Tor, eski tor1 aktarma şifreleme algoritmasını Counter Galois Onion (CGO) adı verilen yeni bir tasarımla değiştirerek devre trafiği için gelişmiş şifreleme ve güvenlik sağladığını duyurdu.
Bu kararın ardındaki nedenlerden biri, veri güvenliğini tehlikeye atabilecek ve Tor kullanıcısının anonimliğini zayıflatabilecek modern trafiğe müdahale saldırılarına karşı ağı daha dayanıklı hale getirmektir.
Tor ağı, veri paketlerinin üç röle (giriş, orta ve çıkış) aracılığıyla hedeflerine gitmesi için bir devre oluşturan binlerce röleden oluşan küresel bir sistemdir ve her atlama noktası bir şifreleme katmanı (onion yönlendirme) ekler.
Tor ağında gezinmek için tasarlanmış, Firefox’un güçlendirilmiş bir sürümü olan Tor Tarayıcı kullanıcıları, özel olarak iletişim kurmak, bilgileri anonim olarak paylaşmak veya bilgilere erişmek, sansürü atlamak ve ISP düzeyindeki izlemeden kaçınmak için bu soğan yönlendirmesinden yararlanır.
Tipik olarak Tor, muhalifler, aktivistler, ihbarcılar, gazeteciler, araştırmacılar ve darknet pazarlarına erişmek isteyen siber suçlular da dahil olmak üzere genel olarak gizlilik bilincine sahip kişiler tarafından kullanılıyor.
Tor ekibinin bir duyuruda açıkladığı gibi Tor1, kriptografinin bugüne göre çok daha az gelişmiş olduğu bir zamanda geliştirildi ve o zamandan bu yana standartlar önemli ölçüde gelişti.
Tor1 tasarımıyla ilgili bir sorun, atlamalı kimlik doğrulaması olmadan AES-CTR şifrelemesini kullanmasıdır, bu da şekillendirilebilir geçiş şifrelemesine yol açar. Bu, bir saldırganın kontrol ettiği aktarıcılar arasındaki trafiği değiştirebileceği ve öngörülebilir değişiklikleri gözlemleyebileceği anlamına gelir; bu, dahili gizli kanal saldırı sınıfının bir parçası olan bir etiketleme saldırısıdır.
Diğer bir sorun ise tor1’in devrenin ömrü boyunca aynı AES anahtarlarını yeniden kullanarak kısmi iletme gizliliği kullanması ve anahtar hırsızlığı durumunda şifrenin çözülmesini sağlamasıdır.
Üçüncü bir güvenlik endişesi, tor1’in hücre kimlik doğrulaması için 4 baytlık bir SHA-1 özeti kullanması ve saldırganlara tespit edilmeden bir hücre oluşturma olasılığını 4 milyarda bir vermesidir.
Tor projesi, listedeki yalnızca ilk saldırının daha şiddetli olduğunu ve son iki örnekten “tamlık adına” bahsedildiğini belirtiyor.
CGO’ya Giriş
CGO yukarıdaki sorunları giderir. Kriptografi araştırmacıları Jean Paul Degabriele, Alessandro Melloni, Jean-Pierre Münch ve Martijn Stam tarafından tasarlanan, UIV+ adı verilen Sağlam Pseudorandom Permutation (RPRP) yapısı üzerine inşa edilmiştir.
Tor, bu sistemin “etiketleme direnci, anında iletme gizliliği, daha uzun kimlik doğrulama etiketleri, sınırlı bant genişliği yükü, nispeten verimli çalışma ve modernleştirilmiş kriptografiye” karşı koruma dahil olmak üzere belirli güvenlik gereksinimlerini karşıladığının doğrulandığını söylüyor.
Özellikle CGO, Tor1’e kıyasla aşağıdaki özellikleri geliştirir:
- Etiketleme koruması: CGO geniş bloklu şifreleme ve etiket zincirleme kullanır, bu nedenle herhangi bir değişiklik tüm hücreyi ve gelecekteki hücreleri kurtarılamaz hale getirerek etiketleme saldırılarını engeller.
- İletim gizliliği: CGO, anahtarları her hücreden sonra günceller, böylece mevcut anahtarlar açığa çıksa bile geçmiş trafiğin şifresi çözülemez.
- Daha güçlü kimlik doğrulama: SHA-1 geçiş şifrelemesinden tamamen kaldırılmıştır ve CGO, Tor ekibinin “mantıklı insanların kullandığı” yorumunu yaptığı 16 baytlık bir kimlik doğrulayıcı kullanır.
- Devre bütünlüğü: CGO, hücreler arasında T’ (şifreli etiket) ve N’yi (ilk nonce) zincirler, böylece her hücre önceki hücrelerin tümüne bağımlı olur ve kurcalamaya karşı direnç sağlar.
Genel olarak CGO, Tor1’in birçok sorununu büyük bant genişliği cezalarına maruz kalmadan çözen modern, araştırmaya dayalı bir şifreleme ve kimlik doğrulama sistemidir.
Proje sahipleri, CGO’nun C Tor uygulamasına ve onun Rust tabanlı istemcisi Arti’ye eklenmesinin devam ettiğini ve özelliğin deneysel olarak işaretlendiğini söylüyor. Bekleyen çalışmalar, soğan hizmeti anlaşmasının ve performans optimizasyonlarının eklenmesini içerir.
Tor tarayıcı kullanıcılarının CGO’dan yararlanmak için herhangi bir şey yapmasına gerek yok çünkü yeni sistem tam olarak devreye alınabildiğinde değişiklik otomatik olarak gerçekleşecek. Ancak bunun ne zaman varsayılan seçenek haline geleceğine ilişkin bir zaman çizelgesi sağlanmadı.
Bütçe mevsimi! 300’den fazla CISO ve güvenlik lideri, önümüzdeki yıl için nasıl planlama, harcama ve önceliklendirme yaptıklarını paylaştı. Bu rapor onların içgörülerini derleyerek okuyucuların stratejileri karşılaştırmasına, ortaya çıkan trendleri belirlemesine ve 2026’ya girerken önceliklerini karşılaştırmasına olanak tanıyor.
Üst düzey liderlerin yatırımı nasıl ölçülebilir etkiye dönüştürdüğünü öğrenin.