Een groot deel van het internet laat zich niet zomaar indexeren door zoekmachines als Google. Sommige services, zoals websites en diverse communicatiekanalen, verbergen zich doelbewust: het zogeheten DarkNet. Tor onion services zijn daar een goed voorbeeld van. Hoe opereren zulke services?

Wat zijn Tor onion services?

Onion services zijn services, zoals websites, die alleen toegankelijk zijn via Tor, een gratis opensource-netwerk bedoeld voor anonieme communicatie.

Voordat we dieper ingaan op onion services, leggen we eerst kort uit wat Tor is, omdat onion services volledig binnen dit netwerk opereren. Tor is gratis opensource-software die het internetverkeer door een wereldwijd netwerk leidt dat uit bijna 7000 nodes oftewel relays bestaat (zie ook https://kwikr.nl/tormet). Het voornaamste doel is de persoonlijke privacy van de gebruiker te beschermen door zijn locatie en data te verbergen.

Tor: basiswerking

Het kernprincipe is “(the) onion routing” (de naam Tor is daar de afkorting van), een techniek die meer dan 25 jaar geleden in opdracht van de Amerikaanse zeemacht werd ontwikkeld. In 2004 werd de Tor-code vrijgegeven en financierde het EFF (Electronic Frontier Foundation) de verdere ontwikkeling. Dit mondde in 2006 uit in de oprichting van The Tor Project, dat nog altijd de ontwikkelingen van Tor en de Tor Browser stuurt.

Via Tor communiceert de client nooit rechtstreeks met de server. De client – de Tor Browser, zeg maar – creëert een willekeurig gekozen pad via (minstens) drie Tor-relays (de eerste is de entry oftewel guard node; de laatste is de exit node), waarna de data via dit circuit worden verstuurd.

De data tussen de client en de exit node worden hierbij versleuteld volgens het onion routing-principe, met een meerlagige encryptie in de applicatielaag van de protocolstack. Elke opeenvolgende node in het circuit verwijdert hiervan telkens één encryptielaag, zoals het pellen van een ui (onion).

Alleen de entry node weet wie de gebruiker is, maar alleen de exit node heeft toegang tot de inhoud van het pakket en verstuurt die naar de uiteindelijke doelserver. Op https://kwikr.nl/torano toont een geanimeerde afbeelding mooi in hoeverre Tor anonimiseert, al dan niet in combinatie met https.

Tor Browser

Met behulp van speciale Tor2web-proxies kun je ook met een standaardbrowser onion services bereiken – het volstaat .onion in de url te vervangen door bijvoorbeeld proxies als .onion.ly of .onion.ws. Maar je gaat dan natuurlijk wel goeddeels voorbij aan het anonimiteitsprincipe van Tor, omdat je alles in handen legt van zo’n Tor2web-gateway. Wil je onion services op een veiligere manier bereiken, dan gebruik je beter de Tor Browser, beschikbaar voor Windows, macOS, Linux en Android.

©PXimport

Onion services: wat?

De anonimiteit kan helaas wel in het gedrang komen, bijvoorbeeld wanneer een (regerings)instantie zowel de entry als de exit nodes in handen heeft en het verkeer aan beide uiteinden correleert.

Bij zogeheten onion services – voorheen hidden services genoemd – is er niet langer een exit node en blijft al het verkeer binnen het Tor-netwerk. Zo’n onion service heeft zelf geen ip-adres, maar een adres dat eindigt op .onion en dat is samengesteld op basis van de publieke sleutel van de service (ed25519).

Onion services: hoe?

De onion service maakt eerst contact met drie Tor-relays, via een willekeurig circuit, en verzoekt deze om als ‘introduction points’ te fungeren. Dat houdt in dat de service zich alleen nog zal laten benaderen via een van deze drie nodes.

