Sobre o Tor

A comunicação pela Internet é baseada em um modelo de armazenar e encaminhar que pode ser entendido em analogia ao correio postal: os dados são transmitidos em blocos chamados datagramas IP ou pacotes. Cada pacote inclui um endereço IP de origem (do remetente) e um endereço IP de destino (do destinatário), assim como as cartas comuns contêm endereços postais do remetente e do destinatário. O caminho do remetente ao destinatário envolve vários saltos de roteadores, onde cada roteador inspeciona o endereço IP de destino e encaminha o pacote para mais perto de seu destino. Assim, todo roteador entre o remetente e o destinatário aprende que o remetente está se comunicando com o destinatário. Em particular, seu ISP local está em posição de construir um perfil completo de seu uso da Internet. Além disso, todos os servidores na Internet que podem ver qualquer um dos pacotes podem traçar o perfil do seu comportamento.

O objetivo do Tor é melhorar sua privacidade enviando seu tráfego por meio de uma série de proxies. Sua comunicação é criptografada em várias camadas e roteada por vários saltos pela rede Tor até o receptor final. Mais detalhes sobre este processo podem ser encontrados nesta visualização. Observe que tudo o que seu ISP local pode observar agora é que você está se comunicando com os nós do Tor. Da mesma forma, os servidores na Internet apenas veem que estão sendo contatados pelos nós do Tor.

De um modo geral, o Tor visa resolver três problemas de privacidade:

Primeiro, o Tor impede que sites e outros serviços aprendam sua localização, que eles podem usar para criar bancos de dados sobre seus hábitos e interesses. Com o Tor, suas conexões com a Internet não o denunciam por padrão -- agora você pode escolher, para cada conexão, quanta informação revelar.

Em segundo lugar, o Tor impede que as pessoas que assistem ao seu tráfego localmente (como seu ISP ou alguém com acesso ao seu w-ifi ou roteador doméstico) saibam quais informações você está obtendo e de onde está obtendo. Também os impede de decidir o que você pode aprender e publicar - se você pode acessar qualquer parte da rede Tor, pode acessar qualquer site na Internet.

Em terceiro lugar, o Tor roteia sua conexão através de mais de um retransmissor do Tor para que nenhum retransmissor único possa saber o que você está fazendo. Já que esses retransmissores são administrados por diferentes indivíduos ou organizações, a distribuição da confiança fornece mais segurança do que a velha abordagem do proxy de um único salto.

Observe, no entanto, que há situações em que o Tor falha totalmente em resolver esses problemas de privacidade: veja a entrada abaixo em ataques restantes.

Como mencionado acima, um observador que consiga ver tanto você quanto seu site de destino (ou seu nó de saída Tor) pode relacionar os horários do seu tráfego quando entra na rede Tor, e também quando sai. O Tor não se defende contra tal modelo de ameaça.

Em um sentido mais limitado, observe que, se um censor ou agência de aplicação da lei tiver a capacidade de obter observação específica de partes da rede, é possível que eles verifiquem a suspeita de que você fala regularmente com seu amigo observando o tráfego nas duas extremidades e correlacionando o tempo apenas desse tráfego. Novamente, isso é útil apenas para verificar se as partes já suspeitas de se comunicar estão fazendo isso. Na maioria dos países, a suspeita necessária para obter um mandado já tem mais peso do que a correlação de tempo forneceria.

Além disso, como o Tor reutiliza circuitos para várias conexões TCP, é possível associar tráfego não anônimo e anônimo em um determinado nó de saída, portanto, tenha cuidado com os aplicativos que você executa simultaneamente no Tor. Talvez até execute clientes Tor separados para esses aplicativos.

O nome "Tor" pode referir-se a diversos componentes.

Tor é um programa que você pode rodar no seu computador que lhe ajuda a se manter seguro na Internet. Isso te protege retransmitindo suas comunicações em uma rede distribuída de relés, rodada por pessoas voluntárias ao redor do mundo: evita que alguém que esteja observando sua conexão com a Internet saiba dos sites que você visita, e que estes saibam a sua localização física. Este set de relés voluntários se denomina Rede Tor.

A maneira como a maioria das pessoas utiliza o Tor é com o Navegador Tor, uma versão do Firefox que conserta muitos dos problemas de privacidade. Você pode ler mais sobre o Tor em nossa página Sobre.

