la_vecchia_wiki_moinmoin/Criptoparty_TOR.html

139 lines
20 KiB
HTML
Raw Normal View History

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=utf-8">
<title>Criptoparty/TOR</title>
<link rel="stylesheet" type="text/css" media="all" charset="utf-8" href="acaro/css/common.css">
<link rel="stylesheet" type="text/css" media="screen" charset="utf-8" href="acaro/css/screen.css">
<link rel="stylesheet" type="text/css" media="print" charset="utf-8" href="acaro/css/print.css">
<style type="text/css">
ul.pagetitle{
display: inline;
margin: 0;
padding: 0;
font-size: 1.5em;
}
li.pagetitle{
display: inline;
margin: 0;
}
td.noborder {
border: 0;
}
</style>
</head>
<body>
<table>
<tr>
<td class="noborder">
<img src="logo.png" width="85" height="85">
</td>
<td class="noborder">
<ul class="pagetitle">
<li class="pagetitle"><a class="backlink">Criptoparty/TOR</a>
</ul>
<br><br>
[<a href="FrontPage.html">FrontPage</a>]
</td>
</tr>
</table>
<hr>
<div id="page">
<div dir="ltr" id="content" lang="en"><span class="anchor" id="top"></span>
<span class="anchor" id="line-1"></span><p class="line867">
<h1 id="TOR">TOR</h1>
<span class="anchor" id="line-2"></span><span class="anchor" id="line-3"></span><p class="line867"><div class="table-of-contents"><p class="table-of-contents-heading">Contents<ol><li>
<a href="#TOR">TOR</a><ol><li>
<a href="#Tor_Browser_Bundle">Tor Browser Bundle</a><ol><li>
<a href="#Scaricare_TBB">Scaricare TBB</a><ol><li>
<a href="#A1._Scarica">1. Scarica</a></li><li>
<a href="#A2._Verifica_il_checksum">2. Verifica il checksum</a></li><li>
<a href="#A3._Verifichiamo_la_firma_con_gpg">3. Verifichiamo la firma con gpg</a></li></ol></li><li>
<a href="#Usare_TBB">Usare TBB</a></li></ol></li><li>
<a href="#Filosofia">Filosofia</a></li></ol></li></ol></div> <span class="anchor" id="line-4"></span><span class="anchor" id="line-5"></span><p class="line862">TOR (The Onion Router) è un protocollo per l'anonimizzazione del traffico web. <a class="https" href="https://www.torproject.org/">TorProject</a> è un'organizzazione, in parte di volontari e in parte di persone pagate (vedi dopo per i finanziamenti). Supervisiona lo sviluppo e la distribuzione dei software che vengono usati per implementare la rete TOR. <span class="anchor" id="line-6"></span>TOR Network è una rete di persone e organizzazioni che in maniera volontaria tengono su internet in funzione dei relay (ripetitori). Il traffico anonimizzato passa attraverso questi nodi. <span class="anchor" id="line-7"></span><span class="anchor" id="line-8"></span><p class="line874">Semplicistico schema di un client che naviga attraverso TOR: <span class="anchor" id="line-9"></span><a class="https" href="https://images.vice.com/motherboard/content-images/contentimage/17007/1416358511219947.png">Schema</a> <span class="anchor" id="line-10"></span><span class="anchor" id="line-11"></span><p class="line867">
<h2 id="Tor_Browser_Bundle">Tor Browser Bundle</h2>
<span class="anchor" id="line-12"></span><span class="anchor" id="line-13"></span><p class="line862">Quello che comunemente viene identificato come TOR è in realtà una versione cucinata dal <a class="nonexistent" href="./TorProject.html">TorProject</a> di Firefox: <a class="https" href="https://www.torproject.org/download/download-easy.html.en">Tor Browser Bundle</a>. <span class="anchor" id="line-14"></span>(Lo stesso download link su torproject.org dice "Download Tor"). <span class="anchor" id="line-15"></span><span class="anchor" id="line-16"></span><p class="line867">
<h3 id="Scaricare_TBB">Scaricare TBB</h3>