Vervolgens stelt de service een descriptor samen. Deze bevat de adressen van de drie nodes en de bijbehorende authenticatiesleutels, waarna de service de descriptor met zijn private sleutel ondertekent. De service uploadt deze descriptor vervolgens via een willekeurig circuit naar een gedistribueerde hash-tabel die op gemachtigde Tor-relays wordt bijgehouden: de zogeheten hidden service directory (HSDir). Qua functionaliteit is die enigszins vergelijkbaar met DNS voor reguliere domeinnamen.

Stel, je voert het onion-adres van een service in de Tor Browser in. Die raadpleegt daarop de hash-tabel in Tor en vraagt naar de betreffende descriptor. De handtekening wordt geverifieerd aan de hand van (de publieke sleutel die verwerkt is in) het .onion-adres van de service.

De client selecteert vervolgens, via twee tussenliggende nodes, een Tor-relay die wordt gevraagd op te treden als een ‘rendezvous point’. Tegelijk bezorgt de client deze relay een ‘one-time secret’ (ots). De client geeft tevens het adres van het rendezvous point en het ots door aan een van de introduction points, dat dit op zijn beurt doorgeeft aan de onion service. Als alles goed is, legt deze service nu een connectie via drie tussenliggende nodes met het rendezvous point, zodat dat een versleutelde en geanonimiseerde verbinding kan opzetten met de client.

©PXimport

Onion services v3

Momenteel zijn Tor onion services bij de derde generatie (v3) aanbeland en zijn services met de vorige versie (v2) nauwelijks nog bereikbaar, althans niet meer met de recentste versies van de Tor Browser (vanaf 10.5.10).

Voor eindgebruikers is het meest opvallende verschil tussen v2- en v3-services de lengte van het onion-adres: 16 tekens (v2) versus 56 (v3). Zo’n v3-adres gebruikt SHA3/ed25519/curve25519-cryptografie en dat is een stuk veiliger dan de versleuteling van een v2-adres (SHA1/DH/RSA1024).

Een ander belangrijk verschil is dat bij v2 de informatie voor de HSDir in platte tekst wordt geüpload naar de HSDir-relays, zodat die onder meer het onion-adres van de services te weten komen. Bij v3-services worden deze data veilig versleuteld.

Toekomst

De derde generatie onion services zijn op dit moment veruit in de meerderheid, maar intussen wordt ook al aan opvolger v4 gewerkt. Deze zou niet zo cpu-intensief zijn en dus minder stroom vereisen. Ook zouden er een betere foutenafhandeling en bootstrap-rapportering komen, en wordt de beveiliging verder opgeschroefd. Of ook de snelheid een boost krijgt, is nog even afwachten. Helaas heeft het Tor Project hierover vooralsnog geen technische documentatie gepubliceerd.

Tor mag dan geassocieerd worden met DarkNet en een gateway naar heel wat illegale content en transacties zijn, het netwerk is tegelijk een zegen voor wie zijn privacy koestert of voor wie het slachtoffer van repressieve instanties dreigt te worden. Het ziet er in deze wereld helaas niet naar uit dat zulke technologieën snel overbodig zullen worden en dus is er, wat ons betreft, voor onion services nog een belangrijke rol weggelegd.

De ontwikkeling van Tor onion services

1996 De eerste “v0” onion router wordt als experiment opgezet in een virtuele omgeving

1998 “V1” Tor wordt ontwikkeld en creëert een verborgen internet voor de Amerikaanse regering

2003 Verdere netwerk- en protocolverbeteringen leiden tot de Tor onion v2-generatie

2006 US Naval Research Laboratories draagt Tor over aan het Tor Project

2015-2018 De Tor onion v3-generatie wordt ontwikkeld

2019 Begin van de ontwikkeling van Tor onion v4

2020 Tor (0.4.4.x) meldt serverbeheerders en clients dat v2 zal worden stopgezet

2021 (oktober) Tor Browser ondersteunt niet langer v2

Bij ID.nl zijn we dol op kwaliteitsproducten waar je niet de hoofdprijs voor betaalt. Daarom speuren we een paar keer per week binnen een bepaald thema naar zulke deals. Dit keer: beveiligingscamera's voor rondom het huis.

