Identifying TLS abnormalities in Tor
Abstract
ENGELSK: This master thesis will examine Tor, which is an open-source anonymizing service used on the
Internet. Tor gives the user an anonymous connection to the Internet in real-time. The research
on Tor has been considerable and it is a mature project.
Tor uses a network of relays to communicate anonymously. The client software establishes
a circuit across the network and makes the final connection from the exit node. The data is
relayed back to the user over the hidden circuit. The circuit is build using separate encrypted
transport layer security (TLS) connections with public key infrastructure. If these TLS streams
can be identified an adversary could filter or block Tor traffic. This could prevent people living
under censorship from using Tor and risk prosecution from Internet usage. We have investigated
TLS traffic generated by Tor and compared with common TLS traffic. We have studied normal
TLS traffic behavior in order to compare with Tor. Our results identifies where Tor diverges from
normal TLS traffic and proves that Tor can be detected. In particular we investigated the TLS
handshake and certificate which revealed Tor circuit creation. Finally we propose a new layer to
Tor which can even out the differences and make Tor more censorship resistant. NORSK: Denne masteroppgaven undersøker Tor som er en åpen kildekode anonymiseringstjeneste brukt
på Internett. Tor tilbyr brukerne en anonym tilkobling til Internett i sanntid. Forskningen på Tor
gjennom årene har vært betydlig og gjort Tor til et modent prosjekt.
Tor bruker et nettverk av releèr for å kommunisere anonymt. Klient-programvaren etablerer
en forbindelse over nettverket som videresender trafikk til og fra brukeren, samt gjør den siste
forbindelsen fra utgangsnoden til destinasjonen. Den skjulte forbindelsen mellom nodene bygges
over separate krypterte TLS-forbindelser med offentlig nøkkel-kryptografi. Disse TLS forbindelsene
kan bli identifisert av en motstander som kan filterere eller blokkere Tor trafikk. Dette kan
hindre mennesker som lever under sensur å bruke Tor og dermed risikere påtale fordi de brukte
Internett. Vi har studert TLS-trafikk generert av Tor og sammenliknet med vanlig TLS-trafikk.
Vi har også studert vanlig TLS-trafikk for å gjøre sammenlikningen. Våre resultater identifiserer
hvor Tor divergerer fra normal TLS-trafikk og beviser at Tor kan detekteres. Mer spesifikt
undersøkte vi TLS-oppkoblingen samt sertifikatet og avslørte oppkobling av en Tor-forbindelse.
Til slutt foreslår vi et nytt lag i Tor som kan jevne ut forskjellene og gjøre Tor mer usynlig på
nettverket.