Создан ВМС США, чтобы прятать шпионов: тайная история Tor и луковичной маршрутизации

Самую используемую сеть анонимности на планете создали вовсе не активисты борьбы за приватность. Её создали вооружённые силы США — точнее, математики и специалисты по информатике из Исследовательской лаборатории ВМС США, которым нужен был способ позволить офицерам разведки пользоваться открытым интернетом, не выдавая того, что они работают на государство. Изобретённая ими технология называется луковичной маршрутизацией, а выросшее из неё программное обеспечение — Tor.

Но вот парадокс, который объясняет всё в работе Tor и в том, почему он существует именно в нынешнем виде: секретный инструмент связи, которым пользуются только шпионы, ничего не стоит, ведь любой, кто наблюдает за сетью, видит, что все в ней — шпионы. Чтобы спрятать собственных пользователей, систему анонимности ВМС пришлось передать журналистам, активистам, преступникам, исследователям и обычным людям по всему миру. Эта статья точно прослеживает ту историю — кто создал Tor, когда и зачем, — а затем делает то, чего избегает большинство статей в жанре «Tor против VPN»: честно объясняет, что на самом деле скрывает каждый из них.

Шпионская сеть с одним роковым изъяном

Представьте, что разведывательное ведомство строит частную зашифрованную сеть и допускает к ней только своих оперативников. Шифрование безупречно; прочитать сообщения не может никто. И всё же остаётся катастрофическая проблема. Любой, кто способен наблюдать за интернет-трафиком — например, оператор связи враждебного государства, — видит, кто подключается к этой сети. Ему не нужно взламывать шифрование. Сам факт, что компьютер в чужой столице связывается с «системой анонимности правительства США», и есть весь секрет — раскрытый целиком.

В этом и состоит ключевая идея, лежащая в основе устройства Tor. Анонимность — это свойство не отдельного человека, а толпы. Нельзя спрятаться в группе из одного. Технический термин для этого — множество анонимности: чем больше и разнообразнее сообщество пользователей, тем труднее выделить из него отдельного человека. Офицер военной разведки, просматривающий веб, невидим лишь тогда, когда студент в Бразилии, журналист в Турции и любитель приватности в Германии одновременно пользуются той же самой сетью, неотличимые друг от друга.

Частная сеть, которой пользуются одни шпионы, — это неоновая вывеска с надписью «здесь шпион». Единственный способ скрыть трафик государства — погрузить его внутрь трафика всех остальных.

Позже сами создатели Tor написали статью, прямо формулирующую эту мысль, с запоминающимся названием «Anonymity Loves Company» («Анонимность любит компанию»). Удобство системы анонимности и её безопасность — это не разные вопросы, а один и тот же вопрос. Инструмент, которым больше никто не пользуется, не может защитить никого, в том числе и тех, кто его создал. Вот почему ВМС не могли держать луковичную маршрутизацию засекреченной под замком. Чтобы защитить своих целевых пользователей, им пришлось отдать её всему миру.

Рождение в Исследовательской лаборатории ВМС

Луковичная маршрутизация была задумана в середине 1990-х годов в Исследовательской лаборатории ВМС США (NRL) в Вашингтоне. Трое исследователей, которым приписывают её изобретение, — математик Пол Сиверсон и специалисты по информатике Дэвид Голдшлаг и Майкл Рид. Их цель была конкретной и совсем не романтической: защитить разведывательную связь США, идущую по публичным сетям, чтобы наблюдатель не мог восстановить источник и назначение чувствительного трафика.

Первое публичное описание работы появилось в 1996 году в статье под названием «Hiding Routing Information» («Сокрытие маршрутной информации»), представленной на семинаре по сокрытию информации. Команда также подала патентную заявку; патент США 6 266 704 «Onion routing network for securely moving data through communication networks» был закреплён за ВМС США и выдан в 2001 году. Ранний прототип — иногда называемый луковичной маршрутизацией нулевого поколения — даже запускал своё доказательство концепции на одной-единственной машине, что было скорее научной демонстрацией, чем глобальной сетью.

Название буквально описывает саму методику. Сообщение оборачивается в последовательные слои шифрования, словно слои луковицы, и каждый ретранслятор, через который оно проходит, снимает ровно один слой — узнавая лишь столько, сколько нужно, чтобы передать сообщение на следующий узел, и ничего больше. Ни один ретранслятор никогда не видит одновременно и того, кто вы, и того, что вы делаете.

Луковичная маршрутизация простыми словами

Вот что на самом деле происходит, когда вы загружаете страницу через Tor. Ваше клиентское ПО выстраивает путь — называемый цепочкой — через три ретранслятора, работающих на добровольных началах и разбросанных по всему миру. Ваш трафик шифруется в три вложенных слоя ещё до того, как покинет ваш компьютер.

