Wie niet weg is, is gezien

Netwerkbeheerders hoeven niet te weten dat je Facebook vertrouwt

Crowdsuing gaat terecht achter ABN Amro aan

Dat was schrikken, zo op de vrijdagmiddag: Facebook kondigde aan dat zij haar diensten ook aanbiedt via het anonimiseringsnetwerk Tor. Zo op het eerste gezicht een gekke combinatie van de privacy-voorvechter Tor en het privacy-monster Facebook. Die twee gaan echter goed samen, om meerdere redenen.

Facebook is nu ook bereikbaar via een “hidden service” op het Tor-netwerk: facebookcorewwwi.onion. Als Tor-gebruiker kun je anoniem op het internet rondstruinen: je verkeer wordt versleuteld omgeleid via tenminste drie computers voordat het het gewone internet opgaat. Voor niemand is te achterhalen welke websites je bezoekt en ook voor de beheerder van een website blijf je anoniem – totdat je inlogt.

Is het daarom geen gekke combinatie, Facebook en Tor? Nee, niet echt. Ook al vertrouw je je meest intieme details toe aan Facebook, er is geen enkele reden om jouw vertrouwen tegelijkertijd ook te delen met je internet­provider of een opsporings- of geheime dienst die jouw verbinding aftapt. En het feit dat je op Facebook inlogt, maakt niet dat Facebook ook meteen op basis van je IP-adres moet kunnen afleiden waar je op dat moment bent.

Dat Facebook zelf ook in dat Tor-netwerk beschikbaar is, biedt nog meer voordelen. Een gewone verbinding met Facebook is al met TLS versleuteld (de “https” in de adresbalk), maar zo’n TLS-verbinding laat zich gemakkelijk vertrouwen én gemakkelijk vervalsen. Als je via de “hidden service” van Facebook een verbinding maakt, is tussen jou en Facebook nóg een extra versleuteling aangebracht. Door de manier waarop Tor werkt, is die ook niet – of in ieder geval bijzonder moeilijk – te vervalsen.

Voor wie de gory details wil weten: de hostname waarmee je verbinding maakt is in het Tor-netwerk een afgeleide van de sleutel van de website achter die hostname. Daarmee is die hostname “self-authenticating”. Dat maakt het bijzonder lastig of zelfs onmogelijk voor een geheime dienst om met vervalste sleutels de verbinding over te namen. De vervelende consequentie is overigens ook dat als de beheerder van de site de sleutel kwijtraakt, hij zijn website alleen onder een nieuwe naam toegankelijk kan maken. Simpeler: een geheime dienst kan relatief gemakkelijk het TLS-certificaat voor “facebook.com” vervalsen, maar kan (vrijwel?) onmogelijk Facebook’s hostname op het Tor-netwerk nabootsen.

Los van al deze technische details vinden we Facebook’s aankondiging om nóg een reden mooi: het feit dat ook Facebook gebruik maakt van het Tor-netwerk toont goed aan dat het heel normaal is om Tor te gebruiken.

  1. Chris

    Voor wie nog Facebook gebruikt, vergeet dan niet om verschillende modes van anonimiteit gescheiden te houden: https://trac.torproject.org/projects/tor/wiki/doc/TorifyHOWTO#DonotmixModesofAnonymity M.a.w. Zorg dat je Facebook sessies niet te linken is aan andere sessies die over dezelfde exit node lopen.

    • MathFox

      Bij een .onion site is er geen sprake van een exit node, het verzoek gaat van de tor-node bij faceboek (hopelijk) direct naar de webserver. Er is wel een gevaar dat jouw identiteit toch op straat komt te liggen door (inline) links naar normale websites.

  2. Geirr

    Ik ben benieuwd of dit ook iets zegt over het standpunt van Facebook over privacy. Zouden ze dan niet in het algemeen ook dingen op hun site moeten veranderen?

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.