Use bitcoin with tor

Как настроить Bitcoin для анонимности с Tor?

1 ответ

Биткойн Core включает интеграцию Tor

Когда Tor правильно настроен в вашей системе, Bitcoin Core автоматически идентифицирует Tor и создает анонимную услугу. Маленькая конфигурация требуется, чтобы быть «вне сетки», и чуть-чуть чуть больше, чтобы быть полностью анонимным, если это важно для вас, при этом ни один из ваших трафиков Bitcoin не попадает в общедоступный Интернет.

Используя эти шаги, вы можете быть анонимным всего за пять минут.

При полной настройке конфиденциальности транзакции, конечно же, будут транслироваться, но будут транслироваться фактически в общедоступный Интернет другими узлами биткойнов. Благодаря стандартной настройке Tor вне сети, ваш трафик Bitcoin будет маршрутизироваться через анонимную сеть Tor, прежде чем попасть в общедоступный Интернет и другие узлы биткойнов в сеть Tor и отключить ее от сети, чтобы быть практически не отслеживаемым.

Настройка биткойнного ядра и Tor

Эти инструкции работают над Fedora 23 и предполагают стандартную установку Bitcoin Core v0 .15.1 и Tor v0.2.7.1 или новее ( и были протестированы для работы с Bitcoin Core v0.16.0 на Fedora 27 с Tor v0.3.1.9 ). Fedora — современная операционная система, которая будет работать на большинстве стандартных современных аппаратных средств. Конфигурация в Windows одинакова, но инструкции разные. Существуют инструкции по настройке Tor в Windows здесь .

Дополнительные инструкции для других систем на основе nix доступны здесь . ПРИМЕЧАНИЕ. Вам не нужно настраивать ваш клиент Tor в качестве ретранслятора или узла выхода для работы Tor, поэтому вы можете пропустить шаг «Поставить файл конфигурации /etc /tor /torrc place:» в это . Вам все равно придется использовать все следующие шаги в руководстве this .

Установите пакет tor:

Запустите демон tor и убедитесь, что он запускается при загрузке:

Выясните, где находится ваш torrc файл ( /etc/tor/torrc ).

Откройте файл torrc для редактирования:

Добавьте эти строки в свой torrc (или убедитесь, что они раскоментированы):

Вам нужно выяснить, что использует группа tor. В Fedora 23 это toranon . Выполните следующую команду:

Вам нужно выяснить, как работает пользователь bitcoind или bitcoin-qt. Выполните следующую команду, пока биткойн запущен:

Запустите следующую команду как root, которая добавит пользователя Bitcoin в группу tor. Замените TOR_GROUP и BITCOIN_USER фактической информацией, найденной выше:

Если вы не измените какие-либо другие настройки, Bitcoin Core обычно будет подключаться через обычный Интернет, но также позволит подключаться к скрытому сервису Tor и от него.

Итак, биткойн Core подключится только через Tor (для стандартной настройки «вне сетки»), добавьте эти строки в bitcoin.conf . В Bitcoin Core откройте Настройки -> Параметры -> Откройте файл конфигурации. Биткойн Core использует по умолчанию Tor поток:

(необязательно). Если хотите, вы можете добавить несколько узлов одноранговой службы для соединения. Это особенно поможет, если вы выполните все следующие дополнительные конфигурации. Добавьте следующие строки в ваш файл bitcoin.conf . Bitcoin Core будет подключаться к максимум восьми из них в любой момент произвольно, в зависимости от того, какие из них находятся в сети:

Если вы хотите, чтобы Bitcoin Core подключался только к скрытым сервисам Tor и даже не подключался к узлам IPv4 /IPv6 в общедоступном Интернете через прокси-сервер Tor:

(необязательно) Также добавьте это в bitcoin.conf для полной анонимности (не рекомендуется) * :

* Примечание. Биткойн Core по-прежнему будет запрашивать одноранговые адреса через DNS-поиск, если он имеет низкий адрес. Это также можно отключить, используя следующую опцию. Однако возможно, что ваш узел не сможет найти другие узлы для подключения.

* Примечание. В настоящее время Bitcoin Core v0.15.1 делает некоторые исходящие соединения IPv4 при запуске узла, даже когда onlynet=onion , ни один из них не наблюдался после первоначального запуска. Эти подключения должны выполняться через ваш луковый прокси-сервер, однако при использовании следующей опции они предотвращают их.

