Identifying TLS abnormalities in Tor

Abstract

ENGELSK: This master thesis will examine Tor, which is an open-source anonymizing service used on the Internet. Tor gives the user an anonymous connection to the Internet in real-time. The research on Tor has been considerable and it is a mature project. Tor uses a network of relays to communicate anonymously. The client software establishes a circuit across the network and makes the final connection from the exit node. The data is relayed back to the user over the hidden circuit. The circuit is build using separate encrypted transport layer security (TLS) connections with public key infrastructure. If these TLS streams can be identified an adversary could filter or block Tor traffic. This could prevent people living under censorship from using Tor and risk prosecution from Internet usage. We have investigated TLS traffic generated by Tor and compared with common TLS traffic. We have studied normal TLS traffic behavior in order to compare with Tor. Our results identifies where Tor diverges from normal TLS traffic and proves that Tor can be detected. In particular we investigated the TLS handshake and certificate which revealed Tor circuit creation. Finally we propose a new layer to Tor which can even out the differences and make Tor more censorship resistant.

NORSK: Denne masteroppgaven undersøker Tor som er en åpen kildekode anonymiseringstjeneste brukt på Internett. Tor tilbyr brukerne en anonym tilkobling til Internett i sanntid. Forskningen på Tor gjennom årene har vært betydlig og gjort Tor til et modent prosjekt. Tor bruker et nettverk av releèr for å kommunisere anonymt. Klient-programvaren etablerer en forbindelse over nettverket som videresender trafikk til og fra brukeren, samt gjør den siste forbindelsen fra utgangsnoden til destinasjonen. Den skjulte forbindelsen mellom nodene bygges over separate krypterte TLS-forbindelser med offentlig nøkkel-kryptografi. Disse TLS forbindelsene kan bli identifisert av en motstander som kan filterere eller blokkere Tor trafikk. Dette kan hindre mennesker som lever under sensur å bruke Tor og dermed risikere påtale fordi de brukte Internett. Vi har studert TLS-trafikk generert av Tor og sammenliknet med vanlig TLS-trafikk. Vi har også studert vanlig TLS-trafikk for å gjøre sammenlikningen. Våre resultater identifiserer hvor Tor divergerer fra normal TLS-trafikk og beviser at Tor kan detekteres. Mer spesifikt undersøkte vi TLS-oppkoblingen samt sertifikatet og avslørte oppkobling av en Tor-forbindelse. Til slutt foreslår vi et nytt lag i Tor som kan jevne ut forskjellene og gjøre Tor mer usynlig på nettverket.