Tor网络的核心目标是保护用户隐私,让任何人——包括记者、活动人士或举报者——都能在不被追踪的情况下上网。网络设计确保没有单一节点或运营商能知道谁在和谁通信。然而,现实中运行Tor中继节点(relay)面临巨大风险:服务器可能被执法部门扣押、突袭,甚至物理访问。历史上,奥地利、德国、美国、俄罗斯等地都发生过类似事件。一旦服务器被没收,里面存储的密钥、日志或其他数据就可能成为证据,破坏整个网络的信任基础。
为了解决这个问题,有人提出让中继节点变得“无状态”(stateless)。简单说,就是让服务器不保存任何持久化数据,每次启动都从一个已知的、固定的镜像开始运行,就像Tails操作系统那样,一切都在内存(RAM)中完成,重启后所有临时状态自动消失。
本文基于Tor项目官方博客的最新文章,探讨了无状态、无盘操作系统如何从固件到用户空间提升中继服务器的安全性,重点关注软件完整性和抵御物理攻击的能力。这项工作源于意大利Osservatorio Nessuno运行出口中继服务器的经验。中继服务器的管理因具体情况、技术能力、预算和管辖范围而异。我们希望引发讨论,而非提出单一模型。
什么是无状态中继,为什么它更安全? 传统中继节点会把身份密钥(identity key)、带宽历史等信息存放在磁盘上。这些数据让节点能在网络中积累“信誉”(如获得Guard或Exit标志,提高流量分配)。但磁盘数据正是物理攻击的最大弱点:被扣押后,攻击者可以直接复制文件,提取密钥。
无状态系统则彻底反其道而行之:
物理攻击抵抗力:机器被没收或镜像克隆时,内存中的数据会因断电而消失,什么都留不下。密钥如果只存在于特定硬件中,提取难度大幅增加。 声明式配置:整个系统通过版本控制的镜像构建,每次启动都强制应用相同配置,不会“漂移”。 不可变运行时:文件系统设为只读,即使攻击者获得代码执行权限,也无法在重启后持久化恶意代码。 可重现性:系统状态固定,便于验证、审计和复现,减少人为配置错误。 这种思路并非全新。早在2015年,就有Tor-ramdisk项目——一个基于uClibc的微型Linux发行版,专门设计成完全在内存中运行Tor中继。
Tor中继为什么难以实现无状态? 难点主要在于“信誉”和“状态”:
长期身份密钥:Tor中继的ed25519身份密钥决定了节点在网络中的身份。丢失它,就得从零开始积累带宽权重。密钥必须能“活过”多次重启,却又不能轻易被提取。 状态文件:Tor会维护带宽使用历史等临时数据。每次丢弃这些数据会影响性能。 内存限制:完全无磁盘意味着不能使用交换分区(swap)。如果内存不足,Linux内核的OOM Killer会直接杀死进程。实际测试显示,Tor在繁忙的Guard中继上可能占用约5.7GB内存,主要因为目录缓存对象的高频创建与销毁导致内存碎片。通过把glibc内存分配器换成jemalloc或mimalloc,能把占用降到1.2GB以下,大幅改善稳定性。 TPM:硬件级密钥保护的核心工具 解决密钥持久化问题的关键硬件是TPM(Trusted Platform Module,可信平台模块)。这是主板上的一颗独立加密芯片,能存储密钥并执行运算,却从不把私钥暴露给操作系统。
TPM有两个强大功能:
密封(Sealing):把密钥绑定到机器当前的软件测量状态(PCR值)。只有当启动时的固件、引导程序、内核等完全一致时,才能解封使用密钥。即使物理访问硬件,也无法直接导出密钥(不过当前TPM对ed25519支持有限,密钥仍可能以加密字节串形式存于非易失性存储,存在一定导出风险)。 远程证明(Remote Attestation):TPM能向外部验证者证明“当前运行的软件栈正是预期的那个”,签名由硬件根信任背书。这大大降低了运营商自身的可信度要求。 使用TPM时,需要提前决定信任哪些软件状态。更新内核或引导程序后,测量值变化,必须重新密封密钥。这也是目前最大的运维挑战之一。
现有几种实现方案 不同运营商根据安全需求和复杂度,选择不同路径:
最简版ramdisk:直接用Tor-ramdisk之类的工具,所有东西跑在内存。密钥通过SCP手动导入导出,重启前不处理就得重头开始。没有TPM、没有验证启动,但至少保证断电后数据全无,仍比传统磁盘方案强很多。 虚拟机版ramdisk:如Emerald Onion项目,在Proxmox虚拟化平台上为每个中继运行一个仅66MB的Alpine Linux镜像,全部加载到内存,无持久存储。利用Tor的OfflineMasterKey功能:长期主密钥在离线环境下生成,从不接触在线中继。更新就是重建镜像,回滚极其简单,不需要特殊硬件。 裸金属+TPM方案(如Patela工具):使用stboot引导程序——它会从网络拉取并密码验证签名的OS镜像,再移交控制权。运行后,节点通过mTLS从配置服务器拉取配置(服务器即使被攻破也只能拒绝服务,无法推送凭证或偷密钥)。身份密钥密封在TPM非易失性内存中,绑定启动测量状态,能存活重启但无法提取。缺点是必须用裸金属硬件,更新后需重新密封。 尚未解决的技术难题 更新后的重新密封:软件栈变化导致PCR值改变,如何自动化预测并密封新状态?systemd-pcrlock等工具正在改进,但还没做到开箱即用。 无状态与自动升级的矛盾:用unattended-upgrades更新Tor二进制后,重启会回滚到镜像中的旧版本,造成意外降级。如何协调安全补丁和不可变镜像,仍需探索。 内存约束:没有swap,内存使用难以精确预测。分配器优化有帮助,但根本限制依然存在。 网络稳定性:频繁重启可能导致丢失“Stable”标志,影响流量分配。 未来的技术方向 研究者们正在推动更多创新:
