Tor Projesi | Onion hizmetleri nasıl çalışır?

Onion hizmetleri, yalnızca Tor üzerinden erişilebilen hizmetlerdir. Bir onion hizmeti işlettiğinizde kullanıcılarınıza hem HTTPS hem de Tor Browser tarafından sağlanan ek kişisel gizlilik koruma özelliklerini sunmuş olursunuz.

Neden onion hizmetleri?

Onion hizmetleri, kullanıcılarına kişisel gizlilik ve güvenlik ile ilgili çeşitli yararlar sağlar.

Konum gizleme

Bir onion hizmetinin IP adresi korunmaktadır. Onion hizmetleri, TCP/IP üzerine kaplanmış bir ağ olduğundan, aslında IP adresleri onion hizmetleri için anlamlı bile sayılmaz. Bunlar iletişim kuralında bile kullanılmaz.

Uçtan uca kimlik doğrulama

Bir kullanıcı belirli bir onion ziyareti yaptığında, gördüğü içeriğin yalnız o onion tarafından gelebileceğini bilir. Kimlik taklidi yapılamaz, genellikle söz konusu değildir. Genellikle, bir web sitesine ulaşmak, ortadaki birinin başka bir yere yönlendirme yapmadığı (DNS saldırılarındaki gibi) anlamına gelmez.

Uçtan uca şifreleme

Onion hizmeti trafiği, istemciden onion sunucusuna doğru şifrelenmiştir. Bu işlem, ücretsiz olarak güçlü SSL/HTTPS bağlantısı kullanmak gibidir.

NAT delik açma

Ağınızda güvenlik duvarı var ve üzerinde kapı numaraları açamıyor musunuz? Bir üniversite kampüsünde, ofiste, havaalanında yani aslında her yerde bu durumla karşılaşabilirsiniz. Onion hizmetleri NAT üzerinden delik açtığı için açık kapı numaralarına gerek duymazlar. Yalnız giden bağlantılar kurarlar.

Onion hizmeti iletişim kuralı: Özet

Şimdi şu soru gelir tüm bu özelliklere ulaşabilmek için ne tür bir iletişim kuralı gerekir? Genellikle insanlar bir IP adresi ile bağlantı kurar ve işlem tamamdır. Ancak IP adresi olmayan bir şey ile nasıl bağlantı kurabilirsiniz?

Bir onion hizmetinin adresi şuna benzer: vww6ybal4bd7szmgncyruucpgfkqahzddi37ktceo3ah7ngmcopnpyyd.onion

Bu adres tuhaf ve rastgele görünüyor çünkü onion hizmetinin herkese açık kimlik anahtarı (identity public key) değeridir. Yukarıdaki güvenlik özelliklerini sunabilmemizin nedenlerinden biri budur.

Onion hizmeti iletişim kuralı, istemcinin kendisini hizmete tanıtabilmesi ve ardından hizmet ile bir buluşma noktası oluşturabilmesi için Tor ağını kullanır. Yapılan işlemlerin ayrıntısı şu şekildedir:

1. aşama: Onion hizmeti tanıtım noktalarını oluşturur

Yerel gazetenizin anonim bilgiler toplamak için bir onion hizmeti (SecureDrop kullanarak) kurmaya karar verdiğini düşünelim. İletişim kuralının ilk adımı olarak, onion hizmeti bir grup Tor aktarıcı ile iletişime geçer ve onlar ile uzun vadeli devreler kurarak tanıtım noktaları olarak davranmalarını ister. Bu devreler anonimleştirilmiştir. Bu nedenle sunucu, hizmetin konumunu tanıtım noktaları tarafından bilinemez.

Onion hizmeti, yalnız iki duraklı bir Tor devresi üzerinden bağlantı kurduğu üç tanıtım noktasından erişime izin vererek kendisini Tor ağının arkasında saklar ve korur.

Onion Services: Step 1

2. aşama: Onion hizmetinin tanımlayıcıları yayınlanır

Artık tanıtım noktaları kurulduğuna göre, istemcilerin onları bulabilmesi için bir yol oluşturulması gerekiyor.

Bu nedenle, onion hizmeti, tanıtım noktalarının bir listesini (ve "kimlik doğrulama anahtarlarını") içeren bir onion hizmeti belirteci hazırlar ve bu belirteci onion hizmetinin özel kimlik anahtarı ile imzalar. Burada kullanılan özel kimlik anahtarı, onion hizmeti adresinde kodlanmış herkese açık anahtarın özel bölümüdür.

Onion hizmeti, imzalanmış belirteci Tor ağının bir parçası olan dağıtılmış karma tablosuna yükleyerek istemcilerin de almasını sağlar. Bu yükleme için anonimleştirilmiş bir Tor devresi kullanıldığından hizmetin konumu bilinemez.