O Projeto Tor é uma organização sem fins lucrativos (de caridade) que mantém e desenvolve o software Tor.

Tor é a rede Onion routing. Quando estávamos iniciando o novo design e implementação de roteamento de onion da próxima geração em 2001-2002, diríamos às pessoas que estávamos trabalhando no roteamento de onion e elas diriam "Legal. Qual?" Mesmo se o roteamento da onion se tornar um termo doméstico padrão, o Tor de fato nasceu de um projeto de roteamento de onion feito pelo Naval Research Lab.

(Também tem um bom significado em alemão e turco.)

Nota: mesmo que originalmente tenha vindo de um acrônimo, o Tor não está escrito "TOR". Somente a primeira letra é maiúscula. De fato, geralmente podemos identificar pessoas que não leram nenhum de nosso site (e aprenderam tudo o que sabem sobre o Tor em artigos de notícias) pelo fato de escreverem errado.

Não, não faz. Você precisa usar um programa separado que entenda seu aplicativo e protocolo e saiba como limpar ou "limpar" os dados que ele envia. O Navegador Tor tenta manter os dados no nível do aplicativo, como a sequência do agente do usuário, uniforme para todos os usuários. O Navegador Tor, porém, não consegue fazer nada em relação ao texto que você digita nos formulários.

Um provedor de proxy típico configura um servidor em algum lugar da Internet e permite que você o use para retransmitir seu tráfego. Isso cria uma arquitetura simples e fácil de manter. Todos os usuários entram e saem pelo mesmo servidor. O provedor pode cobrar pelo uso do proxy ou financiar seus custos através de anúncios no servidor. Na configuração mais simples, você não precisa instalar nada. Você apenas precisa apontar o navegador para o servidor proxy. Provedores de proxy simples são ótimas soluções se você não deseja proteções para sua privacidade e anonimato online e confia que o provedor não fará coisas ruins. Alguns provedores de proxy simples usam SSL para proteger sua conexão com eles, o que protege contra intrusos locais, como os de um café com Internet Wi-Fi gratuita.

Provedores de proxy simples também criam um único ponto de falha. O provedor sabe quem você é e o que você navega na Internet. Eles podem ver seu tráfego enquanto ele passa pelo servidor deles. Em alguns casos, eles podem até ver dentro do seu tráfego criptografado enquanto o retransmitem para o seu site bancário ou para as lojas de comércio eletrônico. Você precisa confiar que o provedor não está assistindo seu tráfego, injetando seus próprios anúncios em seu fluxo de tráfego ou gravando seus dados pessoais.

O Tor passa seu tráfego por pelo menos três servidores diferentes antes de enviá-lo ao destino. Como há uma camada separada de criptografia para cada um dos três relés, alguém assistindo à sua conexão com a Internet não pode modificar ou ler o que você está enviando para a rede Tor. Seu tráfego é criptografado entre o cliente Tor (no seu computador) e onde ele sai em algum outro lugar do mundo.

O primeiro servidor não vê quem eu sou?

Possivelmente. Um mau primeiro de três servidores pode ver o tráfego Tor criptografado vindo do seu computador. Ainda não sabe quem você é e o que está fazendo com Tor. Ele apenas vê "Este endereço IP está usando o Tor". Você ainda está protegido contra este nó, descobrindo quem você é e para onde está indo na Internet.

O terceiro servidor não consegue ver meu tráfego?

Possivelmente. Um terço ruim de três servidores pode ver o tráfego enviado para o Tor. Não saberá quem enviou esse tráfego. Se você estiver usando criptografia (como HTTPS), ele saberá apenas o destino. Veja esta visualização de Tor e HTTPS para entender como Tor e HTTPS interagem.

Sim.

O software Tor é software livre. Isso significa que concedemos a você o direito de redistribuir o software Tor, modificado ou não, mediante taxa ou gratuitamente. Você não precisa nos pedir permissão específica.

No entanto, se você deseja redistribuir o software Tor, deve seguir nossa LICENÇA. Essencialmente, isso significa que você precisa incluir nosso arquivo LICENSE junto com qualquer parte do software Tor que estiver distribuindo.