<span class="anchor" id="line-17"></span><span class="anchor" id="line-18"></span><ol type="1"><li>Abbastanza facile: clicca il link, scarica l'installer per la tua piattaforma, e installa. <span class="anchor" id="line-19"></span></li><li><p class="line862">Più complicato: verifica il checksum <img alt=":)" height="16" src="/moin_static1911/acaro/img/smile.png" title=":)" width="16" /> <span class="anchor" id="line-20"></span></li><li><p class="line862">Difficile: verifica la firma dell'installer con gpg <img alt=":D" height="16" src="/moin_static1911/acaro/img/biggrin.png" title=":D" width="16" /> <span class="anchor" id="line-21"></span></li><li>Bonus: scarica e installa su Android Orbot e Orfox (ma avevamo detto che non volevamo supportare l'uso degli intelligentifonini) <span class="anchor" id="line-22"></span><span class="anchor" id="line-23"></span></li></ol><p class="line867">
<h4 id="A1._Scarica">1. Scarica</h4>
<span class="anchor" id="line-24"></span><span class="anchor" id="line-25"></span><span class="anchor" id="line-26"></span><p class="line874">La pagina principale del torproject mostra scritto grosso "Scarica Tor": <span class="anchor" id="line-27"></span><span class="anchor" id="line-28"></span><p class="line867"><img alt="TorProject site's main page" class="attachment" src="attachments/Criptoparty_TOR/torproject_org.png" title="TorProject site's main page" width="500" /> <span class="anchor" id="line-29"></span><span class="anchor" id="line-30"></span><p class="line874">Cliccando si arriva a questa pagina: <span class="anchor" id="line-31"></span><span class="anchor" id="line-32"></span><p class="line867"><img alt="Download page for TBB" class="attachment" src="attachments/Criptoparty_TOR/TBB_dl.png" title="Download page for TBB" width="500" /> <span class="anchor" id="line-33"></span><span class="anchor" id="line-34"></span><span class="anchor" id="line-35"></span><p class="line862">La pagina è <em>intelligente</em>, cioè a seconda della piattaforma da cui arrivi, ti propone di scaricare la versione giusta, questo anche dimostra quante informazioni fanno passare in automatico i browser normali <img alt=":)" height="16" src="/moin_static1911/acaro/img/smile.png" title=":)" width="16" /> <span class="anchor" id="line-36"></span><span class="anchor" id="line-37"></span><p class="line867"><strong>Windows</strong> <span class="anchor" id="line-38"></span><span class="anchor" id="line-39"></span><p class="line874">Per windows si scarica un normale installer. Lo si può lanciare nella maniera usuale: <span class="anchor" id="line-40"></span><span class="anchor" id="line-41"></span><p class="line867"><img alt="Install TBB Win 1" class="attachment" src="attachments/Criptoparty_TOR/win_install_1.png" title="Install TBB Win 1" width="300" /> <span class="anchor" id="line-42"></span><span class="anchor" id="line-43"></span><p class="line867"><img alt="Install TBB Win 2" class="attachment" src="attachments/Criptoparty_TOR/win_install_2.png" title="Install TBB Win 2" width="500" /> <span class="anchor" id="line-44"></span><span class="anchor" id="line-45"></span><p class="line867">
<h4 id="A2._Verifica_il_checksum">2. Verifica il checksum</h4>
<span class="anchor" id="line-46"></span><span class="anchor" id="line-47"></span><p class="line867"><strong>Windows</strong> <span class="anchor" id="line-48"></span><span class="anchor" id="line-49"></span><p class="line862">Apriamo la cartella in cui abbiamo scaricato l'installer, di solito <tt>C:\Users\&lt;il_tuo_username&gt;\Downloads</tt>: <span class="anchor" id="line-50"></span><span class="anchor" id="line-51"></span><p class="line867"><img alt="Download path win" class="attachment" src="attachments/Criptoparty_TOR/win_dir_1.png" title="Download path win" width="500" /> <span class="anchor" id="line-52"></span><span class="anchor" id="line-53"></span><p class="line874">Apriamo una powershell (tasto win e poi scriviamo 'powershell' e