Математика — холодная, строгая — никогда не убеждала человека вполне. Сто лет прошло с момента формулирования теории относительности, а физики и по сей день не упускают возможности подвергнуть её проверке. И почти один в один ту же картину мы наблюдаем в прикладной криптографии.

Криптографические инструменты, кажется, никогда не будут считаться надёжными достаточно, в лучшем случае экспоненциально приближаясь к желанной черте: скептики, следователи, мошенники и просто любопытные не устают «пробовать их на зуб», что в свой черёд создаёт у стороннего наблюдателя впечатление относительной ненадёжности. Возьмите TOR. Понять, можно ему доверять или нет, если ориентироваться только на происходящие вокруг него события, кажется нереальным. Но вывод сделать всё-таки возможно — надо лишь посмотреть с правильной стороны.

То, что АНБ пыталось и пытается TOR «взломать» (ищет способ идентифицировать пользователей и устанавливать местонахождение скрытых сервисов), достоверно известно нам из документов Сноудена. Однако теперь почти четыре миллиона рублей за решение этой задачи предлагает и Министерство внутренних дел Российской Федерации: 3.9 млн из федерального бюджета достанутся участнику закрытого конкурса, который предложит лучший механизм «разоблачения TOR-клиентов». Примечательно, что Запад, с интересом наблюдающий за происходящим, считает, что МВД поскупилось: уязвимости нулевого дня в таких популярных продуктах могут стоить на чёрном рынке в разы дороже.

Не самые свежие данные (середина прошлого года, с тех пор доля России значительно подросла), но и они хорошо иллюстрируют главное: TOR нужен всем!
Не самые свежие данные (середина прошлого года, с тех пор доля России значительно подросла), но и они хорошо иллюстрируют главное: TOR нужен всем!

Вообще, интерес США и Европы к происходящему у нас, кажется, восстанавливается. Граждане развитых демократий с удовольствием обсуждают поднимающуюся волну «цифровых репрессий в России» (блокировка сайтов, регистрация блогеров и т.д.) и считают всплеск интереса к TOR (только за это лето численность российских TOR-пользователей почти удвоилась; теперь каждый двадцатый клиент этой сети — россиянин) прямой реакцией на давление государства.

«По эту сторону забора» такое объяснение звучит не слишком убедительно (среднестатистический интернет-пользователь в РФ — ещё больший разгильдяй, чем его европейские или американские, а уж тем более азиатские коллеги), но несомненно, что в стране, президент которой считает Интернет детищем ЦРУ (так возникшим и в такой форме развивающимся), некоторая немалая доля пользователей будет вынуждена искать средства укрытия от всепроникающего государственного ока. Сноуден, кстати, теперь тоже почти россиянин — и он таки доиграется: Эдвард вознамерился разрабатывать инструментарий для поддержания цифровой приватности. Вот откажут в визе, узнает…

Ассанж

Кто ищет, тот найдёт — и можно не сомневаться, что российские правоохранители рано или поздно отыщут способ хотя бы частичной, для некоторых случаев, деанонимизации TOR-клиентов. Ведь находят такие лазейки правоохранители американские, да и независимые исследователи нет-нет да и натыкаются на что-то подобное. Последний случай, кстати, произошёл буквально на днях. Двое специалистов из авторитетной организации CERT (один с русским именем: Александр Волынкин) заявили, а потом внезапно сняли доклад с говорящим названием «Вам не нужно быть АНБ, чтобы взломать TOR: бюджетная деанонимизация пользователей» с повестки августовской хакерской конференции Black Hat.

Формальная причина снятия: их попросил об этом юротдел университета, которому они подчинены (мол, информация «не была утверждена для обнародования»). Но мало кто верит, что причина бюрократическая. Ведь ребята нашли способ дешёвой массовой идентификации TOR-пользователей: они собирались показать как, обладая средненькой вычислительной мощью и пропускной способностью, при смешном бюджете в единицы тысяч долларов, за несколько месяцев выяснить истинные адреса сотен тысяч клиентов TOR и скрытых сервисов. На руках у них даже, якобы, реальные примеры. Так вот, возможно, спецслужбы надавили на авторов работы, заставив их раньше времени не раскрывать уязвимость, которая ещё может «послужить» обороноспособности страны?

Сноуден

Уязвимости в TOR обнаруживаются регулярно: ошибки есть в каждой программе и даже свободный софт (каковым TOR является) от них не свободен. Но по крайней мере принцип open source гарантирует, что «дыру» закроют максимально быстро после того, как она обнаружится — а это уже немало, когда речь идёт об инструменте не менее важном для цивилизации, чем пресловутая ОТО. Кстати, разработчики TOR уверены, что уже нашли ошибку, которой посвящён отменённый доклад, и в данный момент работают над «заплаткой».

Такова грубая картина дня — и поверьте, год назад, и два, и пять всё было примерно так же. Какой вывод сделает человек, незнакомый с TOR, понаблюдав эту суету со стороны? Вероятно, что инструмент ненадёжен, возможно, что инструмент скомпрометирован. Да и чего можно ожидать от программы, родившейся в государственных военных лабораториях Соединённых Штатов и до сих пор развиваемой отчасти на деньги из федбюджета США? Сделает и… ошибётся. Парадокс! Ведь тот факт, что TOR ломают, одновременно означает и что он кому-то нужен: что он достаточно хорош, чтобы сотни тысяч человек со всего мира пользовались им. И не так важно, кто именно и что именно с его помощью прячет: важен сам факт!

Диссиденты или журналисты, чёрные или белые хакеры, бизнесмены или праздношатающиеся, любители порнографии и даже компьютерные вирусы — все они извлекают пользу из TOR. Именно они не дают забыть про него и спецслужбам и торговцам уязвимостями нулевого дня.

Не дайте себя обмануть: принимая решение, пользоваться TOR или нет, слушайте специалистов. Авторитетная Electronic Frontier Foundation неслучайно собрала недавно мифы про TOR, чтобы их разоблачить: он вовсе не так медлителен, как думает большинство, его периодически проверяют эксперты, и хоть он, конечно, не идеален, пользоваться им правильно проще, чем кажется, достаточно взять один из готовых комплектов (вроде TOR Browser Bundle или «живой» Linux-дистрибутив Tails).

Попробуйте. В конце концов, чем больше нас, тем сложнее будет им 😉

P.S. В статье использованы иллюстрации Thierry Ehrmann.