند ۶ کاراکتری با یک کارت گرافیک قوی تقریبا ۱۵ دقیقه طول می‌کشد. نتیجه نهایی یک آدرس onion. و یک کلید خصوصی است که به ما امکان می‌دهد تا آمادگی برای دریافت ترافیک ارسالی به این آدرس را اعلام کنیم. این موضوع از طریق Tor daemon با چند گزینه مخصوص هدایت می‌شود.

پس از استخراج آدرس onion، آن را در EOTK بارگذاری می‌کنیم. مجموعه ابزار شرکتی Onion یا همان EOTK، نرم‌افزاری است که ایجاد Tor daemon و سرور OpenResty را برای واسطه قرار دادن ترافیک برای سرورهای غیر onion را تسهیل می‌کند. در مثال ما، ترافیک را به دامنه‌های brave.com هدایت می‌کنیم. یک مرحله دیگر برای تکمیل این فرآیند لازم است: مجوز معتبر SSL.

بدون وجود این مجوز، پس از شروع EOTK برای اولین بار، متوجه خواهید شد که بسیاری از دارایی‌های وب بارگذاری نشده‌اند. این موضوع به دلیل استفاده از مجوز خودامضاشده self-signed) SSL) است. برای بعضی از موارد، این مجوز قابل قبول است. بسیاری از کاربران onion به مشاهده این نوع مجوز عادت کرده‌اند، هرچند برای تجربه بهتر، وجود مجوز معتبر از جانب CA ضروری است. در حال حاضر تنها نهاد معتبر برای صدور مجوز برای آدرس‌های onion.، دیجی‌سرت (DigiCert) است. دیجی‌سرت مجوزهای EV برای آدرس‌های onion. ارائه می‌دهند.

بریو

ایجاد کلید خصوصی و درخواست امضای مجوز به روش استاندارد با OpenSSL انجام می‌شود. مثال فایل تنظیمات CSR به صورت زیر است:

$ openssl genrsa -out onionxxxxxx_onion.key 4096 # Create the private key

$ cat > san.cnf <<EOF # Create a CSR config file

[ req ]

default_bits       = 2048

distinguished_name = req_distinguished_name

req_extensions     = req_ext

prompt             = no

[ req_distinguished_name ]

countryName         = US

stateOrProvinceName = California

localityName        = San Francisco

organizationName    = Your Organization Here

commonName          = onionxxxxxx.onion

[ req_ext ]

subjectAltName = @alt_names

[alt_names]

DNS.1   = *.onionxxxxxx.onion

DNS.2   = *.s3.onionxxxxxx.onion

EOF

$ # Create the CSR to give to DigiCert

$ openssl req -new -verbose -out sslcert.csr -key onionxxxxxx_onion.key -config san.cnf

یکی از موانع، این است که فرایند اثبات مالکیت آدرس به چند مرحله متفاوت تایید نیاز دارد. یکی از این مراحل، EV دقیق ایجاد قرارداد با نماینده سازمانی است که در دیجی‌سرت وجود دارد. مرحله دیگر، نمایش کاربردی و عملی به صورت ثبت DNS TXT یا درخواست HTTP به یک مسیر URL شناخته‌شده است. از آنجایی که آدرس‌های onion دارای DNS نیستند، تایید TXT غیرممکن خواهد بود. این موضوع باعث می‌شود که نمایش کاربردی HTTP تنها گزینه موجود باشد.

مرورگر بریو

سپس وب سروری مربوط به این آدرس در پورت ۸۰ (غیر SSL) ایجاد کنید. اگر این موارد بتوانند با موفقیت رشته را دریافت کنند، متوجه خواهند شد که کنترل آدرس در اختیار شما است. متاسفانه، هنگامی که این فرآیند را با دیجی‌سرت انجام دادیم، درخواست به ۲ دلیل کار نکرد. دلیل اول این بود که ETOK مسیر تمام ترافیک غیر SSL را به شنونده listener) SSL) تغییر می‌داد. در نتیجه، درخواست ناموفق می‌شد زیرا هم‌چنان در حال اجرای مجوز خودامضاشده مبتنی بر ETOK بودیم. ETOK این ویژگی را دارد تا در خدمت رشته‌های کوتاه نظیر رشته‌های مورد نیاز برای فرآیندی باشد که از گزینه تنظیمات “hardcoded_endpoint_csv” استفاده می‌کند، اما متاسفانه به دلیل هدایت مجدد redirect) SSL)، عملکرد مناسبی ندارد. ما توانستیم تنظیمات OpenResty را تغییر دهیم تا بلاک تنظیمات مسئول بخش سرور پورت ۸۰ را انتقال دهیم.

