34、提升Tor洋葱服务的隐私性

提升Tor洋葱服务的隐私性

1. 洋葱服务现状与恶意实体威胁

在Tor网络中，当前有大约4000个带有HSDir标志的节点（HSDirs）。每个洋葱服务描述符会在哈希环上多次复制（目前为8次），具体方式是在HSDir环中，hsdir索引值紧跟在hs索引值之后的4个HSDirs会存储该描述符。这样做能让想要访问描述符的客户端有多个HSDirs可供查询，从而提高了洋葱服务的隐私性和可用性。

从使用规模来看，v2洋葱服务的数量已减少到约2.5万个，而自2021年9月开始统计以来，v3洋葱服务的数量稳步增加，目前约有70万个。根据HSDirs数量、唯一服务数量以及描述符的复制次数，可大致估算出每个HSDir平均存储约1400个描述符（700000 × 8 / 4000 = 1400）。

接下来考虑恶意实体充当HSDir的情况。假设Tor网络中有n个带有HSDir标志的中继，恶意对手控制其中a个。该对手能看到其控制的HSDirs上所有传入的HS查找查询，即便在这个简单模型下，对手也能对客户端和洋葱服务做出超出Tor网络其他节点允许范围的推断。

2. 针对客户端和洋葱服务的攻击

2.1 针对客户端的攻击

想要对使用洋葱服务的Tor用户进行去匿名化的对手在网络中处于相对强势的位置。当客户端解析洋葱服务描述符查找时，会通过电路连接到HSDir。若对手不仅控制HSDir，还控制该电路的中间节点，就能得知客户端的守护中继和所连接服务的盲化公钥。对于广泛分发.onion地址的服务，对手可获得客户端的网络入口点（守护中继）和最终目的地（洋葱服务）。由于客户端会在较长时间（目前最长可达6个月）内使用同一守护节点，守护中继本身能为恶意行为者