Разработчики Tor об отказе от v2-адресов

По сообщению девелоперов из Tor Project, они отказываются от второй версии Onion Service, которая использует "короткие" onion-адреса вида abcdefghijklmnop.onion. На домашней странице Tor Browser сказано, что такие адреса перестанут работать 15 октября, а адреса для V3 с 56 символами перед .onion станут единственными доступными.

Озвученная причина: «одним словом: безопасность». Недостатки V2 известны команде уже давно, и ещё в 2018 в Tor добавлена поддержка V3.

Первые два недостатка: Onion service V2 использует криптографический алгоритм RSA-1024 и 80-битный SHA1.

Полноценный алгоритм SHA1 является 160-битным с числом раундов равным 80. Onion service V2 использует его более слабую 80-битную версию.

Ещё в 2005 году на усечённую версию SHA1 (53 раунда, а не 80) была проведена теоретическая атака профессиональными криптографами, которая позволяет находить коллизии за 2 в 33-й степени операций. А чуть позднее в том же году – на полноценный SHA1 за 2 в 69-й степени. При том, что брутфорс позволяет это сделать за 2 в 80-й степени. А нахождение исходного сообщения по его хешу требует 2 в 160-й степени операций.

В 2006 и 2007 новые успехи криптоаналитиков: коллизии в полноценном SHA1 за 2 в 63-й степени и в 64-раундовом за 2 в 35-й степени. Учёные получают за это престижные премии, а эксперты предсказывают первые реальные получения исходного сообщения по его хешу в ближайшие 5-10 лет.

В 2015 коллизию в полноценном SHA1 научились находить за 2 в 57-й степени операций. А Национальный институт стандартов и технологий США запланировал полный отказ от SHA-1 в цифровых подписях.

Наконец, 23 февраля 2017 года Национальный исследовательский институт математики и информатики в Амстердаме совместно с Google провели первую настоящую атаку. Они опубликовали два PDF-файла с одинаковой контрольной суммой SHA-1 – то есть практически доказали ненадёжность всего, что хешировано этим алгоритмом. Правда, для этого им понадобились большие мощности, а на одном графическом процессоре это заняло бы около 110 лет.

На данный момент за успешный взлом RSA-1024 объявлена награда в $100 тысяч. В 2010 году учёные вычислили исходное сообщение, зашифрованное RSA длиной 768 бит. Также они были уверены, что от RSA-1024 нужно отказаться в ближайшие 3-4 года. Что сделала, например, Mozilla: с 2014 года её браузеры не поддерживают сертификаты удостоверяющих центров с ключами RSA меньше 2048 бит.

Причём от могущественных спецслужб США и Европы можно ожидать, что для взлома алгоритмов они наймут учёных в тайне от общества, и не будут публиковать свой успех.

V2 использует процедуру подтверждения связи (handshake) под названием TAP. Она уже много лет как не используется в Tor, за исключением V2. Примитивная система директорий делает её уязвимой для атаки путём перечисления и прогнозирования местоположения. Это даёт узлам HSDir слишком большую возможность проводить против V2-адресов атаки перечисления и даже блокировать их.

Наконец, код V2 попросту не развивается уже долгое время. Разработчики, по своим же словам, закрывают только самые серьёзные уязвимости. Поэтому к 15 октября пользователям не оставляют выбора: V2 отключается в пользу V3, доступной с 2018 года.