A maioria das pessoas que nos faz essa pergunta não deseja distribuir apenas o software Tor. Eles querem distribuir o navegador Tor. Isso inclui Firefox Extended Support Release e a extensão NoScript. Você precisará seguir a licença para esses programas também. Ambas as extensões do Firefox estão distribuídas sob a GNU General Public License, enquanto o Firefox ESR está sob a Licença Pública do Mozilla. A maneira mais simples de obedecer suas licenças é incluir o código fonte desses programas em todos os lugares em que você incluir os pacotes configuráveis.

Além disso, certifique-se de não confundir seus leitores sobre o que é o Tor, quem o cria e quais propriedades ele fornece (e não fornece). Veja nosso FAQ da marca para mais detalhes.

Existem muitos outros programas que você pode usar com o Tor, mas não pesquisamos os problemas de anonimato no nível do aplicativo em todos eles o suficiente para poder recomendar uma configuração segura. Nossa wiki possui uma lista mantida pela comunidade de instruções para Torificando aplicações específicas. Por favor, adicione a essa lista e nos ajude a mantê-la precisa!

A maioria das pessoas usa o Navegador Tor, que inclui tudo o que você precisa para navegar na web com segurança usando o Tor. Usar o Tor com outros navegadores é perigoso e não recomendado.

Não há absolutamente nenhum backdoor no Tor.

Conhecemos alguns advogados inteligentes que dizem que é improvável que alguém tente nos obrigar a adicionar um em nossa jurisdição (Estados Unidos). Se eles nos perguntarem, lutaremos contra eles e (dizem os advogados) provavelmente vencerão.

Nunca colocaremos um backdoor no Tor. Achamos que colocar um backdoor no Tor seria tremendamente irresponsável com os nossos usuários e um mau precedente para os softwares de segurança em geral. Se algum dia colocássemos um backdoor em nosso software de segurança, isso arruinaria nossa reputação profissional. Ninguém nunca mais confiaria no nosso software - por uma excelente razão!

Mas dito isso, ainda existem muitos ataques sutis que as pessoas podem tentar. Alguém pode se passar por nós, invadir nossos computadores ou algo assim. O Tor é de código aberto e você deve sempre verificar a fonte (ou pelo menos os diffs desde o último lançamento) quanto a suspeitas. Se nós (ou os distribuidores que lhe deram o Tor) não lhe dermos acesso ao código fonte, é um sinal claro de que algo engraçado pode estar acontecendo. Você também deve verificar as assinaturas PGP nos lançamentos, para ter certeza de que ninguém mexeu nos sites de distribuição.

Além disso, pode haver erros acidentais no Tor que podem afetar seu anonimato. Periodicamente, localizamos e corrigimos bugs relacionados ao anonimato, portanto, mantenha suas versões do Tor atualizadas.

Tor (como todos os projetos atuais de anonimato de baixa latência) falha quando o invasor pode ver ambas as extremidades do canal de comunicação. Por exemplo, suponha que o invasor controle ou observe o retransmissor do Tor que você escolheu para entrar na rede e também controle ou observe o site que você visita. Nesse caso, a comunidade de pesquisa não conhece nenhum projeto prático de baixa latência que possa impedir o invasor de correlacionar informações de volume e tempo nos dois lados.

Então o que deveríamos fazer? Suponha que o invasor controle ou possa observar os relés C. Suponha que haja N relés no total. Se você selecionar novos retransmissores de entrada e saída sempre que usar a rede, o invasor poderá correlacionar todo o tráfego enviado com probabilidade em torno de (c/n)2. Mas o perfil é, para a maioria dos usuários, tão ruim quanto ser rastreado o tempo todo: eles querem fazer algo com frequência sem que um invasor perceba, e o invasor perceber uma vez é tão ruim quanto o invasor perceber com mais frequência. Assim, escolher muitas entradas e saídas aleatórias não dá ao usuário nenhuma chance de escapar do perfilamento desse tipo de invasor.

A solução é "guardas de entrada": cada cliente Tor seleciona alguns retransmissores aleatoriamente para usar como pontos de entrada e usa apenas esses retransmissores para seu primeiro salto. Se esses relés não forem controlados ou observados, o invasor não poderá vencer, nunca, e o usuário estará seguro. Se essas retransmissões forem observadas ou controladas pelo invasor, o invasor verá uma fração maior do tráfego do usuário - mas ainda assim o perfil do usuário não será mais definido do que antes. Assim, o usuário tem alguma chance (da ordem de (n-c)/n) de evitar a criação de perfil, enquanto antes não tinha nenhuma.