$ cat brave.conf

set hardcoded_endpoint_csv ^/\\.well-known/pki-validation/fileauth.txt$,abc123

hardmap secrets/${var.onion_domain}.key ${var.external_domain}

پس از مشاوره با نویسنده، به ما گفته شد که گزینه “force_http” این موضوع را اصلاح خواهد کرد. مشکل دیگر این است که تاییدکننده خودکار دیجی‌سرت نمی‌تواند ترافیک تور را هدایت کند زیرا درخواست‌ها هم‌چنان ناموفق می‌شوند. هرچند پس از صحبت با تیم پشتیبانی دیجی‌سرت، این مشکل سریعا برطرف شد.

ما مجبور شدیم که مجوزها را چند بار مجددا صادر کنیم تا چند موضوع SAN به زیر دامنه‌ها اضافه کنیم. نکته قابل ذکر در این خصوص، آن است که حتی اگر موضوعات SAN را در CSR خود به‌روزرسانی کنید، باز هم منجر به افزودن آنها به مجوز مجددا صادرشده نخواهد شد و باید از طریق رابط کاربری وب دیجی‌سرت اضافه شود.

brave تور

پس از آنکه مجوز را به دست آوردیم، آن را وارد EOTK کردیم و متوجه شدیم که صفحات وب به درستی نشان داده شدند و دانلودها بدون دریافت خطای مجوز کار کردند. این موضوع، نقطه عطف بسیار رضایت‌بخشی بود.

چند مورد دستکاری رشته توسط EOTK انجام می‌شود تا URL ها و بعضی از متن‌های صفحات بازنویسی شوند تا به آدرس‌های onion. ارجاع داده شوند. این موضوع بسیار رضایت‌بخش است، هرچند از بعضی از رشته‌ها باید محافظت شود. برای مثال، ما دارای چندین آدرس ایمیل نظیر [email protected] هستیم که در brave.com فهرست شده‌اند. این آدرس ایمیل به صورت [email protected] بازنویسی شده است. از آنجایی که هنوز سرور ایمیلی به عنوان سرویس onion اجرا نشده است، این آدرس‌های ایمیل کار نمی‌کنند، در نتیجه باید به صورت [email protected] باقی بمانند. EOTK دارای گزینه “preserve_csv” به منظور نگهداری این رشته‌ها است.

set preserve_csv adsales,[email protected]\\.com,i,[email protected] \

                   bizdev,[email protected]\\.com,i,[email protected] \

                   press,[email protected]\\.com,i,[email protected]

پیشنهاد دیگر، استفاده از هدر پاسخگوی موقعیت onion یا Onion-Location response header در وبسایت است که به آدرس onion شما اشاره می‌کند. این موضوع، به کاربر و مرورگر یادآور می‌شود که این سایت به عنوان سرویس onion در دسترس است.

resource "aws_instance" "web" {
  # Ubuntu 18.04, source omitted for length
  ami           = data.aws_ami.ubuntu.id
  instance_type = "t3.micro"

  user_data = <<-USER_DATA
  #!/bin/bash
  # Instructions from https://github.com/alecmuffett/eotk/blob/master/docs.d/HOW-TO-INSTALL.md
  apt update -y; apt install -y git aws-cli

  git clone https://github.com/alecmuffett/eotk.git /eotk
  cd /eotk
  ./opt.d/build-ubuntu-18.04.sh

  export AWS_DEFAULT_REGION=us-west-2
  # Enables HiddenServiceNonAnonymousMode and HiddenServiceSingleHopMode
  export TOR_SINGLE_ONION=1

  cat > default.conf <<-EOF
  set hardcoded_endpoint_csv ^/\\.well-known/pki-validation/fileauth.txt$,abcdefg
  hardmap secrets/onionxxxxxx.key onionxxxxxx
  EOF

  # Ideally place these somewhere secret, like AWS SSM
  (umask 077
   cat > secrets.d/onionxxxxxx.key <<-EOF
   -----BEGIN RSA PRIVATE KEY-----
   -----END RSA PRIVATE KEY-----
   EOF
  )

  ./eotk config default.conf
  mkdir projects.d/default.d/ssl.d

  (umask 077
   cat > projects.d/default.d/ssl.d/onionxxxxxx.onion.pem <<-EOF
   -----BEGIN PRIVATE KEY-----
   -----END PRIVATE KEY-----
   EOF

   # 2 certs in here, DigiCert's intermediate and ours
   cat > projects.d/default.d/ssl.d/onionxxxxxx.onion.cert <<-EOF 
   -----BEGIN CERTIFICATE-----
   -----END CERTIFICATE-----
   -----BEGIN CERTIFICATE-----
   -----END CERTIFICATE-----
   EOF
  )

  ./eotk start default
  USER_DATA
}

امیدواریم این مقاله به شما نحوه اجرای موفق سرویس onion را آموخته باشد. لطفاً سوالات و نظرات خود را با ما در میان بگذارید.


54321
امتیاز کاربران

منبع brave
ممکن است شما دوست داشته باشید

ارسال نظر