У Тору, када више релеја има исте операторе, требало би да декларишу да су чланови „породице“.

У тренутном дизајну Тор-а, да би се релеји подесили као чланови породице, сваки релеј мора да наведе сваког другог члана породице у својој конфигурацији и да објави ту листу клијентима. Одржавање ових листа може бити непријатно, а преузимање скупо.

Дизајн „Срећне породице“ је нова функција у Tor 0.4.9.2-alpha верзији која ће (на крају) пружити једноставнији начин за конфигурисање породица релеја, а такође ће уштедети много саобраћаја када клијенти преузимају информације о мрежном директоријуму.

_(Нажалост, пресељење у срећне породице створиће додатан посао док транзиција траје. Мислимо да ће се то исплатити на дужи рок.)

Требало би да прочитате ово ако сте оператер релеја који треба да конфигурише породицу на Тор мрежи.

Основна идеја

У дизајну „Срећне породице“, свака релејна породица је идентификована тајним породичним кључем за потписивање који деле сви чланови породице. Чланови породице користе овај кључ за потписивање сертификата којима доказују да припадају породици.

Дакле, оно што треба да урадите је:

  1. Генеришите један кључ за своју породицу.
  2. Копирајте тај кључ на сваки релеј.
  3. Конфигуришите релеје да користе тај кључ.

Детаљније

Генерисање породичног кључа

Прво, мораћете да сачекате док сви ваши релеји не почну да раде са верзијом 0.4.9.2-alpha или новијом.

Затим, да бисте генерисали породични кључ, покрените:

tor --keygen-family MyKey

Ово ће креирати датотеку под називом MyKey.secret_family_key; такође ће исписати нешто попут овог резултата на стандардни излаз:

# Generated MyKey.secret_family_key
FamilyId wweKJrJxUDs1EdtFFHCDtvVgTKftOC/crUl1mYJv830

Сачувај линију FamilyID; требаће ти! (Не користите онај из овог примера — то није ваш породични ИД.)

Подешавање вашег релеја

Копирајте датотеку MyKey.secret_family_key (или како год да је зовете) у KeyDir сваког вашег релеја. (Подразумевано, ово је поддиректоријум keys вашег DataDir.) Име датотеке мора да се завршава са .secret_family_key.

Затим, додајте линију FamilyId у вашу датотеку torrc.

Ако ваш релеј ради, мораћете му рећи да поново учита своју конфигурацију (обично помоћу команде SIGHUP).

Да ли је успело?

Ако сте ово урадили како треба, требало би да видите унос family-cert у дескриптору вашег релеја, који изгледа отприлике овако:

family-cert
-----BEGIN FAMILY CERT-----
AQwAB2K5AXJrxBpgTXDIvHKFShmCCD2yLnDaBf2lWaInBhR2R56HAQAgBAAjv69J
jy+7BSRh1GnGF7Zxm+AMXvJYWkUCWY+5KU8Bymkz5N4D/QNs4K6bOjLokAwD4raT
J34t8b7uxHXuFS2F2VN5Ygr3//vGsB00jideQ5Cj9aX+BLSZ2FjC6GK2XAo=
-----END FAMILY CERT-----

Када довољан број ауторитета директоријума покрене верзију 0.4.9.2-alpha или новију, укључиће одговарајући унос у микродескрипторе ваших релеја, који ће изгледати отприлике овако:

family-ids ed25519:wweKJrJxUDs1EdtFFHCDtvVgTKftOC/crUl1mYJv830

НАПОМЕНА: И даље је потребно да подесите MyFamily!

Нажалост, и даље ћете морати да конфигуришете опцију MyFamily као што сте то радили раније: док сви клијенти не почну да подржавају „Срећне породице“, мораће да погледају старе породичне листе.

Трудићемо се да овај прелазни период буде што краћи, у разумном року.

Обавестићемо вас када више не буде потребно укључивати MyFamily.

Додатне информације: Како пренети породичне кључеве

Ако је један од ваших релеја угрожен или ако случајно откријете породични кључ, мораћете да га промените. (Ако то не учините, противников релеј би могао лажно да тврди да је члан ваше породице.)

Да бисмо то урадили, препоручујемо поступак корак по корак.

  1. Генеришите нови породични кључ као што је горе описано. Дајте му другачије име датотеке од старог кључа.
  2. Копирајте нови породични кључ на сваки од ваших релеја, без замене старог породичног кључа.
  3. Додајте нову линију FamilyID у све конфигурације ваших релеја, без уклањања старе. У овом тренутку, ваши релеји ће сви бити чланови две породице.
  4. Сачекајте неколико дана како би се нове информације о породици могле проширити.
  5. Уклоните старе линије FamilyID из конфигурација ваших релеја. По жељи, уклоните и старе породичне кључеве.

Додатне информације: Очекиване су уштеде од ове транзиције

Планирамо да истовремено уклонимо MyFamily и застареле TAP onion кључеве. Када то урадимо, процењујемо да ће микродескриптори резултујуће мреже бити нешто око 10% њихове тренутне величине.

(Нажалост, ово можда неће бити трајна уштеда: када пређемо на постквантну криптографију, можда ћемо морати поново да повећамо микродескрипторе. Али барем ће ова промена ослободити простор за то.)