Onion Hizmeti, yalnızca Tor üzerinden erişilebilen bir hizmettir. Bir Onion Hizmeti işlettiğinizde kullanıcılarınıza hem HTTPS hem de Tor Browser tarafından sağlanan ek kişisel gizlilik koruma özelliklerini sunmuş olursunuz.

Neden Onion Hizmeti?

Onion Hizmeti, kullanıcılarına kişisel gizlilik ve güvenlik ile ilgili çeşitli yararlar sağlar.

Konum gizleme

Bir Onion Hizmetinin IP adresi korunmaktadır. Onion Hizmeti, TCP/IP üzerine kaplanmış bir ağ olduğundan, aslında IP adresleri Onion Hizmeti için anlamlı bile sayılmaz. Bunlar iletişim kuralında bile kullanılmaz.

Uçtan uca kimlik doğrulama

Bir kullanıcı belirli bir onion ziyareti yaptığında, gördüğü içeriğin yalnızca o onion tarafından gelebileceğini bilir. Kimlik taklidi yapılamaz, genellikle söz konusu değildir. Genellikle, bir siteye ulaşmak, ortadaki birinin başka bir yere yönlendirme yapmadığı (DNS saldırılarındaki gibi) anlamına gelmez.

Uçtan uca şifreleme

Onion hizmeti trafiği, istemciden onion sunucusuna doğru şifrelenmiştir. Bu işlem, ücretsiz olarak güçlü SSL/HTTPS bağlantısı kullanmak gibidir.

NAT delik açma

Ağınızda güvenlik duvarı var ve üzerinde bağlantı noktaları açamıyor musunuz? Bir üniversite kampüsünde, ofiste, havaalanında yani aslında her yerde bu durumla karşılaşabilirsiniz. Onion Hizmeti NAT üzerinden delik açtığı için bağlantı noktalarına gerek duymazlar. Yalnızca giden bağlantılar kurarlar.

Onion hizmeti iletişim kuralı: Özet

Şimdi şu soru gelir tüm bu özelliklere ulaşabilmek için ne tür bir iletişim kuralı gerekir? Genellikle insanlar bir IP adresi ile bağlantı kurar ve işlem tamamdır. Ancak IP adresi olmayan bir şey ile nasıl bağlantı kurabilirsiniz?

Bir Onion Hizmetinin adresi şuna benzer: vww6ybal4bd7szmgncyruucpgfkqahzddi37ktceo3ah7ngmcopnpyyd.onion

Bu adres tuhaf ve rastgele görünüyor çünkü Onion Hizmetinin herkese açık kimlik anahtarı (identity public key) değeridir. Yukarıdaki güvenlik özelliklerini sunabilmemizin nedenlerinden biri budur.

Onion Hizmeti iletişim kuralı, istemcinin kendisini hizmete tanıtabilmesi ve ardından hizmet ile bir buluşma noktası oluşturabilmesi için Tor ağını kullanır. Yapılan işlemlerin ayrıntısı şu şekildedir:

1. adım: Onion Hizmeti tanıtım noktalarını oluşturur

Yerel gazetenizin anonim bilgiler toplamak için bir Onion Hizmeti (SecureDrop kullanarak) kurmaya karar verdiğini düşünelim. İletişim kuralının ilk adımı olarak, Onion Hizmeti bir grup Tor aktarıcı ile iletişime geçer ve onlar ile uzun vadeli devreler kurarak tanıtım noktaları olarak davranmalarını ister. Bu devreler anonimleştirilmiştir. Bu nedenle sunucu, hizmetin konumunu tanıtım noktalarına bildiremez.

Onion hizmeti, yalnızca iki duraklı bir Tor devresi üzerinden bağlantı kurduğu üç tanıtım noktasından erişilmesine izin vererek kendisini Tor ağının arkasında saklar ve korur.

2. adım: Onion Hizmetinin tanımlayıcıları yayınlanır

Artık tanıtım noktaları kurulduğuna göre, istemcilerin onları bulabilmesi için bir yol oluşturulması gerekiyor.

Bu nedenle, Onion Hizmeti, tanıtım noktalarının bir listesini (ve "kimlik doğrulama anahtarlarını") içeren bir Onion Hizmeti belirteci hazırlar ve bu belirteci Onion Hizmetinin kişisel kimlik anahtarı ile imzalar. Burada kullanılan kişisel kimlik anahtarı, Onion Hizmeti adresinde kodlanmış herkese açık anahtarın kişisel bölümüdür.