clicchiamo sull'icona): <span class="anchor" id="line-54"></span><span class="anchor" id="line-55"></span><p class="line867"><img alt="Powershell windows" class="attachment" src="attachments/Criptoparty_TOR/win_pwsh.png" title="Powershell windows" width="400" /> <span class="anchor" id="line-56"></span><span class="anchor" id="line-57"></span><p class="line862">Scriviamo nella powershell <tt>$filepath&nbsp;=&nbsp;"</tt> (mi raccomando l'apice) <strong>senza</strong> premere invio. Andiamo nella cartella dove c'è l'installer e trasciniamolo sulla powershell: <span class="anchor" id="line-58"></span><span class="anchor" id="line-59"></span><p class="line867"><img alt="Powershell windows with filename" class="attachment" src="attachments/Criptoparty_TOR/win_pwsh_file.png" title="Powershell windows with filename" width="400" /> <span class="anchor" id="line-60"></span><span class="anchor" id="line-61"></span><p class="line862">Adesso chiudiamo la stringa digitando un'altra volta <tt>"</tt> e premiamo invio. Quindi scriviamo un po' di magia nera per evocare la stringa malefica: <span class="anchor" id="line-62"></span><span class="anchor" id="line-63"></span><p class="line867"><span class="anchor" id="line-64"></span><span class="anchor" id="line-65"></span><span class="anchor" id="line-66"></span><span class="anchor" id="line-67"></span><span class="anchor" id="line-1-1"></span><div class="highlight powershell"><div class="codearea" dir="ltr" lang="en">
<script type="text/javascript">
function isnumbered(obj) {
return obj.childNodes.length && obj.firstChild.childNodes.length && obj.firstChild.firstChild.className == 'LineNumber';
}
function nformat(num,chrs,add) {
var nlen = Math.max(0,chrs-(''+num).length), res = '';
while (nlen>0) { res += ' '; nlen-- }
return res+num+add;
}
function addnumber(did, nstart, nstep) {
var c = document.getElementById(did), l = c.firstChild, n = 1;
if (!isnumbered(c)) {
if (typeof nstart == 'undefined') nstart = 1;
if (typeof nstep == 'undefined') nstep = 1;
var n = nstart;
while (l != null) {
if (l.tagName == 'SPAN') {
var s = document.createElement('SPAN');
var a = document.createElement('A');
s.className = 'LineNumber';
a.appendChild(document.createTextNode(nformat(n,4,'')));
a.href = '#' + did + '_' + n;
s.appendChild(a);
s.appendChild(document.createTextNode(' '));
n += nstep;
if (l.childNodes.length) {
l.insertBefore(s, l.firstChild);
}
else {
l.appendChild(s);
}
}
l = l.nextSibling;
}
}
return false;
}
function remnumber(did) {
var c = document.getElementById(did), l = c.firstChild;
if (isnumbered(c)) {
while (l != null) {
if (l.tagName == 'SPAN' && l.firstChild.className == 'LineNumber') l.removeChild(l.firstChild);
l = l.nextSibling;
}
}
return false;
}
function togglenumber(did, nstart, nstep) {
var c = document.getElementById(did);
if (isnumbered(c)) {
remnumber(did);
} else {
addnumber(did,nstart,nstep);
}
return false;
}
</script>
<script type="text/javascript">
document.write('<a href="#" onclick="return togglenumber(\'CA-0edf3caf940ad374badb48483d776404d119107a\', 1, 1);" \
class="codenumbers">Toggle line numbers<\/a>');
</script>
<pre dir="ltr" id="CA-0edf3caf940ad374badb48483d776404d119107a" lang="en"><span class="line"><span class="LineNumber"><a href="#CA-0edf3caf940ad374badb48483d776404d119107a_1"> 1</a> </span><span class="LineAnchor" id="CA-0edf3caf940ad374badb48483d776404d119107a_1"></span><span class="anchor" id="line-1-2"></span><span class="ID">$sha256</span> = <span class="ResWord">new-object</span> <span class="ID">-TypeName</span> <span class="ID">System</span>.<span class="ID">Security</span>.<span class="ID">Cryptography</span>.<span class="ID">SHA256CryptoServiceProvider</span></span>
