TOR

Contents

  1. TOR
    1. Tor Browser Bundle
      1. Scaricare TBB
        1. 1. Scarica
        2. 2. Verifica il checksum
        3. 3. Verifichiamo la firma con gpg
      2. Usare TBB
    2. Filosofia

TOR (The Onion Router) è un protocollo per l'anonimizzazione del traffico web. TorProject è un'organizzazione, in parte di volontari e in parte di persone pagate (vedi dopo per i finanziamenti). Supervisiona lo sviluppo e la distribuzione dei software che vengono usati per implementare la rete TOR. TOR Network è una rete di persone e organizzazioni che in maniera volontaria tengono su internet in funzione dei relay (ripetitori). Il traffico anonimizzato passa attraverso questi nodi.

Semplicistico schema di un client che naviga attraverso TOR: Schema

Tor Browser Bundle

Quello che comunemente viene identificato come TOR è in realtà una versione cucinata dal TorProject di Firefox: Tor Browser Bundle. (Lo stesso download link su torproject.org dice "Download Tor").

Scaricare TBB

  1. Abbastanza facile: clicca il link, scarica l'installer per la tua piattaforma, e installa.

  2. Più complicato: verifica il checksum :)

  3. Difficile: verifica la firma dell'installer con gpg :D

  4. Bonus: scarica e installa su Android Orbot e Orfox (ma avevamo detto che non volevamo supportare l'uso degli intelligentifonini)

1. Scarica

La pagina principale del torproject mostra scritto grosso "Scarica Tor":

TorProject site's main page

Cliccando si arriva a questa pagina:

Download page for TBB

La pagina è intelligente, cioè a seconda della piattaforma da cui arrivi, ti propone di scaricare la versione giusta, questo anche dimostra quante informazioni fanno passare in automatico i browser normali :)

Windows

Per windows si scarica un normale installer. Lo si può lanciare nella maniera usuale:

Install TBB Win 1

Install TBB Win 2

2. Verifica il checksum

Windows

Apriamo la cartella in cui abbiamo scaricato l'installer, di solito C:\Users\<il_tuo_username>\Downloads:

Download path win

Apriamo una powershell (tasto win e poi scriviamo 'powershell' e clicchiamo sull'icona):

Powershell windows

Scriviamo nella powershell $filepath = " (mi raccomando l'apice) senza premere invio. Andiamo nella cartella dove c'è l'installer e trasciniamolo sulla powershell:

Powershell windows with filename

Adesso chiudiamo la stringa digitando un'altra volta " e premiamo invio. Quindi scriviamo un po' di magia nera per evocare la stringa malefica: 

   1 $sha256 = new-object -TypeName System.Security.Cryptography.SHA256CryptoServiceProvider
   2 $hash = [System.BitConverter]::ToString($sha256.ComputeHash([System.IO.File]::ReadAllBytes($filepath)))
   3 echo $hash

Il risultato è una lunga stringa di coppie di caratteri separati da trattini:

Powershell windows with sha256 result

Infine confrontiamo la stringa in questione con quella che qualcuno ci ha fornito. L'ideale è confrontarla con il checksum fornito da torproject.org. Dove lo troviamo? Guardiamo il numero della versione che abbiamo scaricato (in questo esempio la 7.5.3) andiamo quindi su https://dist.torproject.org/torbrowser/7.5.3/sha256sums-signed-build.txt e cerchiamo il nome del nostro installer (che per questo esempio è torbrowser-install-7.5.3_en-US.exe. La prima colonna è la stringa che stiamo cercando:

sha256 on torproject.org

adesso possiamo confrontare le due stringhe (sul sito è data senza trattini).

3. Verifichiamo la firma con gpg

Windows

Dobbiamo scaricare e installare gpg per windows. Sulla pagina di torproject.org ci suggeriscono gpg4win.

Scarichiamo gpg4win:

gpg4win download

oh no, dobbiamo pagarli!...

gpg4win download paywall

...no :)

gpg4win download no money

Lanciamo Kleopatra alla fine e importiamo la chiave pubblica del TorProject (clicchiamo su Cerca sul server) il cui identificativo è 0x4E2C6E8793298290 (l'ho trovato qui):

Importing the TorProject public key

Importing the TorProject public key

Importing the TorProject public key

Quindi selezioniamo la chiave che è stata trovata e clicchiamo su importa.

A questo punto, se vogliamo possiamo creare una chiave. Ma questo è un argomento che tratta il tavolo PGP. Noi vogliamo solo verificare la firma del file. Per farlo, dobbiamo scaricare la firma! E' un file che troviamo subito sotto al tastone con cui abbiamo scaricato TBB (tasto destro su (sig) e selezioniamo salva come):

Right click to download the signature

Lo salviamo nella stessa cartella dove sta l'installer (presumibilmente sempre C:\Users\<il_tuo_username>\Downloads):

Right click to download the signature in download

Adesso verifichiamo la firma. Cliccando su Decifra/Verifica. ATTENZIONE: dobbiamo selezionare il file col luccheto (è normale che i due file abbiano lo stesso nome, su Windows):

Open Decrypt/Verify

Select the right file with the lock

Successfully verified signature

Usare TBB

TBB è Firefox con alcuni addon che naviga solo su Tor (semplicistico, ma è per capirsi). Lo scopo di TBB (e di chi lo usa) è rimanere anonimo mentre si naviga. Se ci si logga su un servizio, la questione dell'anonimato cade (parzialmente: diciamo che rimani identificabile tra varie sessioni di utilizzo di TBB, comunque perde un po' di senso usare TBB). Quindi, andare su FB con TBB non ci renderà magicamente anonimi su FB.

Filosofia

Criptoparty/TOR (last edited 2018-04-13 16:36:27 by blallo)