Onion Hizmeti, imzalanmış belirteci Tor ağının bir parçası olan dağıtılmış karma tablosuna yükleyerek istemcilerin de almasını sağlar. Bu yükleme için anonimleştirilmiş bir Tor devresi kullanıldığından hizmetin konumu bilinemez.

3. adım: Bir istemci Onion Hizmetini ziyaret etmek ister

Yerel gazetenize SecureDrop üzerinden bazı vergi dolandırıcılığı bilgilerini anonim olarak göndermek istediğinizi varsayalım. Gazetenin SecureDrop onion adresini herkese açık bir siteden ya da arkadaşınızdan bulabilirsiniz.

4. adım: İstemci kendisini Onion Hizmetine tanıtır

Önceki tüm adımlar, Onion Hizmetinin istemciler tarafından erişilebilir olması için ayarlandı. Şimdi, gerçek bir istemcinin hizmeti ziyaret etmek istediği aşamaya geçelim.

Bu aşamada, istemci SecureDrop onion adresini biliyor ve onu ziyaret etmek istiyor. Böylece hizmet ile Tor Browser üzerinden bağlantı kurulur. Bundan sonra, istemci 2. adımda belirlenen dağıtılmış karma tablosuna giderek SecureDrop Onion Hizmetinin imzalanmış belirtecini ister.

5. adım: İstemci onion adresinin imzasını doğrular

İstemci imzalanmış belirteci aldığında, onion adresi içinde kodlanmış olarak bulunan genel anahtarı kullanarak belirtecin imzasını doğrular. Böylece, uçtan uca kimlik doğrulama güvenlik özelliği sağlanır. Çünkü artık bu belirtecin yalnızca o Onion Hizmeti tarafından üretildiğinden ve başka hiç kimse tarafından üretilemeyeceğinden emin olduk.

Belirtecin içinde, istemcinin kendisini SecureDrop Onion Hizmetine tanıtmasını sağlayan tanıtım noktaları bulunur.

6. adım: İstemci bir buluşma noktası oluşturur

Tanıtımdan önce, istemci (bu durumda siz) bir Tor aktarıcısı seçerek onunla bir devre kurar. İstemci, aktarıcıdan buluşma noktası olmasını ve buluşma sırasında kullanılacak "tek kullanımlık parolayı" oluşturmasını ister.

7. adım: Onion Hizmeti istemci ile buluşur

Tanıtım noktası, bilgilerinizi (parola dizgesi ve buluşma adresi), güvenilir olup olmadığınıza karar vermek için birden çok kimlik doğrulama işlemi yapan Onion Hizmetine iletir.

8. adım: Buluşma noktası istemcinin parolasını doğrular

Onion Hizmeti buluşma noktası ile (anonimleştirilmiş bir devre aracılığıyla) bağlantı kurar ve "tek kullanımlık parolayı" gönderir. Buluşma noktası, sizden ve hizmetten gelen parola dizgelerini eşleştirmek için son bir doğrulama yapar (ikincisi de sizden gelir, ancak hizmet aracılığı ile aktarılmıştır).

Buluşma noktası, (uçtan uca şifrelenmiş) iletileri istemciden hizmete ya da hizmetten istemciye iletir.

9. adım: Onion Hizmeti istemci ile buluşur

Genel olarak, istemci ve Onion Hizmeti arasındaki tam bağlantı 6 aktarıcıdan oluşur: Bunlardan 3 tanesi istemci tarafından seçilir. Üçüncüsü buluşma noktası olur ve diğer 3 tanesi Onion Hizmeti tarafından seçilir. Böylece bu bağlantı için konum gizliliği sağlanır.

Son olarak, buluşma noktası kullanılarak, siz ve gazetenizin SecureDrop Onion Hizmeti arasında bir Tor devresi kurulur.

Diğer kaynaklar

Bunlar, Tor Onion Hizmeti iletişim kuralının üst düzey bir özetiydi. Daha fazla bilgi almak istiyorsanız şu kaynaklardan yararlanabilirsiniz:

• Özgün tasarımı açıklayan Tor tasarımı makalesi.
• Tor v3 Onion hizmetleri iletişim kuralı teknik özellikleri.
• Onion Hizmeti sunumu: Tor Onion Hizmeti ve Kullanım Durumlarını Anlamak - HOPE XI 2016, DEF CON 25 - Roger Dingledine - Gelecek Nesil Tor Onion Hizmeti.