Met een beveligingscamera houd je je woning rondom in de gaten wanneer je er niet bent of bijvoorbeeld slaapt. De camera's kunnen video's opnemen, maar daarvoor heb je meestal wel een abonnement nodig. Voordeel is dan wel dat je de beelden overal ter wereld kunt terugkijken. Wij vonden vijf modellen, waarvan je er bij een aantal ook nog een extra camera bij krijgt.

Ring Stick Up Cam Battery (2 pack)

De Ring Stick Up Cam is een veelzijdige camera die je zowel binnen als buiten kunt gebruiken. De camera is volledig draadloos en je hoeft alleen maar de opgeladen batterij in de camera te schuiven en de camera te verbinden met je wifi-netwerk via de Ring-app. Omdat de camera draadloos is, kun je hem op vrijwel elke plek zetten, hangen of monteren. Of je nu je huisdieren in de gaten wilt houden in de woonkamer of een oogje in het zeil wilt houden op je oprit, het kan allemaal. De camera geeft heldere beelden in 1080p en heeft ingebouwd nachtzicht, zodat je ook in het donker goed kunt zien wat er gebeurt. Als er beweging wordt gedetecteerd, krijg je indien gewenst direct een melding op je telefoon. De camera heeft ook tweerichtingsspraak, waardoor je kunt communiceren met bezoekers of ongewenste gasten kunt laten weten dat ze gezien worden. Om video's op te slaan en terug te kijken, heb je wel een Ring Protect-abonnement nodig.

Eufy SoloCam S220

Deze camera van Eufy is een ideale oplossing voor wie op zoek is naar een camera zonder gedoe met maandelijkse kosten. Deze camera heeft een ingebouwde batterij én een zonnepaneel. Door het zonnepaneel hoef je de camera bijna nooit handmatig op te laden, want slechts een paar uur zonlicht per dag is al voldoende om hem van stroom te voorzien. De camera is volledig draadloos en eenvoudig te installeren, perfect voor buiten aan een schutting of muur. De beelden zijn in 2K-resolutie, wat zorgt voor een scherpe weergave. De SoloCam S220 heeft een lokaal geheugen van 8 GB, wat betekent dat je al je beelden direct op de camera opslaat. Zo heb je geen abonnement nodig om beelden te bewaren of terug te kijken. Een ingebouwde AI-technologie zorgt ervoor dat de camera het verschil ziet tussen mensen, dieren en voertuigen, zodat je alleen relevante meldingen krijgt.

Google Nest Cam

Deze camera van Google is een veelzijdige optie die zowel binnen als buiten kan worden gebruikt. Het draadloze ontwerp met batterij maakt de installatie heel flexibel, want je bent niet afhankelijk van een stopcontact in de buurt. De Google Nest Cam is weerbestendig en kan dus tegen een stootje van de elementen. De Nest Cam heeft slimme functies, zoals het herkennen van personen, dieren en voertuigen, waardoor je alleen de meldingen ontvangt die je belangrijk vindt. Je krijgt direct een seintje op je telefoon via de Google Home app. De camera biedt 24/7 live-weergave en je kunt de gebeurtenisgeschiedenis van de afgelopen drie uur gratis terugkijken. Wil je langer terugkijken of extra functies, zoals gezichtsherkenning, dan is een abonnement op Nest Aware nodig.

Ezviz BC1C

Met zijn indrukwekkende batterijduur onderscheidt de Ezviz BC1C zich. Volgens de fabrikant kan de camera tot wel 210 dagen meegaan op één oplaadbeurt. Deze camera is volledig draadloos, waardoor je hem overal kunt plaatsen waar je maar wilt, zowel binnen als buiten dankzij de weerbestendige behuizing. De Ezviz BC1C heeft een slimme AI die onderscheid maakt tussen personen en andere bewegingen, wat het aantal valse meldingen flink vermindert. De camera filmt in 1080p en beschikt over kleurennachtzicht, wat betekent dat je ook 's nachts heldere beelden in kleur krijgt, in plaats van de gebruikelijke zwart-wit weergave. Er is 32 GB ingebouwde opslag, dus je hebt geen extra geheugenkaart of abonnement nodig om je beelden te bewaren. Via de app kun je de live beelden bekijken, terugkijken en zelfs praten met mensen aan de andere kant via de tweerichtingsspraak. Dit maakt het makkelijk om bijvoorbeeld een bezorger instructies te geven.

