.onion是一個用於在Tor網路上定址特殊用途的頂級域字尾。這種字尾不屬於實際的域名,也並未收錄於域名根區中。但只要安裝了正確的代理軟體,如類似於瀏覽器的網路軟體,即可通過Tor伺服器傳送特定的請求來訪問.onion位址。使用這種技術可以使得資訊提供商與使用者難以被中間經過的網路主機或外界使用者所追蹤。

.onion
推出日期2004年
頂級域類型主機字尾
狀況並未收錄於域名根伺服器中,但被Tor客戶端、伺服器和代理廣泛使用
域名註冊局Tor
預期使用通過Tor去指定並訪問隱藏的服務
實際使用使Tor使用者使用提供商和使用者均為匿名的服務,且使得其難以被追蹤
註冊限制當一個隱藏服務被設定好之後,域名就自動被Tor客戶端所「註冊」
結構公鑰自動生成難以理解的字串作為域名
相關檔案
爭議政策
註冊局網站www.torproject.org

格式

.onion頂級域的位址為Tor服務組態完成後,由公鑰自動生成的難以記憶且不便理解的十六位半字母半數字hash。這種十六位的hash由字母表內任意字母與2至7的十進制數字所組成,以此來表示使用base32加密後的80位元數字。通過平行計算生成大量的金鑰對的方式來尋找合適的URL並設立起人類可讀的.onion位址是可行的(例如以組織名開頭)[1][2]

此名稱中的「onion」代指為達到匿名目的的洋蔥路由技術。

全球資訊網至.onion閘道器

諸如Tor2web等的代理服務允許不使用Tor技術的瀏覽器與搜尋引擎訪問Tor網路上的隱藏服務。若使用這種閘道器,使用者就放棄了自己的匿名身分並只得相信閘道器傳送的內容是正確的。閘道器和隱藏服務均可辨識出瀏覽器並得知使用者IP位址資料。部分代理使用快取技術[3]來提供比Tor瀏覽器更快的訪問速度。[4]

.exit

.exit是一個被Tor使用者所使用的偽頂級域(英文:pseudo-top-level domain),用於指示Tor在連接到諸如網頁伺服器的服務時應該使用的首選出口節點,而無需編輯設定檔 Tor(torrc)。

使用這種偽頂級域的語法是:主機名 + .出口節點 + .exit。如果使用者想使用節點tor26訪問 http://www.torproject.org/ 的話,輸入 http://www.torproject.org.tor26.exit 即可。

這方面的範例包括訪問僅適用於特定國家/地區的站點,或檢查某個節點是否正常工作。

使用者也可直接輸入出口節點.exit以訪問出口節點的IP位址。

.exit功能由於潛在的應用層的攻擊風險而在版本0.2.2.1-alpha中被預設關閉。[5]

官方指定

.onion域名曾為偽頂級域主機字尾,在概念上與.bitnet以及.uucp的早期使用大致相同。

在2015年9月9日,根據Tor專案的雅各布·阿佩爾鮑姆英語Jacob Appelbaum(英語:Jacob Appelbaum)和Facebook安全工程師Alec Muffett的建議,ICANN網際網路號碼分配局以及網際網路工程任務組將.onion指定為「特殊用途域名」,將其歸於官方地位。[6][7][8]

對HTTPS的支援

來源於Tor網路上惡意出口節點的SSL剝離(英文:SSL Stripping)攻擊足以威脅到訪問明網上傳統的HTTPS站點。儘管加密本身在技術上是冗餘的,但.onion位址的網站可以通過憑證提供身分保證的附加層賦予Tor原生加密功能。[9]提供HTTPS憑證還需啟用瀏覽器功能頁面存檔備份,存於網際網路檔案館),否則這些功能將無法用於.onion站點的使用者。

