Проєкт Tor оголосив про поетапний перехід на новий алгоритм шифрування трафіку Counter Galois Onion (CGO), який має замінити застарілу схему tor1. Ця криптографічна модернізація спрямована на посилення анонімності, протидію складним атакам на цілісність трафіку та приведення протоколу Tor у відповідність до сучасних стандартів безпеки.
Чому мережа Tor відмовляється від шифрування tor1
Схема tor1 створювалася в епоху, коли масштаб спостереження та обчислювальні можливості атакувальників були істотно меншими. Сьогодні анонімні мережі змушені протистояти не лише окремим зловмисникам, а й державним структурами з доступом до глобального моніторингу трафіку. На цьому тлі обмеження tor1 стали критичними, і команда Tor вирішила оновити базовий механізм шифрування у всій мережі.
Головний недолік tor1 — використання AES у режимі CTR без аутентифікації між вузлами. Така схема забезпечує конфіденційність, але практично не захищає цілісність даних: шифротекст можна змінити, не знаючи ключа, і зміни передбачувано позначаться на розшифрованому вмісті. Для анонімної мережі це серйозна прогалина.
Tagging-атаки: кореляція трафіку через навмисні спотворення
Наявність шифрування без повноцінної перевірки цілісності відкриває шлях до tagging-атак. Якщо зловмисник контролює кілька вузлів (наприклад, вхідний і вихідний), він може ледь помітно модифікувати частину трафіку на вході — «позначити» його. Потім, спостерігаючи за вихідним трафіком, атакувальник шукає ті ж самі характерні зміни та корелює перенаправлення, звужуючи анонімність користувача. Подібні підходи описані в низці академічних робіт з анонімних мереж і на практиці вважаються досяжними для добре забезпечених супротивників.
Обмежена forward secrecy та слабка перевірка цілісності
Ще одна проблема tor1 — лише часткове забезпечення прямої секретності (forward secrecy). Один і той самий ключ AES може використовуватися протягом усього життя окремого ланцюга (circuit). Якщо цей ключ буде згодом скомпрометовано (наприклад, через злам вузла або витік журналів), зловмисник зможе розшифрувати весь раніше перехоплений трафік по цьому ланцюгу.
Для контролю цілісності в tor1 застосовувався всього 4-байтний дайджест SHA‑1 — фактично сильно урізана контрольна сума. Такий 32-бітний тег дає близько одного шансу з чотирьох мільярдів на успішну підробку блоку без виявлення. З огляду на сучасні обчислювальні ресурси, а також на те, що SHA‑1 вже офіційно визнано застарілим алгоритмом хешування, такий рівень захисту вважається недостатнім для мережі, яка позиціонує себе як інструмент протидії масовому стеженню.
Як алгоритм Counter Galois Onion (CGO) посилює шифрування Tor
Новий алгоритм Counter Galois Onion (CGO) побудований на криптографічній конструкції типу Rugged Pseudorandom Permutation (RPRP) під назвою UIV+. Йдеться про стійке псевдовипадкове перетворення, спроєктоване з урахуванням цілеспрямованих збоїв, підробок та інших активних атак. Конструкція пройшла криптоаналіз на відповідність актуальним вимогам до безпеки.
На відміну від tor1, CGO інтегрує шифрування та перевірку цілісності й автентичності даних. Це суттєво ускладнює або повністю нівелює можливість ефективних tagging-атак, оскільки будь-яка некоректна модифікація трафіку з великою ймовірністю буде виявлена та відхилена. Крім того, модель forward secrecy покращена: навіть у випадку компрометації окремих ключів їхня корисність для зловмисника обмежується вужчим часовим вікном і меншим обсягом даних.
Розробники Tor підкреслюють, що практична ефективність була однією з основних вимог до CGO. Алгоритм спроєктовано таким чином, щоб мінімізувати вплив на пропускну спроможність та затримки, використовуючи сучасні апаратні оптимізації для симетричної криптографії. Очікується, що перехід на нову схему шифрування відбудеться без помітного погіршення швидкості для більшості користувачів.
Впровадження CGO в Tor, Arti та onion-сервіси
Інтеграція CGO вже ведеться у двох ключових компонентах екосистеми Tor: основній C-реалізації Tor і Rust-клієнті Arti. Наразі новий алгоритм доступний як експериментальна функція, відкритий для тестування дослідниками безпеки, операторами вузлів і технічно підготовленими користувачами.
Одне з пріоритетних завдань на найближчі місяці — узгодження параметрів CGO для onion-сервісів та оптимізація продуктивності на реальних навантаженнях. Tor традиційно дотримується вкрай обережного підходу до криптографічних змін: перед увімкненням нових механізмів за замовчуванням проводяться незалежні аудити, масштабне тестування і поступове розгортання в мережі.
Для більшості користувачів перехід на CGO відбудеться автоматично після того, як алгоритм буде включено до стабільних версій клієнтів Tor. Якихось ручних налаштувань або міграцій робити не доведеться, однак надзвичайно важливо своєчасно оновлювати Tor Browser та інші клієнти, щоб отримати переваги нового шифрування. Конкретний графік, коли CGO стане стандартом «за замовчуванням» у всій мережі, поки не оприлюднено — це типова практика для довгострокових криптоміграцій, де пріоритетом є надійність, а не швидкість переходу.
Для журналістів, правозахисників, бізнесу й приватних користувачів, які покладаються на анонімність у мережі Tor, впровадження CGO означає додатковий рівень захисту від перехоплення трафіку та складних атак на кореляцію даних. Щоб максимально використати потенціал нового алгоритму шифрування Tor, доцільно регулярно оновлювати клієнти, стежити за рекомендаціями Tor Project щодо безпечної роботи (відмова від плагінів, уважне ставлення до deanonymizing-активності у браузері) та загалом підвищувати цифрову гігієну. Посилення протоколу — важливий крок, але реальна анонімність завжди є поєднанням сильних технологій та виваженої моделі поведінки користувача.