<span class="line"><span class="LineNumber"><a href="#CA-0edf3caf940ad374badb48483d776404d119107a_2"> 2</a> </span><span class="LineAnchor" id="CA-0edf3caf940ad374badb48483d776404d119107a_2"></span><span class="anchor" id="line-2-1"></span><span class="ID">$hash</span> = <span class="ConsWord">[System.BitConverter]</span>::<span class="ID">ToString</span>(<span class="ID">$sha256</span>.<span class="ID">ComputeHash</span>(<span class="ConsWord">[System.IO.File]</span>::<span class="ID">ReadAllBytes</span>(<span class="ID">$filepath</span>)))</span>
<span class="line"><span class="LineNumber"><a href="#CA-0edf3caf940ad374badb48483d776404d119107a_3"> 3</a> </span><span class="LineAnchor" id="CA-0edf3caf940ad374badb48483d776404d119107a_3"></span><span class="anchor" id="line-3-1"></span><span class="ResWord">echo </span><span class="ID">$hash</span></span>
</pre></div></div><span class="anchor" id="line-68"></span><span class="anchor" id="line-69"></span><p class="line874">Il risultato è una lunga stringa di coppie di caratteri separati da trattini: <span class="anchor" id="line-70"></span><span class="anchor" id="line-71"></span><p class="line867"><img alt="Powershell windows with sha256 result" class="attachment" src="attachments/Criptoparty_TOR/sha_result_ps_2.png" title="Powershell windows with sha256 result" width="600" /> <span class="anchor" id="line-72"></span><span class="anchor" id="line-73"></span><p class="line862">Infine confrontiamo la stringa in questione con quella che qualcuno ci ha fornito. L'ideale è confrontarla con il checksum fornito da torproject.org. Dove lo troviamo? Guardiamo il numero della versione che abbiamo scaricato (in questo esempio la 7.5.3) andiamo quindi su <tt>https://dist.torproject.org/torbrowser/7.5.3/sha256sums-signed-build.txt</tt> e cerchiamo il nome del nostro installer (che per questo esempio è <tt>torbrowser-install-7.5.3_en-US.exe</tt>. La prima colonna è la stringa che stiamo cercando: <span class="anchor" id="line-74"></span><span class="anchor" id="line-75"></span><p class="line867"><img alt="sha256 on torproject.org" class="attachment" src="attachments/Criptoparty_TOR/sha_source.png" title="sha256 on torproject.org" width="600" /> <span class="anchor" id="line-76"></span><span class="anchor" id="line-77"></span><p class="line874">adesso possiamo confrontare le due stringhe (sul sito è data senza trattini). <span class="anchor" id="line-78"></span><span class="anchor" id="line-79"></span><p class="line867">
<h4 id="A3._Verifichiamo_la_firma_con_gpg">3. Verifichiamo la firma con gpg</h4>
<span class="anchor" id="line-80"></span><span class="anchor" id="line-81"></span><p class="line867"><strong>Windows</strong> <span class="anchor" id="line-82"></span><span class="anchor" id="line-83"></span><p class="line862">Dobbiamo scaricare e installare gpg per windows. Sulla <a class="https" href="https://www.torproject.org/docs/verifying-signatures.html.en">pagina di torproject.org</a> ci suggeriscono <a class="https" href="https://gpg4win.org/download.html">gpg4win</a>. <span class="anchor" id="line-84"></span><span class="anchor" id="line-85"></span><p class="line874">Scarichiamo gpg4win: <span class="anchor" id="line-86"></span><span class="anchor" id="line-87"></span><p class="line867"><img alt="gpg4win download" class="attachment" src="attachments/Criptoparty_TOR/gpg4win_dl.png" title="gpg4win download" width="500" /> <span class="anchor" id="line-88"></span><span class="anchor" id="line-89"></span><p class="line874">oh no, dobbiamo pagarli!... <span class="anchor" id="line-90"></span><span class="anchor" id="line-91"></span><p class="line867"><img alt="gpg4win download paywall" class="attachment" src="attachments/Criptoparty_TOR/gpg4win_paywall.png" title="gpg4win download paywall" width="500" /> <span