什么是 Tor
是思考匿名性时必然会遇到的重要机制。
不过,如果只把 Tor 理解成“隐藏 IP 地址的浏览器”,就很危险。Tor 的本质,是让连接来源和连接目标不容易被直接连接起来。它不是单纯把通信中继到某一个地方,而是使用多个中继节点来分开通信路径。
Tor 是强大的机制,但使用它并不会自动匿名。
登录实名账号。像平时浏览器一样安装扩展功能。在发帖内容中写日常活动范围或职场。这些运营方式会让通信路径即使被隐藏,也仍然通过其他线索连接起来。
本文整理 Tor 的基本、能保护的范围和仍然留下的风险。详细运营步骤会在 Tor Browser 实践文章中处理。
Tor 的基本
Tor 是通过多个中继节点通信,使连接来源和连接目标不容易直接连接起来的机制。
普通 Web 访问中,连接目标网站能看到访问来源 IP 地址。使用 Tor Browser 访问网站时,连接目标通常看到的不是用户家庭 IP,而是 Tor 出口节点的 IP 地址。
Tor Project 是开发和发布 Tor Browser 与 Tor 网络的官方项目。使用 Tor 时,不只看非官方汇总,也要确认官方信息。
URL : https://www.torproject.org/
| 要素 | 作用 | 匿名性中的含义 |
|---|---|---|
| Tor Browser | 让 Tor 更易使用的浏览器 | 为匿名性调整通信路径和浏览器设置 |
| 入口节点 | 接近用户侧的第一个中继点 | 能看到连接来源,但不能直接看到最终连接目标 |
| 中间节点 | 中继路径途中通信 | 弱化连接来源和目标的直接结合 |
| 出口节点 | 最后连接到目标网站的节点 | 成为连接目标看到的 IP |
| 连接目标网站 | 最终访问的对象 | 仍会处理发帖内容、、登录状态 |
Tor 的信任模型不同于把 运营商作为大信任对象的 VPN。
它通过把路径分成多个角色,使单一中继点不容易看到全貌。
使用 Tor 后可见方式如何改变
使用 Tor 后,连接目标看到的 IP 地址会改变。
另外,从 ISP 或职场、学校网络来看,可能会显示为不是直接连接普通网站,而是连接到 Tor 网络。
| 对象 | 可见信息 | 不易看见的信息 |
|---|---|---|
| 连接目标网站 | Tor 出口节点、访问内容、Cookie、登录状态 | 用户家庭 IP |
| ISP | 正在连接 Tor 网络这一事实、通信量、时刻 | 最终连接目标和页面内容 |
| 入口节点 | 用户的连接来源 IP | 最终连接目标 |
| 出口节点 | 连接目标,若是明文通信则包括内容 | 用户原本 IP |
| 服务运营者 | 账号信息、发帖内容、日志 | 不会只因通信路径而消失 |
这里重要的是,Tor 会让连接来源 IP 和连接目标不容易直接连接,但不会消除发帖内容或登录状态。
如果用 Tor 登录实名账号,该行为仍会连接到实名账号。
Tor 适合的场景
Tor 在需要较强匿名性的场景中是重要选项。
想避开审查,不想让连接目标看到家庭 IP,想在调查和信息收集中分开连接来源,想匿名提供信息。这些场景中,Tor 有时比普通连接或单纯 VPN 更合适。
| 场景 | Tor 有帮助的理由 | 注意点 |
|---|---|---|
| 规避审查 | 可以避开普通连接路径 | 有些地区 Tor 使用本身会显眼 |
| 调查 | 不容易让连接目标看到家庭 IP | 会被登录和搜索词关联 |
| 匿名发帖 | 容易分开连接来源 IP | 发帖内容和时间会成为线索 |
| 信息提供 | 不容易直接连接通信路径 | 还要看提交对象和文件元数据 |
| 公共环境使用 | 改变本地网络中的可见方式 | 监控摄像头和现场记录是另一问题 |
高风险信息提供和内部举报中,请不要只用 Tor 判断。
提交对象可信度、资料元数据、访问时间、组织内日志、法律风险也会相关。
Tor 不能保护的东西
Tor 的失败并不只发生在 Tor 的加密或路径上。
很多失败来自运营失误。
| 残留风险 | 例子 | 理由 |
|---|---|---|
| 登录状态 | 登录实名 SNS | 账号会指向本人 |
| Cookie | 用同一浏览器再次访问 | 会被当作同一用户处理 |
| 发帖内容 | 写职场、地区、家人 | 内容会显示人物像 |
| 与实名发帖相似 | 成为写作者关联 | |
| 文件 | 残留创建者名或位置信息 | 是通信路径以外的信息 |
| 时间 | 现场刚结束就发帖 | 与行动时刻连接 |
Tor 是隐藏通信路径的重要机制。
但是,匿名性不只由通信路径决定。账号、浏览器、文件、发帖内容、过去信息也要同时看。
使用 Tor 前的确认
使用 Tor 前,要先决定想用 Tor 保护什么。
只是“因为不安所以用 Tor”,运营会崩。是不想让连接目标看到家庭 IP,还是想把调查行为与真实身份环境分开,还是想避开审查,还是想分开信息提供路径,不同目的会改变确认项目。
| 确认项目 | 理由 |
|---|---|
| 是否会进入实名账号 | 登录会与本人连接 |
| 是否与平时浏览器混用 | Cookie 和历史记录会关联 |
| 发帖内容中是否有日常活动范围 | 通信路径不能隐藏内容 |
| 发送文件前是否确认 | 元数据和创建者名会残留 |
| Tor 使用本身是否会在环境中显眼 | ISP 或组织网络可能看见 |
Tor 是强工具。
工具越强,使用错误的影响也越大。不要破坏标准设置,不要与实名环境混用,并分清 Tor 能保护和不能保护的范围。
作为 Tor 基础应掌握的事
本文处理 Tor 基础。
网桥、Snowflake、出口节点细节、Tor Browser 安全级别、与 OS 的组合、Tails 和 Whonix 的用法区分,会在其他文章中处理。
这里要记住的核心是,Tor 是改变通信路径可见方式的机制,并不会自动消除发帖内容和登录状态。
总结
Tor 是使用多个中继节点,让连接来源和连接目标不容易直接连接起来的机制。
连接目标看到的 IP 通常是 Tor 出口节点。ISP 可能看到正在连接 Tor 网络。
Tor 是支撑强匿名性的重要技术,但不是万能的。
如果实名登录、Cookie、发帖内容、文体、文件元数据、发帖时间产生关联,即使隐藏通信路径,匿名性也会崩塌。
使用 Tor 时,必须确认的不只是“什么变得不可见”,也包括“什么仍然留下”。
相关工具
BrowserLeaks WebRTC
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
BrowserLeaks Fingerprint
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
EFF Cover Your Tracks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
Tor Project
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。