(необязательно) (расширенный) Если вы также хотите отключить поиск DNS для запросов для одноранговых адресов, а также добавить следующее в bitcoin.conf (не рекомендуется) note: если вы используйте эту опцию, чтобы ваш узел не мог найти одноранговых узлов, пока вы не добавите хороших сверстников с параметром addnode= . :

Выйдите из своего пользователя, войдите в систему (это значит, что ваши новые разрешения группы пользователей эффективны, я не знаю, к какому пользователю вы используете Bitcoin Core).

Перезапустить биткойновую ядро. Так как Tor версии 0.2.7.1 и новее, версия Bitcoin Core GUI, называемая биткойн-qt, автоматически регистрирует вашу скрытую службу Tor и делает ее доступной в луковой сети. Для версии командной строки Bitcoin Core, bitcoind, добавьте следующий параметр в свою командную строку:

Для работы с Tor не требуется переадресация портов, включая входящие соединения через скрытую службу Tor, вам не нужно пересылать какие-либо порты для биткойн Core или Tor для этого.

Если вы хотите, чтобы ваш Bitcoin-узел был общедоступным через общедоступный Интернет для входящих подключений, вам все равно нужно переслать порт 8333 для Bitcoin Core.

Проверка работы работает

Есть только две вещи, чтобы проверить, что все работает. Проверка информации сверстника в окне отладкиbitcoin-qt, вы должны увидеть, что соединения с одноранговыми узлами IPv4 /IPv6 теперь имеют дополнительную дополнительную информацию «через» вместе с адресом однорангового узла, когда вы нажимаете на одноранговую сеть. Лук решает только маршрут через Tor.

Проверяя то же самое с помощью консоли или CLI для getnetworkinfo , вы должны увидеть для каждого типа сети информацию о прокси-сервере и, проверяя с помощью getpeerinfo , вы должны увидеть, что addrlocal — это удаленный адрес для каждого однорангового узла. У аналогов лука нет addrlocal и просто есть имя службы onion для addr .

Второе, что нужно проверить, это то, что ваша служба лука для входящих соединений Tor подключена, и вся конфигурация установлена. Посмотрите в файле debug.log , вы увидите несколько записей после последнего перезапуска узла, которые соответствуют следующему:

Информацией advertising service является ваш адрес службы лука.

В debug.log соединения с луковыми сверстниками будут выглядеть только следующим образом, но все же отображаются на вкладке «сверстники» окна отладки на биткойне-qt:

Для настройки перенаправления портов на вашем модемом /маршрутизаторе для работы Tor требуется не . Если вы находитесь за ограничительным брандмауэром, вам может понадобиться может настроить соединения исходящие , чтобы Tor мог подключаться к другим узлам Tor. Tor может быть настроен только для подключения через порт 80/443, если это помогает. См. Приложение 1 — Мониторинг Tor для nyx и доступ к полным параметрам конфигурации Tor.

Готово! Наслаждайтесь анонимностью!

Приложение 1 — Контроль Tor

Вы можете отслеживать (и далее настраивать /прерывать) Tor, используя nyx .

Существует несколько способов установки. На Fedora 27:

Для запуска nyx просто введите nyx в консоли и он будет подключаться к Tor, если он запущен.

Сноски

После правильной настройки большинство проблем синхронизации связаны с вашим оборудованием. Подробнее см. этот ответ .

Доступны дополнительные параметры конфигурации и дополнительные способы поддержки сети Tor. Пожалуйста, просмотрите несколько страниц здесь для информации.

Благодаря en.bitcoin.it для вашего превосходного руководства , который заставил меня начать с этого .

Дополнительная информация доступна из проекта биткойна здесь .

Для еще более высокого уровня анонимности можно настроить Tor как DNS-преобразователь и настроить конфигурацию вашей сети для использования Tor для разрешения DNS-запросов.

Источник

Tor installation & use

todo explain: onion routing (how tor network helps to anonymize), encryption used, exit nodes, routers

Please follow the instructions provided with installation files and read the list of warnings. Tor doesn’t magically anonymize all your traffic just because you install it.
Down the page you can find examples how to configure applications to use Tor to anonymize the origin of your traffic.
This is a detailed installation guide for Windows. Before you setup Bitcoin or mIRC to use Tor, please install Tor and start in.
On the taskbar of your compute you’ll see a small green onion when Tor is running.

