Разработчики Tor Project объявили о внедрении нового алгоритма шифрования трафика Counter Galois Onion (CGO), который призван заменить устаревшую схему tor1. Обновление направлено на усиление анонимности, снижение рисков компрометации трафика и приведение протокола Tor в соответствие с современными криптографическими стандартами.
Почему Tor отказывается от старого алгоритма tor1
Схема шифрования tor1 разрабатывалась в период, когда требования к криптографии и масштабы атак были существенно ниже, чем сегодня. Со временем на первый план вышли уязвимости, связанные с использованием устаревших примитивов и ограниченной защитой целостности данных. По данным разработчиков, именно эти факторы побудили команду Tor пересмотреть базовый механизм шифрования во всей сети.
Ключевая проблема tor1 — использование режима AES-CTR без аутентификации между узлами. Такой подход шифрует данные, но не защищает их целостность. Это открывает дорогу так называемым tagging-атакам, при которых злоумышленник, контролирующий несколько узлов в цепочке, может намеренно модифицировать часть трафика и затем отслеживать предсказуемые изменения, сопоставляя входящие и исходящие потоки.
Ограниченная forward secrecy и слабая аутентификация
Еще одно слабое место tor1 — лишь частичная реализация прямой секретности (forward secrecy). В текущей схеме одни и те же ключи AES используются на протяжении всей жизни цепочки (circuit). Если ключ удается украсть или восстановить задним числом, атакующий может расшифровать весь трафик по этой цепочке, включая уже переданные данные.
Для проверки целостности блоков в tor1 применялся всего 4-байтный дайджест SHA‑1. Это по сути укороченная контрольная сумма, дающая злоумышленнику около одного шанса из четырех миллиардов на успешную подделку блока. С учетом современных вычислительных мощностей и распределенных атак такой запас прочности уже считается недостаточным для систем, ориентированных на сильную анонимность и противостояние государственным противникам.
Новый алгоритм CGO: современный подход к шифрованию трафика Tor
Алгоритм Counter Galois Onion (CGO) основан на криптографической конструкции Rugged Pseudorandom Permutation (RPRP) под названием UIV+. Эта схема спроектирована с учетом последних исследований в области устойчивых к сбоям и злонамеренным модификациям преобразований и прошла криптоанализ на соответствие современным требованиям безопасности.
С точки зрения архитектуры CGO решает несколько фундаментальных проблем tor1. Во-первых, усиливается защита целостности и аутентичности данных, что делает tagging-атаки существенно более сложными или неэффективными. Во-вторых, улучшается модель forward secrecy, снижая ценность даже успешно скомпрометированных ключей. В совокупности это повышает устойчивость сети к атакующим, способным контролировать или мониторить часть узлов Tor.
Разработчики Tor подчеркивают, что переход на CGO не должен привести к серьезным потерям в пропускной способности и задержках. Схема проектировалась как практически применимая, с учетом ограничений реальной сети и необходимости обслуживать миллионы пользователей по всему миру.
Интеграция CGO в экосистему Tor и статус внедрения
Работы по реализации CGO уже ведутся сразу в двух ключевых компонентах экосистемы: в основной C-реализации Tor и в Rust-клиенте Arti. На данном этапе новый алгоритм имеет статус экспериментальной функции, доступной для тестирования и анализа со стороны сообщества и исследователей в области кибербезопасности.
Одним из задач на ближайшее время разработчики называют настройку согласования параметров для onion-сервисов и оптимизацию производительности на реальных нагрузках. Tor традиционно придерживается консервативного подхода: новые криптографические механизмы включаются по умолчанию только после тщательного аудита, тестирования и постепенного разворачивания в сети.
Переход на CGO для конечных пользователей будет происходить автоматически после полного развертывания алгоритма в стабильных версиях. При этом конкретные сроки, когда CGO станет стандартом по умолчанию во всех клиентах Tor, пока не объявлены, что типично для долгосрочных криптографических миграций.
Для пользователей и администраторов, полагающихся на анонимность в сети Tor — включая журналистов, правозащитные организации, бизнес и индивидуальных пользователей, — обновление означает более высокий уровень защиты от перехвата трафика и сложных атак на корреляцию данных. Чтобы максимально использовать преимущества нового алгоритма шифрования, имеет смысл следить за обновлениями Tor, своевременно устанавливать новые версии и учитывать изменения в рекомендациях по безопасному использованию сети.
