Nieuws
image

Tor Project stopt met extra beveiligde Tor Browser

vrijdag 21 april 2017, 10:22 door Redactie, 4 reacties
Laatst bijgewerkt: 21-04-2017, 10:56

Het Tor Project heeft na anderhalf jaar besloten om met de extra beveiligde versie van Tor Browser te stoppen. De "hardened" Tor Browser was van allerlei maatregelen voorzien om geheugenaanvallen te voorkomen, met name als JavaScript stond uitgeschakeld.

Dit moest gebruikers tegen aanvallen beschermen. Daarnaast moest de versie helpen om eerder problemen te vinden en die in de alpha en stabiele versies te verhelpen. De hardened versie was ook op de alpha-testversie gebaseerd. De extra beveiliging had ook verschillende nadelen. Zo is deze versie trager, verbruikt meer geheugen en is iets groter dan de normale versie. Een groot probleem was echter de verwarring bij gebruikers. Door het combineren van een testversie met extra beveiligingsopties was het onduidelijk voor gebruikers of dit wel de versie was die ze wilden. Daarom is nu besloten om met deze extra beveiligde versie te stoppen.

In plaats daarvan zullen er losse tools beschikbaar worden gesteld om de twee doelen die de hardened versie had te bereiken. Zo krijgen huidige gebruikers van de hardened versie het advies om gesandboxte Tor Browser te gebruiken. Deze versie bevindt zich nog in de experimentele fase en is alleen voor Linux beschikbaar. Toch biedt deze versie volgens het Tor Project een betere bescherming tegen aanvallen dan de hardened versie. Wat betreft het vroegtijdig vinden van bugs in Tor Browser zullen hiervoor binnenkort weer allerlei vroege "nightly" testversies worden uitgebracht.

Reacties (4)
21-04-2017, 22:47 door Anoniem
Vandaag de TOR browser eens gedownload, en gecontroleerd of de software is wat het beweerd te zijn.
De eerste TOR browser software gedownload van: https://www.torproject.org/projects/torbrowser.html.en
Hier gekozen voor de Nederlandse versie met de naam: torbrowser-install-6.5.2_nl.exe
Vervolgens de handtekening: torbrowser-install-6.5.2_nl.exe.asc

Daarna de TOR browser gedownload van : https://www.torproject.org/download/download-easy.html.en
Wederom de nederlandse versie: torbrowser-install-6.5.2_en-US.exe
De handtekening: torbrowser-install-6.5.2_en-US.exe.asc

Om nu de beide software pakketten te kunnen controleren op hun validiteit, de richtlijnen gevolgd op de website:
https://www.torproject.org/docs/verifying-signatures.html.en
Hier gezocht naar de publieke sleutel van de TOR browser met het Key-Id: 0x4E2C6E8793298290
Deze publieke sleutel geimporteert in GPG4WIN.
Nu vervolgens de handtekeningen gecontroleerd, en als uitkomst krijg ik dat beide bestanden niet met de handtekening overeenkomen.

De Fingerprint die GPG4WIN opgeeft bij : torbrowser-install-6.5.2_en-US.exe.asc is
0xA4300A6BC93C0877A4451486D1483FA6C3C07136.

De Fingerprint die GPG4WIN opgeeft bij : torbrowser-install-6.5.2_nl.exe.asc is
0xA4300A6BC93C0877A4451486D1483FA6C3C07136.

Beide Key Id zijn ook hetzelfde.

De vraag is wie kan hier duidelijkheid in brengen!
22-04-2017, 12:54 door [Account Verwijderd] - Bijgewerkt: 22-04-2017, 12:54
[Verwijderd]
22-04-2017, 18:06 door Anoniem
@Poco, Mijn hartelijke dank voor uw reactie. Als we ons richten op [ torbrowser-install-6.5.2_en-US.exe ] en deze trachten te verifiëren middels de handtekening, die o.a. door u in de voorgaande reactie is geplaatst, heb ik gebruik gemaakt van PGP.
In dit programma heb ik de publieke sleutel die verbonden is aan de handtekening eerst eens verwijdert, en de handtekening gecontroleerd.
Ik heb dus gebruik gemaakt van de signature door u hier geplaatst, en als controle de originele zoals deze in de link staat geplaatst op de website.

Met PGP betekend dit de signature selecteren, en PGP vragen om de verificatie, en de uitkomst is:

*** PGP SIGNATURE VERIFICATION ***
*** Status: Unknown Signature
*** Signer: Unknown Key (0xC3C07136)
*** Signed: 18-4-2017 16:37:57
*** Verified: 22-4-2017 17:38:38
*** BEGIN PGP VERIFIED MESSAGE ***

*** END PGP VERIFIED MESSAGE ***
Vervolgens de key (0xC3C07136) opgezocht via de openPGP server van Surfnet.
Die geeft aan, dat het hier handelt om een publieke sleutel met als ke-id 0x4e2c6e8793298290
Dit klopt geheel met de door TOR genoemde publieke sleutel op hun website waarmee de handtekening is gemaakt.
Vervolgens het Public Key block geselecteerd, en in PGP geïmporteerd
De fingerprint van de publieke sleutel is: EF6E 286D DA85 EA2A 4BA7 DE68 4E2C 6E87 9329 8290
Er zijn 4 subkeys:
1. 5242 013F 02AF C851 B1C7 36B8 7017 ADCE
2. BA1E E421 BBB4 5263 180E 1FC7 2E1A C68E
3. 05FA 4425 3F6C 19A8 B7F5 18D4 2D00 0988
4. A430 0A6B C93C 0877 A445 1486 D148 3FA6
De laatste subkey wordt door u genoemd, en heeft als kenmerk; Default Signing.
Key-id is 0xC3C07136

Een en ander bevestig dat dit de publieke sleutel is waarmee [ torbrowser-install-6.5.2_en-US.exe ] is gesigneerd.
Vervolgens nu heb ik [ torbrowser-install-6.5.2_en-US.exe ] met de door u geplaatste PGP SIGNATURE gecontroleerd.
De uitkomst:
*** PGP SIGNATURE VERIFICATION ***
*** Status: Good Signature from Invalid Key
*** Alert: Please verify signer's key before trusting signature.
*** Signer: Tor Browser Developers (signing key) <torbrowser@torproject.org> (0x93298290:0xC3C07136)
*** Signed: 18-4-2017 16:37:57
*** Verified: 22-4-2017 17:56:38
*** BEGIN PGP VERIFIED MESSAGE ***
*** END PGP VERIFIED MESSAGE ***

Een Good Signature from invalid key, hetgeen dus onbetrouwbaar is, of interpreteer ik dit onjuist.
24-04-2017, 10:54 door Anoniem
PGP hanteert een omschrijving die verwarrend is "Status: Good Signature from Invalid Key".
Dit zou moeten zijn Status: Good Signature from not trusted Key.

gpg4win gebruikt die omschrijving wel. "gpg: WARNING: This key is not certified with a trusted signature!"

Waarom echter niet gewoon een checksum getal, dat is toch veel handiger
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search