14/04/12 15:40:13.11 RgIFiIYI0
Torの何が影響を受けるかについて
android坂の orbotは現状はPC坂より危ないことは確定しており、修正版の1.0.1gテストビルドがあるが最新は逆に1.0.1fに戻ってしまっている。
クライアント:
Torブラウザのブラウザ部分はOpenSSLではなくlibnssを用いているため影響はないと思われる。
しかしTorクライアントにおいては "このセッションでどこのサイトを訪れたか" というような情報は知られる可能性はある。
もしTorブラウザバンドルを使っているなら新しいものがすぐにリリースする予定なのでアップデートされたい。
Torクライアント使用者は、OpenSSLのバグ修正版をインストールしてTorを再起動してほしい。
リレー及びブリッジ:
Torリレーおよびブリッジは中期間オニオンキー(週に一度切り替えられるキー) と 長期間リレー身元証明キー が漏れる可能性がある。
身元証明キーを手に入れることができた攻撃者は、あなたの居場所を示す情報を書き換えることができる (これは攻撃が容易になる危険はない)
身元証明キーに加えてオニオンキーを得られた場合は、あなたのIPアドレスに向けた通信制御に割り込むことで
あなたのリレー拠点そのものに成りすますことが可能となる (しかしながらTorの複数ホップ設計においては1つのリレー拠点だけを攻撃してもほとんど意味を持たない)
とりあえずはどのような場合でもOpenSSLをアップデートすることが最良と言え、すべてのキー及びデータディレクトリ内の全てを破棄しTorを再起動して新たなキーを生成して欲しい。
(もしあなたが複数同時リレーを行っているならMyFamily torrc行を編集する必要があるだろう)
hiddenサービス:
Tor hiddenサービスは "ついこの前起きた大きなOpenSSLバグ"と同じく 長期間hiddenサービス身元証明キーがガードリレーに漏れやすいが
これではhiddenサービスの位置を知ることはできない (追記: あなたがキーを展開する入口ガードを担っているならば知られてしまう)
また、身元証明キーが知られるとhiddenサービスの成りすましが行われる可能性がある。
取り得る対策はhiddenサービスアドレスを、どこか都合のいい場所へ移すことである。