Você pode ler mais em Uma análise da degradação dos protocolos anônimos, Defendendo a comunicação anônima contra ataques passivos de registro, e especialmente Localização de servidores ocultos.

Restringir seus nós de entrada também pode ajudar contra invasores que desejam executar alguns nós do Tor e enumerar facilmente todos os endereços IP do usuário do Tor. (Mesmo que eles não possam saber com quais destinos os usuários estão falando, eles ainda podem fazer coisas ruins com apenas uma lista de usuários.) No entanto, esse recurso não se tornará realmente útil até que mudemos para um design de "proteção de diretório" também.

O Tor usa uma variedade de chaves diferentes, com três objetivos em mente: 1) criptografia para garantir a privacidade dos dados dentro da rede Tor, 2) autenticação para que os clientes saibam que estão falando com os retransmissores com os quais pretendem falar e 3) assinaturas para garantir que todos os clientes conheçam o mesmo conjunto de relés.

Criptografia: primeiro, todas as conexões no Tor usam criptografia de link TLS, para que os observadores não possam olhar para dentro para ver a qual circuito uma determinada célula se destina. Além disso, o cliente Tor estabelece uma chave de criptografia efêmera com cada relé no circuito; essas camadas extras de criptografia significam que apenas o relé de saída pode ler as células. Ambos os lados descartam a chave do circuito quando o circuito termina, portanto, registrar o tráfego e invadir o relé para descobrir a chave não funcionará.

Autenticação: Todo retransmissor do Tor possui uma chave de descriptografia pública chamada "chave onion". Cada retransmissão gira sua chave de cebola a cada quatro semanas. Quando o cliente Tor estabelece circuitos, a cada passo ele exige que o retransmissor Tor prove conhecimento de sua chave onion. Dessa forma, o primeiro nó no caminho não pode simplesmente falsificar o resto do caminho. Como o cliente Tor escolhe o caminho, ele pode garantir a propriedade de "confiança distribuída" do Tor: nenhuma retransmissão única no caminho pode saber sobre o cliente e o que o cliente está fazendo.

Coordenação: Como os clientes sabem quais são os relés e como sabem que têm as chaves certas para eles? Cada relé tem uma chave de assinatura pública de longo prazo chamada "chave de identidade". Cada autoridade de diretório possui adicionalmente uma "chave de assinatura de diretório". As autoridades do diretório fornecem uma lista assinada de todos os retransmissores conhecidos e nessa lista há um conjunto de certificados de cada retransmissor (autoassinado por sua chave de identidade ) especificando suas chaves, locais, políticas de saída e assim por diante. Portanto, a menos que o adversário possa controlar a maioria das autoridades do diretório (a partir de 2022, existem 8 autoridades do diretório), eles não podem induzir o cliente Tor a usar outros retransmissores do Tor.

Como os clientes sabem quais são as autoridades do diretório?

O software Tor vem com uma lista interna de localização e chave pública para cada autoridade de diretório. Portanto, a única maneira de induzir os usuários a usar uma rede Tor falsa é fornecer a eles uma versão especialmente modificada do software.

Como os usuários sabem que têm o software certo?

Quando distribuímos o código-fonte ou um pacote, assinamo-lo digitalmente com GNU Privacy Guard. Veja as instruções sobre como verificar a assinatura do Navegador Tor.

Para ter certeza de que foi realmente assinado por nós, você precisa nos encontrar pessoalmente e obter uma cópia da impressão digital de nossa chave GPG, ou precisa conhecer alguém que tenha. Se você está preocupado com um ataque desse nível, recomendamos que se envolva com a comunidade de segurança e comece a conhecer pessoas.

O Tor reutilizará o mesmo circuito para novos fluxos TCP por 10 minutos, desde que o circuito esteja funcionando bem. (Se o circuito falhar, o Tor mudará para um novo circuito imediatamente.)

Mas observe que um único fluxo TCP (por exemplo, uma longa conexão IRC) permanecerá no mesmo circuito para sempre. Não rotacionamos fluxos individuais de um circuito para o outro. Caso contrário, um adversário com uma visão parcial da rede teria muitas chances ao longo do tempo para conectá-lo ao seu destino, em vez de apenas uma chance.