Bitcoin Core

Once you have your Tor client up & running, you can configure your Bitcoin client to use it.
Select in menu Settings -> Options

Check «Connect through socks 4 proxy» with the address 127.0.0.1 and port 9050 (the Tor default port number)

Configuring an application to use Tor is also called to torify it. (needs a brief howto here)

the note about bitcoin-otc promote on a more appropriate place in this page? reference to trading and IRC Conducting business using bitcoin-otc can be done more anonymously when directly connected to a Freenode IRC hidden service.

bitcoind

Run bitcoind with -proxy=127.0.0.1:9050 (or whatever your SocksPort is).

bitcoind will detect that you are using a proxy on 9050 and will force the «nolisten» flag. If you are not running tor on 9050, you need to set «nolisten» manually otherwise you will listen on your public IP and possibly reveal that you are running a node.

Hidden services

Hidden services run within the Tor network and can be connected to using the -connect= parameter to bitcoind so long as bitcoin is configured to use a Tor proxy. Bitcoin users do not need to use hidden services, since Tor can be used to increase anonymity of normal internet traffic, including bitcoin connections, but there are some technical reasons why hidden services may be beneficial; for more information see the Tor project’s documentation.

Services are listed at Fallback_Nodes#Tor_network along with instructions for using them.

Pooled Mining

Some mining pools are available as a hidden service on the tor network. Any pool can be reached over tor. The general methodology here is to tell your mining client to use your local Tor proxy. This is client specific but there are some helpful hints.

Linux / BSD

Any client can have its traffic routed via Tor by using the torify command and invoking the miner with that. Another method is to set the http_proxy environment variable as some miners use libraries which support that.

Windows / OS X

It is possible to set the http_proxy environment variable as some miners use libraries which support that.

mIRC is a popular IRC client. This is a guide how to connect to Freenode IRC using Tor + SASL + mIRC.

Register your nick with freenode nickserv

Freenode only allows SASL authenticated users to connect to the onion IRC server. SASL authentication works only with a registered nickname.
Connect to Freenode IRC without using tor & execute
/msg nickserv register

You will see something like this
-NickServ- An email containing nickname activation instructions has been sent to
-NickServ- If you do not complete registration within one day, your nickname will expire.

To finish your nick registration go the provided email and copy/paste the command from e-mail to irc.

Add SASL support to your mIRC installation

Download the SASL.dll and sasl.mrc files and copy them to your mIRC installation directory
Load sasl.mrc script (Alt + R to open script editor, Ctrl + L to load file, browse to sasl.mrc, press OK or «save & exit»).

Type /dialog -m SASL.main SASL.main to open the SASL connection manager.

Add Freenode entry.

Network is Freenode.
Username and NS Password must match your nickserv reservation.
Auth Type can be PLAIN

setup mIRC to use Tor

Add the entry for Freenode onion IRC server

Configure mIRC to use a Proxy (your local Tor proxy)

How Tor works

Unlike Freenet, I2P, etc., Tor’s security is very well-defined. While weaknesses do exist (described below), they have been known since Tor was created, and new weaknesses of significance are not expected.

Tor sends TCP packets over 3 (normal) or 7 (hidden services) Tor relays. This is why it is so slow: your packet might have to go through 100 computers (counting Internet routers) before it reaches its destination. Tor uses multiple layers of encryption that are pulled away for each node. Hence the name The Onion Router, which is always capitalized as Tor, and never TOR or t.o.r.

Say that I want to connect to bitcoin.org through Tor. I first select three Tor relays that I know about. Then, I send a message to my ISP that looks like this:

When Relay1 receives this, he decrypts the payload using his private key. The payload contains this:

Relay2 decrypts his payload:

Relay3 receives the real TCP payload, which he sends to the destination:

The payload is not and can not be further encrypted by Tor. However, if the protocol itself uses encryption (HTTPS, SSH, etc.), the data will be encrypted. This means that the last node (the exit node) can see everything you do on HTTP sites, and can steal your passwords if they are transmitted unencrypted. Many people become exit nodes just so they can view this information — Tor is much more dangerous than open WiFi for snooping!