class="anchor" id="line-92"></span><span class="anchor" id="line-93"></span><p class="line862">...no <img alt=":)" height="16" src="/moin_static1911/acaro/img/smile.png" title=":)" width="16" /> <span class="anchor" id="line-94"></span><span class="anchor" id="line-95"></span><p class="line867"><img alt="gpg4win download no money" class="attachment" src="attachments/Criptoparty_TOR/gpg4win_nomoney.png" title="gpg4win download no money" width="500" /> <span class="anchor" id="line-96"></span><span class="anchor" id="line-97"></span><p class="line862">Lanciamo Kleopatra alla fine e importiamo la chiave pubblica del <a class="nonexistent" href="./TorProject.html">TorProject</a> (clicchiamo su <em>Cerca sul server</em>) il cui identificativo è 0x4E2C6E8793298290 (<a class="https" href="https://www.torproject.org/docs/verifying-signatures.html.en">l'ho trovato qui</a>): <span class="anchor" id="line-98"></span><span class="anchor" id="line-99"></span><p class="line867"><img alt="Importing the TorProject public key" class="attachment" src="attachments/Criptoparty_TOR/kleopatra_import_key.png" title="Importing the TorProject public key" width="500" /> <span class="anchor" id="line-100"></span><span class="anchor" id="line-101"></span><p class="line867"><img alt="Importing the TorProject public key" class="attachment" src="attachments/Criptoparty_TOR/kleopatra_search_key.png" title="Importing the TorProject public key" width="500" /> <span class="anchor" id="line-102"></span><span class="anchor" id="line-103"></span><p class="line867"><img alt="Importing the TorProject public key" class="attachment" src="attachments/Criptoparty_TOR/kleopatra_fetch_key.png" title="Importing the TorProject public key" width="500" /> <span class="anchor" id="line-104"></span><span class="anchor" id="line-105"></span><p class="line862">Quindi selezioniamo la chiave che è stata trovata e clicchiamo su <em>importa</em>. <span class="anchor" id="line-106"></span><span class="anchor" id="line-107"></span><p class="line874">A questo punto, se vogliamo possiamo creare una chiave. Ma questo è un argomento che tratta il tavolo PGP. <span class="anchor" id="line-108"></span>Noi vogliamo solo verificare la firma del file. Per farlo, dobbiamo scaricare la firma! E' un file che troviamo subito sotto al tastone con cui abbiamo scaricato TBB (tasto destro su <tt>(sig)</tt> e selezioniamo <em>salva come</em>): <span class="anchor" id="line-109"></span><span class="anchor" id="line-110"></span><p class="line867"><img alt="Right click to download the signature" class="attachment" src="attachments/Criptoparty_TOR/download_sig.png" title="Right click to download the signature" width="500" /> <span class="anchor" id="line-111"></span><span class="anchor" id="line-112"></span><p class="line862">Lo salviamo nella stessa cartella dove sta l'installer (presu
<h3 id="Usare_TBB">Usare TBB</h3>
<span class="anchor" id="line-126"></span><span class="anchor" id="line-127"></span><p class="line874">TBB è Firefox con alcuni addon che naviga solo su Tor (semplicistico, ma è per capirsi). Lo scopo di TBB (e di chi lo usa) è rimanere anonimo mentre si naviga. Se ci si logga su un servizio, la questione dell'anonimato cade (parzialmente: diciamo che rimani identificabile tra varie sessioni di utilizzo di TBB, comunque perde un po' di senso usare TBB). Quindi, andare su FB con TBB non ci renderà magicamente anonimi su FB. <span class="anchor" id="line-128"></span><span class="anchor" id="line-129"></span><span class="anchor" id="line-130"></span><p class="line867">
<h2 id="Filosofia">Filosofia</h2>
<span class="anchor" id="line-131"></span><span class="anchor" id="bottom"></span></div>
</div>
<hr>
Ultimo cambiamento: 13-04-2018
</body>
</html>