• Входной (или сторожевой) ретранслятор видит ваш настоящий IP-адрес — он знает, кто вы, — но из-за послойного шифрования не имеет понятия, какой сайт вы посещаете и что отправляете.

• Промежуточный ретранслятор не видит ни одного из концов. Он знает лишь, что получил данные от сторожевого узла и должен передать их выходному. Это курьер с завязанными глазами, передающий запечатанный пакет.

• Выходной ретранслятор снимает последний слой и отправляет ваш запрос на сайт назначения. Он видит, что вы делаете, — назначение и любое незашифрованное содержимое, — но видит адрес промежуточного ретранслятора, а не ваш. Он не имеет понятия, кто вы.

Безопасность системы рождается из этого разделения знания. Часть, которая знает вашу личность (сторож), слепа к вашей деятельности. Часть, которая знает вашу деятельность (выход), слепа к вашей личности. Чтобы вас раскрыть, противнику, как правило, нужно контролировать или наблюдать оба конца вашей цепочки — вход и выход — и сопоставлять тайминг трафика, что является реальной, но трудной атакой. К тому же по умолчанию Tor со временем переключается на новые цепочки, так что вы не привязаны к одному пути.

Именно эта структурная особенность важнее всего, когда мы дальше будем сравнивать Tor с VPN: доверие в Tor распределено между тремя независимыми сторонами, ни одна из которых не может деанонимизировать вас в одиночку. Ни один оператор не держит в руках всю картину.

От проекта ВМС к некоммерческой организации: рождение Tor Project

Версия технологии, которой пользуется сегодня большинство людей, — «Tor», изначально аббревиатура от The Onion Router («луковичный маршрутизатор»), — это переработка второго поколения. Около 2002 года Пол Сиверсон из NRL объединил усилия с двумя сторонними разработчиками, Роджером Динглдайном и Ником Мэтьюсоном, чтобы перестроить луковичную маршрутизацию в нечто практичное, готовое к развёртыванию и глобальное. Первые ретрансляторы сети Tor заработали в октябре 2002 года, а основополагающая статья об архитектуре, «Tor: The Second-Generation Onion Router», была опубликована на симпозиуме USENIX Security в 2004 году.

Принципиально важно, что проект стал открытым. ВМС выпустили код Tor под свободной и открытой лицензией, а значит, любой мог прочитать его, провести аудит, запустить ретранслятор и убедиться, что в нём нет скрытого бэкдора, — необходимое свойство для инструмента, вся ценность которого зависит от доверия пользователей. В 2004 году к финансированию дальнейшей разработки подключился Фонд электронных рубежей (EFF), помогая вывести Tor из чисто военной родословной в мир гражданских свобод.

В декабре 2006 года разработчики учредили The Tor Project, Inc. как некоммерческую научно-образовательную организацию со статусом 501(c)(3); в числе её основателей были Динглдайн, Мэтьюсон и Сиверсон. С тех пор Tor Project финансируется из разных источников, включая гранты правительства США (Национальный научный фонд, программы интернет-свободы Госдепартамента и то, что теперь называется Агентством США по глобальным медиа), частные фонды и индивидуальные пожертвования. Прочитать собственное изложение миссии и описание ПО проекта можно на сайте Tor Project.

Tor против VPN: два разных вида доверия

Большинство сравнений «Tor против VPN» сводят вопрос к тому, что «приватнее», как будто приватность — это единый регулятор. Такая постановка неверна. Честное различие состоит в том, кому вы вынуждены доверять и что они могут видеть.

Когда вы пользуетесь коммерческим VPN, ваш трафик шифруется от вашего устройства до сервера VPN-провайдера, который затем передаёт его в широкий интернет, используя IP-адрес провайдера. Это скрывает вашу активность от интернет-провайдера и от сайтов, которые вы посещаете (они видят IP-адрес VPN, а не ваш). Но обратите внимание, чего это не делает: сам VPN-провайдер находится посередине и видит одновременно ваш настоящий IP-адрес и каждое назначение, к которому вы подключаетесь. Вы не устранили единую точку доверия — вы перенесли её от своего интернет-провайдера к своей VPN-компании. Всё держится на честности этого одного провайдера, его политике логирования и его устойчивости к юридическому давлению.

Tor был спроектирован именно для того, чтобы устранить эту единственную доверенную сторону. Его трёхзвенная структура означает, что ни одна сущность — ни сторож, ни выход, ни сайт — не знает одновременно и того, кто вы, и того, что вы делаете. Вот компромисс, на который идёт Tor:

• VPN = доверие одному провайдеру. Одна компания видит вашу личность и ваши назначения. Быстро, просто, хорошо для сокрытия трафика от интернет-провайдера и от сайтов — но надёжно лишь настолько, насколько надёжна эта одна компания.

