S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Tor renforce son chiffrement avec le Counter Galois Onion

Coup de balai

Tor renforce son chiffrement avec le Counter Galois Onion

Dans un billet publié ce 24 novembre, l’équipe du réseau d’anonymisation Tor a annoncé un changement important pour la sécurité de son infrastructure. Elle va ainsi remplacer l’ancienne méthode de chiffrement « pour chiffrer les données utilisateur au fur et à mesure de son parcours » entre les relais, au profit d’une approche beaucoup plus sécurisée.

L’ancienne méthode, nommée « tor1 », comporte plusieurs problèmes. Créée en 2002, elle n’est plus adaptée aux attaques plus modernes, notamment par marquage. Celles-ci permettent à un acteur malveillant de tracer le trafic en le modifiant à un endroit du réseau et en observant des changements prévisibles à un autre endroit.

Des briques de 2002

Cet ancien système utilise AES-128-CTR comme algorithme de chiffrement. Considéré comme malléable, il peut permettre à cet acteur malveillant de modifier un contenu chiffré de manière prévisible, sans connaitre la clé. S’il parvient à contrôler plusieurs nœuds du réseau, il peut insérer un motif dans les données chiffrées d’un côté et le retrouver de l’autre, permettant de démasquer une personne immédiatement (trouver son identifiant unique), plutôt que de s’appuyer sur des méthodes probabilistes.

Dans le billet, l’équipe de Tor évoque deux autres problèmes. D’une part, tor1 n’offre pas de confidentialité persistante immédiate, les mêmes clés AES étant utilisées pendant toute la durée de vie du circuit (jusqu’à plusieurs jours). D’autre part, cette infrastructure utilise actuellement des authentificateurs de 4 octets (32 bits) utilisant SHA-1, « qui affiche son âge, c’est le moins que l’on puisse dire », note l’équipe.

Cet authentificateur est une valeur cryptographique permettant de vérifier que les données n’ont pas été modifiées pendant leur transmission. Quand un client Tor envoie des données, il doit s’assurer en effet que personne ne les a altérées en chemin. L’authentificateur fonctionne comme une empreinte digitale des données : le client la calcule en utilisant les données elles-mêmes et une clé secrète partagée avec le relai destinataire. Quand ce dernier reçoit les données, il recalcule l’empreinte de son côté et la compare avec celle reçue. Si les deux correspondent, les données n’ont pas été modifiées.

La solution Counter Galois Onion

L’équipe est donc en train de déployer un changement majeur pour le chiffrement des informations de l’utilisateur entre les relais. Nommée Counter Galois Onion (CGO), cette solution se base sur une construction cryptographique baptisée Rugged Pseudorandom Permutation par ses quatre auteurs : Jean-Paul Degabriele, Alessandro Melloni, Jean-Pierre Münch et Martijn Stam.

Ces chercheurs ont soumis à ce sujet deux rapports. Dans l’un, on remarque que le besoin d’un renforcement de la sécurité sur le cheminement des données entre les relais avait été exprimé par Tor dès 2012. La seule solution envisagée alors était couteuse en opérations de chiffrement. CGO a été présenté comme une alternative « minimaliste et modulaire », avec plusieurs avantages. Dans l’autre, les chercheurs détaillent en quoi CGO est une méthode robuste.

La nouvelle méthode est censée garantir que toute altération d’une partie des données chiffrées rende le reste du message (ou cellule) irrécupérable, y compris les messages suivants. L’authentificateur passe à 16 octets (128 bits) et les clés cryptographiques sont transformées de manière irréversible après chaque cellule envoyée ou reçue, éliminant la possibilité de déchiffrer les cellules antérieures. Ce changement assure une confidentialité persistante immédiate et l’utilisation de grands blocs de données doit prémunir le réseau contre les attaques par marquage.

La nouvelle méthode cryptographique a déjà été intégrée dans Arti, l’implémentation de Tor en Rust. Elle est en cours dans la version classique (en C). En revanche, l’équipe n’a rien dit sur une date d’arrivée dans Tor Browser.

Commentaires (9)

votre avatar
A quand l'article du Parisien sur les bandits qui utilisent Tor ! :D
votre avatar
Bientôt Tor interdit par l'UE ...
votre avatar
Très bonne nouvelle
votre avatar
J'imagine qu'il faut que tous les nœuds se mettent à jour... Donc c'est pas pour tout de suite dans TOR Browser, je pense.
votre avatar
Il y a une petite chose dont on parle peu.

Quand bien même le réseau Tor est un maillage. Il n'en reste pas moins qu'il repose sur les infrastructures physiques.

Et c'est ce qui permet l'interception des paquets au moins. On peut donc avoir 2 nœuds Tor bien distincts mais dont le trafic va passer par les mêmes opérateurs et donc très probablement par les mêmes équipements. Un carte des câble sous marin aidera à comprendre.

Avec une bonne petite sonde des familles bien placée, on peut faire de l'analyse. Et comme on construit plus de datacenters que de maisons dans certains pays...

Je ne dit pas que c'est troué. Juste qu'en face (les gens qui aiment écouter les autres), avec des moyens bien sûr, n'ont pas dit leur dernier mot.
votre avatar
Il me semble qu'à une époque il existait un réseau maillé comme ça (je me rappelle plus si c'était Tor) qui , dès qu'il était connecté, envoyais des "trains" de paquets aléatoire, toujours au même rythme, même lorsque tu n'avait pas de données à passer, vers des noeuds intermédiaires ou de sortie aléatoire.
Lorsque tu utilisais le réseau, les données utiles étaient mixées avec ces données random.

Du coup un attaquant extérieur pouvait "simplement" voir un flux très régulier vers des tas de destinations, sans pouvoir déterminer les 1% de données effectivement utile dans les 99% de données aléatoires qui étaient jetées par le nœud de sortie.

(Bien sur ça implique que l’attaquant ne maîtrise pas tous les noeuds de sortie)

L'inconvénient , et je crois qu'à l'époque du DSL c'est ça qui avait freiné le truc, c'était que le machin occupait 100% du lien réseau dès qu'il se lançait....

(Après, avoir un protocole sur une ligne qui envoie 100% du temps, c'est anachronique aujourd’hui au temps des paquets et de l'IP mais ça a longtemps été la norme, avec STM-1 entre autre, pour la téléphonie...)
votre avatar
Ca en matière de réseau c'est considéré comme une mauvaise pratique. Même encore aujourd'hui avec la fibre.

Ca reste du trafic à transporter. Et ce trafic ressemble à un bot ou un spoofing... Donc à dégommer dès que possible pour un '1g réseau'.

Même si aujourd'hui les capacités réseaux sont devenues énormes, elles ont toujours un cout. Si ce n'est pas le média (la fibre) c'est la carte qu'on met dans les châssis qui l'accueillent qui font monter la facture.
votre avatar
Sans emmètre en permanence, je pense que le client pourrait pour chaque couche d'oignons nœuds relais ajouter un peu de data random pour changer leur taille, ou a l'inverse un noeud TOR devrait pouvoir être en mesure de splitter et ajouter des relais sur une partie du paquet reçu pour qu'ils partent sur deux routes différentes.

Bon faut faire attention avec nos crypto de comptoir, la bonne idée autour du zinc peut rapidement devenir un marqueur dans le réseau / faille majeure.
votre avatar
J'apprends quelque chose en le fait que Tor utilise encore un algorithme de chiffrement par blocs… critique, considérant les garanties supposées.
Bonne nouvelle pour le passage à de l'AEAD.

Quant à SHA-1, sans commentaire : ces suites ne sont plus considérées cryptographiques depuis au moins ~15 ans.