Arlo Essential Wireless Camera + draadloze deurbel

De Arlo Essential is een draadloze buitencamera die ontworpen is voor eenvoud en effectiviteit. Je monteert hem in een handomdraai en verbindt hem via wifi met de Arlo-app. Met een batterijduur van 4 tot 6 maanden hoef je je niet continu druk te maken om de accu. De camera heeft een 130° brede kijkhoek en filmt in 2K-resolutie, zodat je een groot deel van je tuin of oprit in de gaten kunt houden. Een ingebouwde spotlight verlicht de omgeving bij beweging en zorgt voor heldere beelden, zelfs in het donker. De camera beschikt over een sirene die je op afstand kunt activeren om indringers af te schrikken. De beelden worden opgeslagen in de cloud, waar je met een Arlo Secure abonnement toegang toe hebt. De Arlo Essential Wireless Camera wordt aangeboden in een bundel met een extra draadloze deurbel van hetzelfde merk.

Een speaker die je zo in je handpalm kunt zetten, maar toch genoeg 'oomf' heeft om een feestje op poten te zetten. Dat is de nieuwe JBL Grip. Het apparaat is zo groot als een blikje bier (of frisdrank) en past dus makkelijk in een tas of aan je fiets. Toch moet hij genoeg vermogen, slimme functies en een stevig ontwerp bieden om mee te gaan op elk vrolijk avontuur.

De Grip levert 16 watt aan geluid en gebruikt een techniek die AI Sound Boost heet. Daarmee wordt de muziek live geanalyseerd en bijgesteld, zodat de bassen voller klinken zonder dat het geluid vervormt of kraakt. Wie zin heeft in meer volume kan twee speakers koppelen voor stereogeluid, of via Auracast meerdere modellen aan elkaar linken. Zo tover je het compacte speakertje al snel om tot een groter geluidssysteem.

©JBL

Gemaakt om mee te nemen

Met de geïntegreerde lus klik je de Grip eenvoudig vast aan een rugzak, een fiets of zelfs een kajak. Dankzij de IP68-classificatie kan hij bovendien tegen een spatje water, stofje stof of gewoon een stootje. Daarmee mikt JBL duidelijk op buitengebruik: festivals, stranddagen of een lange picknick in het park. De speaker is daarnaast licht en handzaam, waardoor je hem eigenlijk overal kwijt kunt.

Op de achterkant van het apparaatje zit subtiele verlichting die je via de JBL Portable-app kunt aanpassen. Kleuren en intensiteit kunnen worden afgestemd op je afspeellijst of de sfeer van het moment. Oké, het zal niet genoeg zijn om een heel feest van de benodigde verlichting te voorzien, maar het geeft nét een extra laagje beleving. Toch leuk.

©JBL

Accu en extra uurtjes

De Grip gaat ongeveer 12 uur mee op één lading. Wie langer door wil, kan Playtime Boost inschakelen, een functie die nog eens 2 uur extra uit de accu haalt. Daarbij past de speaker zich aan voor een harder en efficiënter geluid. Voor een dag buiten of een lange avond muziek draaien is dat een heel handige toevoeging.

De speaker verschijnt in zeven varianten, van neutraal zwart en wit tot paars, camo en felroze. Er is gekozen voor gerecycled plastic en een verpakking van FSC-gecertificeerd papier. Daarmee sluit de Grip aan bij de trend om dit soort gadgets duurzamer te maken. De adviesprijs bedraagt 99,99 euro en het model is direct verkrijgbaar via JBL.com en verschillende (web)winkels.