• Tor = распределённое доверие. Три независимых ретранслятора, никакого центрального оператора, никакого аккаунта, никакого платёжного следа. Намного устойчивее к деанонимизации — но медленнее и со своим особым слабым местом на выходе.

• Разные задачи. VPN — это инструмент приватности и доступа с доверенным оператором. Tor — это система анонимности, призванная устранить саму необходимость доверять какому-либо оператору.

Проблема выходного узла, которую обходят списочные статьи

Вот деталь, которую обычно опускают поверхностные сравнительные статьи. Поскольку выходной ретранслятор Tor снимает последний слой шифрования Tor, чтобы доставить ваш запрос на сайт назначения, оператор выхода может видеть всё, что вы отправляете в открытом виде. Если вы входите на сайт по обычному, незашифрованному HTTP, выходной ретранслятор может прочитать ваши логин и пароль. Tor скрывает от этого ретранслятора, кто вы, но он не зашифровывает волшебным образом ваше содержимое сквозным шифрованием с сайтом.

Это не теория. В 2007 году исследователь безопасности Дэн Эгерстад поднял несколько выходных ретрансляторов Tor и собрал работающие учётные данные электронной почты для десятков посольств и правительственных аккаунтов по всему миру — не взломав Tor, а просто читая незашифрованный трафик, который беспечные пользователи прогоняли через его выходные узлы. Урок актуален и сегодня: запустить выходной ретранслятор может кто угодно, в том числе и враждебный, поэтому транспортное шифрование до сайта назначения (HTTPS) по-прежнему имеет огромное значение при использовании Tor.

Для сравнения: «выход» у VPN — это провайдер, которого вы выбрали и (в идеале) проверили, а не случайный анонимный доброволец. Ни одна из моделей не является строго безопаснее — они дают сбой по-разному. VPN концентрирует риск в известной стороне; Tor распределяет его между неизвестными. Что приемлемо, целиком зависит от того, от чего вы защищаетесь.

Кого Tor на самом деле защищает — и проблема даркнета

Если отбросить мифологию, реальная база пользователей Tor широка и по большей части прозаична. Журналисты-расследователи используют его, чтобы прорабатывать материалы и защищать источники. Крупные новостные организации и правозащитные группы запускают на базе Tor системы анонимной подачи сведений информаторами — открытая платформа SecureDrop, используемая в том числе газетами и журналами, опирается на технологию скрытых сервисов Tor. Активисты и обычные граждане в странах с жёсткой цензурой используют его, чтобы добраться до открытого веба. Полиция и спецслужбы используют его ровно по той изначальной причине, что и NRL: чтобы делать свою работу, не афишируя IP-адреса своей организации. Среди материалов АНБ, утёкших благодаря Эдварду Сноудену в 2013 году, оказалась даже презентация ведомства с откровенным названием «Tor Stinks» («Tor — отстой»), где сетовали, что сеть оказалась достаточно эффективной, чтобы АНБ не могло надёжно деанонимизировать всех её пользователей по требованию.

И ещё есть проблема репутации. Та же функция скрытых сервисов, что позволяет газете разместить анонимную линию для наводок, позволяет работать и нелегальным площадкам — самой печально известной была наркоплощадка Silk Road, закрытая в 2013 году. Отсюда и кричащий образ Tor как «даркнета». Но важна пропорция: подавляющее большинство трафика Tor — это люди, анонимно просматривающие обычный веб. Onion-сервисы (сайты с адресами .onion, доступные только через Tor) составляют небольшую долю активности, и диапазон их широк — от криминальных площадок до зеркал ведущих новостных сайтов и крупных платформ, которые запускают их именно для того, чтобы обслуживать читателей в регионах с цензурой.

Почему государства финансируют то, что одновременно пытаются взломать

Самый странный факт в истории Tor состоит в том, что правительство США одновременно его финансирует и пытается одолеть — и оба поведения рациональны. У разных частей государства разные задачи. Программы интернет-свободы и внешней политики хотят сильную, популярную сеть анонимности, потому что она помогает диссидентам и журналистам при авторитарных режимах общаться, и потому что — возвращаясь к исходному парадоксу — собственные оперативники тех же ведомств скрыты лишь тогда, когда тем же инструментом пользуются миллионы других людей. Слабый Tor с малым числом пользователей не защищает никого, в том числе и их.

Между тем подразделения радиоэлектронной разведки и правоохранительные органы того же государства имеют мандат на слежку за конкретными целями, и для них сильная сеть анонимности — это препятствие. Поэтому они исследуют атаки против неё. Никакого противоречия здесь нет, стоит лишь признать, что «государство» — это не один актор с одной целью. Дальнейшее существование Tor, отчасти на государственные деньги, — это институциональное выражение того самого парадокса, из которого он родился: анонимность для немногих требует анонимности для многих.

