德国警方判处CSAM暗网管理员有罪后，Tor项目坚称Tor网络是安全的

2021年，德国当局通过对Tor用户进行去匿名化，捣毁了臭名昭著的CSAM暗网平台Boystown。随着执法部门打击暗网上的犯罪活动，这一突破引发了人们对Tor隐私的担忧。

根据NDR的报告，德国当局对Tor（一个专为匿名而设计的网络）用户的去匿名化能力在这次行动的成功中发挥了至关重要的作用。通过监视特定的Tor节点，他们识别了访问该网站的用户。

然而，尽管Tor项目坚称其网络仍然安全，但此类突破引发了人们对Tor匿名功能安全性的担忧。Tor项目在其博客文章中承认，他们已经注意到NDR报告中的说法。然而，该组织还表示，它尚未收到德国当局提供的概念验证（PoC）或独立验证这些说法的文件。

另外，德国新闻杂志节目《全景》（Panorama）和YouTube调查新闻频道STRG_F也报道称，德国联邦刑事警察局（BKA）和法兰克福总检察长办公室在进行网络监控后，成功识别出至少一名Tor用户。

报道提到，“时序分析”是识别Tor用户的关键。该报道指出”尽管Tor网络中的数据连接经过了多次加密，但通过对单个数据包进行计时分析，可以追溯到Tor用户的匿名连接。“——但遗憾的是，报道没有解释该技术的工作原理。

Tor通过将用户的流量路由到所谓的暗网节点，从而掩藏混淆连接的真实来源，最终为其网络用户提供增强的匿名性。发送到Tor的流量经过层层加密，首先到达一个“入口”或“守卫”节点。然后，流量通过随机选择的至少三台服务器（也称为“中继”）中跳转，然后通过“出口节点”返回公共网络或连接到.onion服务。这一过程隐藏了连接的来源，使得仅从特定用户的网络流量观察其上网行为变得更加困难。

正如“时序分析”方法所建议的那样，观察长期使用趋势可能会削弱Tor的效力，因为它会为观察者提供有关向网络发送流量的用户的线索。举例来说，从本质上讲，有人可以向Tor网络添加节点，并记录下观察到的数据包进入和看到的数据包流出的时间。一段时间后，这些时间可能会帮助找出谁在连接特定的.onion服务。

欧洲著名黑客组织”混沌计算机俱乐部“（CCC）的发言人马蒂亚斯·马克斯（Matthias Marx）向新闻媒体提供了现有证据（记者获得的文件和其他信息），证实了这一方法的可信度，“这些证据强烈表明，执法部门多年来曾多次并成功地对选定的Tor用户实施时序分析攻击，以查出他们的匿名身份。”

Tor项目承认，尽管向记者索要了所有相关文件，但并未看到所有相关文件。Tor项目认为，德国警方之所以能够揭露Tor用户的身份，是因为该用户使用了过时的软件，而不是警方利用了一些未知的漏洞或类似的东西。

德国的报道称，在对一名名为“Andres G”的个人进行调查时使用了时序分析攻击，此人涉嫌运营名为”Boystown“的.onion暗网网站，该网站提供儿童性虐待材料（CSAM）。

据称，“Andres G”使用了匿名消息应用程序Ricochet，该应用程序通过Tor在发送者和接收者之间传递数据。更具体地说，据说他使用的聊天程序版本未能保护其Tor连接免受警方使用的基于时间的去匿名化方法攻击的影响。

报道称，德国当局获得了运营商西班牙电信公司（Telefónica）的合作支持，该公司提供了所有连接到已知Tor节点的O2用户的数据。通过将这些信息与Tor计时信息的观察结果相匹配，当局得以识别“Andres G”的真实身份，他于2022年在北莱茵-威斯特法伦州被捕、被指控、定罪并被判入狱多年。

Tor辩称，这种方法并不表明其服务存在缺陷。

该组织反而提出了一种理论，即“Andres G”使用不安全的Ricochet导致“守卫”节点被发现从而被抓获。简而言之，这意味着警察能够找出他用来通过Tor网络发送数据的入口或“守卫”节点。警方可以要求西班牙电信公司列出与该“守卫”节点连接的用户名单，并推断出Tor用户的身份。

Tor声称“Andres G”可能使用了旧版Ricochet，该版本不包含针对此类攻击的保护措施。Tor的文章指出：“自2022年6月发布3.0.12版以来，这种保护就存在于Ricochet-Refresh中，它是早已经不维护的Ricochet项目的一个维护分支。”

EFF高级技术专家Bill Budington称：“为了对流量进行时序分析，你确实需要攻陷一个守卫节点，因为它是Tor网络中的第一个节点，可以看到用户的IP地址。”如果不能直接攻陷守卫节点，就可以获取网络时序来完成监视。

Tor用户担心网络可能会被警方控制的节点淹没，从而影响匿名性。但要做到这一点，所需的节点数量将非常庞大。Tor项目承认，出口节点的部署数量有所增加，最近已超过 2000 个，但声称这并不值得担心。

Tor公关总监Pavel Zoneff表示：“声称Tor网络‘不健康’的说法完全不是事实。”

“网络健康团队已经实施了相关流程，以识别可能存在的、疑似由单一运营商和不良行为者管理的大型中继群组，并不允许它们加入网络。因此，它标记了大量需要清除的不良中继站，这些中继站随后被目录管理机构禁止。其中许多可能对用户没有真正的威胁。”他说。

Tor项目还呼吁帮助了解警方的具体做法。“我们需要有关此案的更多细节，”该团队表示。“在缺乏事实的情况下，我们很难向Tor社区、中继运营商和用户发布任何官方指导或负责任的披露。”

现在的信息是：“不要惊慌。”

德国当局捣毁了臭名昭著的CSAM暗网平台Boystown

德国当局与多家国际执法机构合作，成功捣毁了臭名昭著的暗网平台“Boystown”，该平台专门发布儿童性虐待内容（CSAM）。这件事发生在2021年4月，但直到现在才披露其细节。更疯狂的是，据德国媒体报道，当局成功使参与CSAM网站的Tor用户匿名化，并成功逮捕了他们。

该网站自2019年起运营，拥有超过40万注册用户，并实施了一些最严重的虐待行为，许多受害者都是男孩。德国联邦刑事警察局在欧洲刑警组织以及荷兰、美国、加拿大和其他几个国家的机构的支持下领导了这次行动。

Boystown的管理员三名德国男子被捕，第四名嫌疑人在巴拉圭被拘留，德国已要求引渡。这些人帮助用户逃避侦查，同时协助传播非法内容。

该平台于2021年4月被关闭，其聊天室也被拆除。这次国际行动对涉及CSAM的非法暗网活动进行了重大打击。