The encryption arrangement described above ensures that no single Tor node knows both the sender and the destination. Relay1 and your ISP know that you are using Tor and sending a packet at a certain time, but they don’t know what you’re sending or who you’re sending to. Relay3 knows exactly what you’re sending, but he can’t determine who is sending it because Relay2 and Relay1 are blocking him. All three relays need to work together in order to conclusively connect the sender and the destination.

However, Tor is weak to a timing attack that allows only two participants in certain positions to determine the sender with high accuracy. Consider this Tor connection:

If the sender’s ISP (S-ISP) and the destination are working together, they can record the size and times of packets sent and received. Over a large number of packets, they can determine with very high accuracy that the sender is, in fact, the person sending packets to the destination. This requires active surveillance or detailed logging by both sides. Relay1 can also perform the same role as S-ISP.

Additionally, more configurations are possible if the underlying connection is not encrypted (normal HTTP, for example):

• S-ISP & Relay3
• Relay1 & Relay3
• S-ISP & D-ISP
• Relay1 & D-ISP

This second set can always see that the sender is connected to the destination, but they can only see what the sender is doing on the site if the connection is not encrypted. (Pathnames are encrypted in HTTPS.)

Because the first relay (the entry node) is a weak point in the connection, Tor takes certain defensive measures. When you first start Tor, it chooses three entry guards that don’t change for the entire time that you run Tor. You will always use one of those three unless one goes down. If all of those nodes are safe and your ISP is safe, then you are OK.

These timing attacks are of special importance to Bitcoin because anyone can be the «destination» in a connection. Packets are broadcast to every peer in the Bitcoin network. This might allow your ISP alone to associate your transactions to you without much difficulty. However, a timing attack relies on receiving at least several dozen packets from the sender, so the «destination» might actually have to be one of your direct Bitcoin peers. It’s not too difficult to flood the Bitcoin network with peers, though. Because of this attack, it is wise to use an EWallet instead of the Bitcoin client when using Tor.

To discover Tor relays, Tor uses a centralized directory server model. There are nine authoritative directory servers. To become a relay, you register with one of these. The directory servers share their data and produce a network status consensus document every so often containing all Tor nodes. Tor clients don’t connect directly to the authoritative directory servers — they connect to one of many directory mirrors, which have a copy of the network status consensus. Since there is no peer-to-peer bootstrap mechanism in Tor, the entire network can be destroyed if half of the authoritative directory servers are destroyed, and the entire network can be subverted if half of the authoritative directory servers become evil.

Hidden services allow both the sender and destination to remain anonymous. A hidden service connection is made like this:

• The destination tells several Tor relays to act as introduction points for the hidden service. The destination stays connected to all of these introduction points through a regular three-node Tor circuit.
• The destination registers these introduction points on a Tor DHT. The introduction points are associated with the first 16 characters of an encoded SHA-1 hash of the destination’s key. This is the information in .onion addresses. The use of SHA-1 is a possible weakness.
• The sender creates a four-node Tor circuit. The fourth node is called the rendezvous point.
• The sender searches the DHT for the introduction points of the desired hidden service. The sender connects to one through a regular three-node Tor circuit and, through the introduction point, tells the destination about the rendezvous point he has chosen.
• The destination connects to the rendezvous point over a three-node Tor circuit. The sender and destination are now in contact over a seven-node connection.

For clients, hidden services are more secure than encrypted Tor HTTPS connections because:

• If the destination remains anonymous, they are less likely to become controlled by an evil party.
• The destination’s ISP isn’t involved as they are in the HTTPS case. Only these configurations are possible for a timing attack:
  • S-ISP & Destination
  • Relay1 & Destination

Running a hidden service is more dangerous, however. A simple intersection attack can be performed by the hidden service’s ISP alone:

• Your Internet service is cut off.
• If the hidden service went down at that exact moment, you are unmasked.

The same sort of timing attacks as above are also possible.

See the Tor design paper for more info.

Exchange Restrictions

Some exchanges will treat activity occurring through Tor with greater precautions. For instance, the now-defunct Mt. Gox signup sheet read:

Please be advised that accessing your account via the Tor network and/or public proxies may result in a temporary suspension of your account, and having to submit AML documents.

Источник