Вывод: выбирайте по модели угроз, а не по хайпу

У вопроса «Что приватнее — Tor или VPN?» нет ответа, потому что это неправильный вопрос. Правильный вопрос звучит так: что вы скрываете и от кого? Решайте, исходя из своей модели угроз.

1. Скрыть просмотр от интернет-провайдера или разблокировать контент, с хорошей скоростью и одним доверенным оператором? Для этой задачи подходит VPN — при условии, что вы действительно доверяете провайдеру, ведь он видит всё, что вы делаете.

2. Помешать идентификации, когда ни одна сторона не должна никогда связать вашу личность с вашей деятельностью, — для журналиста, источника, диссидента или исследователя? Именно для этого создавалась архитектура распределённого доверия Tor — ценой меньшей скорости и необходимости HTTPS для защиты от враждебных выходных ретрансляторов.

3. Столкнулись с мощным противником, способным наблюдать за крупными участками сети? Поймите, что ни один потребительский инструмент не является волшебным плащом-невидимкой; операционная дисциплина (куда вы входите, что вы раскрываете) часто значит больше, чем сам инструмент.

История Tor в конечном счёте — урок контринтуитивного проектирования. Самая мощная сеть приватности, что у нас есть, существует потому, что лаборатория военной разведки поняла: секретность и толпа — не противоположности, и единственный способ скрыть нескольких важных людей состоял в том, чтобы защитить всех. Луковичная маршрутизация не утекла из ВМС случайно. Её выпустили намеренно, потому что только так она вообще могла работать.

Часто задаваемые вопросы

Кто создал Tor?

Луковичную маршрутизацию, на которой построен Tor, изобрели в середине 1990-х годов Пол Сиверсон, Дэвид Голдшлаг и Майкл Рид в Исследовательской лаборатории ВМС США. Современное программное обеспечение Tor затем начали разрабатывать около 2002 года Сиверсон вместе с Роджером Динглдайном и Ником Мэтьюсоном, которые позже стали соучредителями некоммерческой организации Tor Project в декабре 2006 года.

Действительно ли правительство США создало Tor и луковичную маршрутизацию в лаборатории ВМС?

Да. Луковичная маршрутизация была проектом Исследовательской лаборатории ВМС США, финансировавшимся ВМС, а позднее DARPA, изначально для защиты правительственной и разведывательной связи в сети. Код был намеренно выпущен с открытым исходным кодом, и Tor Project до сих пор получает часть финансирования от программ интернет-свободы правительства США наряду с фондами и жертвователями.

Почему Tor сделали публичным, если он создавался для шпионов?

Потому что анонимность требует толпы. Сеть, которой пользовались бы одни лишь правительственные агенты, мгновенно выдавала бы в каждом её участнике правительственного агента. Чтобы скрыть своих целевых пользователей, инструмент пришлось открыть журналистам, активистам и обычным людям, чтобы ни один пользователь не выделялся внутри большого и разнообразного сообщества.

В чём разница между Tor и VPN с точки зрения истории и архитектуры?

Tor вырос из военного исследовательского проекта в некоммерческую сеть анонимности, которая распределяет доверие между тремя независимыми ретрансляторами, так что ни одна сторона не знает одновременно и того, кто вы, и того, что вы делаете. VPN — это коммерческий сервис, где один провайдер маршрутизирует ваш трафик и может видеть и вашу личность, и ваши назначения. Tor устраняет единственную доверенную сторону; VPN концентрирует доверие в одной компании, которую вам приходится проверять.

Tor — это то же самое, что даркнет?

Нет. Tor — это сеть анонимности для приватного использования обычного интернета, и подавляющая часть её трафика — это обычный просмотр веба. «Даркнет» относится к скрытым сервисам .onion, доступным только через Tor; они составляют небольшую долю активности и варьируются от криминальных площадок до легальных систем для информаторов и зеркал новостных сайтов для регионов с цензурой.

Безопасно ли пользоваться Tor и в чём риск выходного узла?

Tor надёжно защищает вашу личность, но последний ретранслятор — выходной узел — может прочитать любой трафик, который вы отправляете в незашифрованном виде, поскольку он снимает последний слой Tor, чтобы добраться до сайта назначения. Запустить выходной ретранслятор может кто угодно, в том числе и злоумышленник; в 2007 году исследователь так перехватил учётные данные посольств. Использование сайтов с HTTPS смягчает это, ведь ваше содержимое остаётся зашифрованным до сайта назначения даже на выходе.

Что мне выбрать — Tor или VPN?

Решайте по модели угроз, а не по тому, что считается «приватнее». VPN подходит для сокрытия трафика от интернет-провайдера или разблокировки контента с одним доверенным оператором и хорошей скоростью. Tor подходит для ситуаций, когда ни одна сторона не должна никогда связать вашу личность с вашей деятельностью, — например, для журналистики, защиты источников или обхода цензуры, ценой скорости.