Onion Services: Step 2

3. aşama: Bir istemci onion hizmetini ziyaret etmek ister

Yerel gazetenize SecureDrop üzerinden bazı vergi dolandırıcılığı bilgilerini anonim olarak göndermek istediğinizi varsayalım. Gazetenin SecureDrop onion adresini herkese açık bir web sitesinden ya da arkadaşınızdan bulabilirsiniz.

Onion Services: Step 3

4. aşama: İstemci kendisini onion hizmetine tanıtır

Önceki tüm adımlar, onion hizmetinin istemciler tarafından erişilebilir olması için ayarlandı. Şimdi, gerçek bir istemcinin hizmeti ziyaret etmek istediği aşamaya geçelim.

Bu aşamada, istemci SecureDrop onion adresini biliyor ve onu ziyaret etmek istiyor. Böylece hizmet ile Tor Browser üzerinden bağlantı kurulur. Bundan sonra, istemci 2. Aşamada belirlenen dağıtılmış karma tablosuna giderek SecureDrop onion hizmetinin imzalanmış belirtecini ister.

Onion Services: Step 4

5. aşama: İstemci onion adresinin imzasını doğrular

İstemci imzalanmış belirteci aldığında, onion adresi içinde kodlanmış olarak bulunan genel anahtarı kullanarak belirtecin imzasını doğrular. Böylece, uçtan uca kimlik doğrulama güvenlik özelliği sağlanır. Çünkü artık bu belirtecin yalnız o onion hizmeti tarafından üretildiğinden ve başka hiç kimse tarafından üretilemeyeceğinden emin olduk.

Belirtecin içinde, istemcinin kendisini SecureDrop onion hizmetine tanıtmasını sağlayan tanıtım noktaları bulunur.

Onion Services: Step 5

6. aşama: İstemci bir buluşma noktası oluşturur

Tanıtımdan önce, istemci (bu durumda siz) bir Tor aktarıcısı seçerek onunla bir devre kurar. İstemci, aktarıcıdan buluşma noktası olmasını ve randevu sırasında kullanılacak "tek kullanımlık parolayı" oluşturmasını ister.

Onion Services: Step 6

7. aşama: Onion hizmeti istemci ile buluşur

Tanıtım noktası, bilgilerinizi (parola dizgesi ve buluşma adresi), güvenilir olup olmadığınıza karar vermek için birden çok kimlik doğrulama işlemi yapan onion hizmetine iletir.

Onion Services: Step 7

8. aşama: Buluşma noktası istemcinin parolasını doğrular

Onion hizmeti buluşma noktası ile (anonimleştirilmiş bir devre aracılığıyla) bağlantı kurar ve "tek kullanımlık parolayı" gönderir. Buluşma noktası, sizden ve hizmetten gelen parola dizgelerini eşleştirmek için son bir doğrulama yapar (ikincisi de sizden gelir, ancak hizmet aracılığı ile aktarılmıştır).

Buluşma noktası, (uçtan uca şifrelenmiş) iletileri istemciden hizmete ya da hizmetten istemciye iletir.

Onion Services: Step 8

9. aşama: Onion hizmeti istemci ile buluşur

Genel olarak, istemci ve onion hizmeti arasındaki tam bağlantı 6 aktarıcıdan oluşur: Bunlardan 3 tanesi istemci tarafından seçilir. Üçüncüsü buluşma noktası olur ve diğer 3 tanesi onion hizmeti tarafından seçilir. Böylece bu bağlantı için konum gizliliği sağlanır.

Son olarak, buluşma noktası kullanılarak, siz ve gazetenizin SecureDrop onion hizmeti arasında bir Tor devresi kurulur.

Onion Services: Step 9

Diğer kaynaklar

Bu aşamalar, Tor onion hizmetleri iletişim kuralının üst düzey bir özetiydi. Daha fazla bilgi almak istiyorsanız şu kaynaklardan yararlanabilirsiniz:

Özgün tasarımı açıklayan Tor tasarım makalesi.
Tor v3 onion hizmetleri iletişim kuralı özellik kümesi.
Onion hizmetleri sunumu: Tor Onion Hizmetlerini ve Kullanım Durumlarını Anlamak - HOPE XI 2016, DEF CON 25 - Roger Dingledine - Gelecek Nesil Tor Onion Hizmetleri.

Önceki sayfaya dön: Onion Hizmetleri - Bu sayfayı düzenle

Privacy is a human right

Your donation will be matched by Friends of Tor, up to $150,000.

onion hizmetleri

Onion hizmetleri nasıl çalışır?