在採用CA/瀏覽器論壇第144號投票(英文:CA/Browser Forum Ballot 144)之前,只能通過將.onion視為內部伺服器名稱來取得.onion名稱的HTTPS憑證。[10]根據CA/瀏覽器論壇的基準要求,這些憑證可能會發布,但必須在2015年11月1日之前到期[11]。儘管有這些限制,四個組織(包括於2013年7月簽署的DuckDuckGo[12],2014年10月簽署的Facebook[13] ,2014年12月簽署的Blockchain.info[14]以及2015年4月簽署的The Intercept[15])仍然簽署了認證機構合作夥伴關係。

在2015年9月通過CA/瀏覽器論壇第144號投票和採用.onion為「特殊用途域名」之後,.onion域名通過了RFC 6761的標準[16]。憑證頒發機構可以根據CA/瀏覽器論壇引入於第144號投票[10]里的基準要求[17]中記錄的過程來發布.onion站點的SSL憑證。

截至2016年8月,DigiCert已簽署了7個不同組織的13個.onion域名[18]

另請參閱

參考文獻

  1. ^ Scallion. GitHub. [2014-11-02]. (原始內容存檔於2014-11-12). 
  2. ^ Muffett, Alec. Re: Facebook brute forcing hidden services. tor-talk (郵寄清單) (Simple End-User Linux). 2014-10-31 [2014-11-02]. (原始內容存檔於2014-11-02). 
  3. ^ Onion.cab: Advantages of this TOR2WEB-Proxy. [2014-05-21]. 原始內容存檔於2014-05-21. 
  4. ^ Tor Browser Bundle. [2014-05-21]. (原始內容存檔於2014-06-23). 
  5. ^ Special Hostnames in Tor. [2012-06-30]. (原始內容存檔於2015-03-17). 
  6. ^ Nathan Willis. Tor's .onion domain approved by IETF/IANA. LWN.net. 10 September 2015 [2017-04-16]. (原始內容存檔於2017-06-20). 
  7. ^ Franceschi-Bicchierai, Lorenzo. Internet Regulators Just Legitimized The Dark Web. 2015-09-10 [2015-09-10]. (原始內容存檔於2015-09-12). 
  8. ^ Special-Use Domain Names. [2015-09-10]. (原始內容存檔於2015-09-10). 
  9. ^ Schuhmacher, Sophie. Blockchain.Info Launches Darknet Site In Response To Thefts Over TOR. 2014-12-05 [2015-09-20]. (原始內容存檔於2015-09-04). 
  10. ^ 10.0 10.1 CA/Browser Forum Ballot 144 - Validation rules for .onion names. [2015-09-13]. (原始內容存檔於2015-10-16). 
  11. ^ Baseline Requirements for the Issuance and Management Publicly-Trusted Certificates, v1.0 (PDF). [2015-09-13]. (原始內容存檔 (PDF)於2016-01-14). 
  12. ^ _zekiel. We've updated our Tor hidden service to work over SSL. No solution for the cert. warning, yet!. Reddit. 2013-07-01 [2016-12-20]. (原始內容存檔於2015-04-28). 
  13. ^ Muffett, Alec. Making Connections to Facebook more Secure. 2014-10-31 [2015-09-11]. (原始內容存檔於2015-09-14). 
  14. ^ Alyson. Improved Security for Tor Users. 2014-12-03 [2015-09-11]. (原始內容存檔於2015-08-25). 
  15. ^ Lee, Micah. Our SecureDrop System for Leaks Now Uses HTTPS. 2015-04-08 [2015-09-10]. (原始內容存檔於2015-12-25). 
  16. ^ Arkko, Jari. .onion. 2015-12-10 [2015-09-13]. (原始內容存檔於2015-09-15). 
  17. ^ Baseline Requirements Documents. [2015-09-13]. (原始內容存檔於2014-10-20). 
  18. ^ Jamie Lewis, Sarah. OnionScan Report: July 2016 - HTTPS Somewhere Sometimes. 2016-08-07 [2016-08-15]. (原始內容存檔於2016-08-15). 

外部連結