远程证明的广泛应用:让目录权威或配置服务器能远程验证节点运行的软件栈,减少对运营商的信任。 透明日志(Transparency Logs):把可重现构建的哈希和TPM测量值公开记录到追加式日志中,社区可以独立监控整个中继舰队。 机密计算:在虚拟机方案中引入AMD SEV-SNP等技术,让虚拟机内存对宿主机管理程序都不可见,进一步缩小虚拟化与裸金属的安全差距。 协议层优化:如Walking Onions提案,能让节点不再需要持有完整的网络视图,从而降低内存需求。未来可能结合Arti(Tor的Rust重写实现)进一步缩小系统体积。 总之,“暗网下/AWX”认为,无状态中继不是一个单一方案,而是一系列权衡:从最简单的内存运行,到结合TPM和远程证明的硬件绑定方案。它在提升物理安全、强制不可变性和可审计性的同时,也带来了运维复杂度和性能挑战。Tor社区希望通过持续讨论和实验,让更多运营商能根据自身环境,选择适合的路径,最终让整个网络对扣押和物理攻击更具韧性。
Tor项目在文章中表示,这项工作始于2025年的Tor社区大会,目前仍在进行中。如果用户正在运行中继服务器、参与Tor工具的开发,或者思考过任何这些未解决的问题,Tor项目都非常希望听到大家的意见。
近日,根据Tor项目官方博客的消息,台湾师范大学计算机科学与资讯工程系学生苏恩立(Su En-Li,网名NZ)通过正规行政途径,成功说服校方在管理严密的台湾学术网络(TANet)内设立了首个校园Tor中继节点。这一举动不仅在技术上为全球匿名网络贡献了带宽,更在学术界发起了一场关于“匿名权不等于犯罪工具”的思想启蒙,证明了学生力量在推动互联网自由与隐私保护方面的巨大潜力。
苏恩立本人对信息安全和网络治理有着浓厚的兴趣,除了技术实践之外,他还致力于知识分享,在台湾师范大学GDGoC学生社团担任匿名网络课程讲师。他长期活跃于台湾的开源和信息安全社区,并多次在SITCON、HITCON和COSCUP等大型技术会议上担任志愿者,展现了丰富的社区服务经验和对技术的热情。
What does it take to run a Tor relay at a university?
This real-world story from National Taiwan Normal University shows how a student made it happen. Read the full experience + lessons learned: https://t.co/Ln7uMSaK1K
— The Tor Project (@torproject) March 23, 2026 一场关于规则与信任的博弈 在许多地方,互联网受到严密监控和集中管理。在这种环境下,匿名通信不仅仅是一种技术选择,它更能保障安全的探索、研究和表达。在台湾,这一点尤为重要,因为地处东亚敏感地带。互联网自由和沟通韧性是应对现实压力的实用技能。
在网络管理极其严苛的台湾学术网络(TANet)环境中,任何涉及“匿名”或“绕过监管”的技术通常都会被视为禁忌。然而,台湾师范大学(NTNU)计算机科学与资讯工程系三年级的一名本科生苏恩立打破了这一僵局,苏恩立成功地在台师大校内建立并运行了首个正式的Tor中继节点(Relay Node)。
这件事的复杂性并不在于技术实现,而是在于如何通过层层行政审批。在许多网管人员眼中,Tor(洋葱路由)往往与“暗网”或“非法交易”挂钩。苏恩立意识到,要让学校接受这个项目,必须先从教育和沟通入手。他并没有选择“黑进”网络私自搭建,而是通过撰写正式邮件,与校内的网络管理员、相关教授以及系主任进行了多次深入沟通。
低风险的中继节点而非出口节点 苏恩立的动机很简单。如果台湾的匿名网络只出现在小众社群、海外虚拟专用服务器(VPS)上,或者被视为灰色地带的工具,它们就不会被认真对待。大学——尤其是像TANet这样的学术网络——旨在支持研究、实验和公共利益。正因如此,这种基础架构才能真正发挥作用。
为了降低校方的顾虑,苏恩立在提议中明确了技术边界:建立的是“中继节点”(MiddleRelay),而非“出口节点”(ExitNode)。他用大学能够理解的方式来解释它:
这是一个Tor中继节点,而不是出口节点。 它不直接向外部用户提供内容。 这是一项关于网络基础设施和匿名通信的实验。 在流程方面,他与网络管理员、教授和系主任交换了电子邮件。他确保所有需要签字确认或被抄送的人都明白这台机器的功能。大学的要求很实际:如果教育部询问,他们需要能够解释清楚。这便成了沟通的切入点。
从技术细节上看,中继节点在Tor网络中仅负责接收加密流量并转发给下一个节点,它既不直接与目标网站通信,也不会在校方IP下产生任何外部访问记录。这意味着,即便有人通过Tor网络进行非法活动,校方的IP也不会出现在任何受害服务器的访问日志中。这种低风险、高贡献的方案,最终赢得了台师大计信系决策层的认可。
在采访中,苏恩立提到,他不仅提供了详尽的技术文档来解释Tor的工作原理,还强调了学术机构在支持全球互联网自由方面的道德义务。他认为,作为计算机专业的学生,有责任维护一个开放且安全的网络环境。
匿名网络不等于犯罪工具 除了技术层面的推动,苏恩立还通过校园里的学生社团组织匿名网络相关的活动,介绍 Tor、匿名通信及其背后的设计原则。即使参与人数并不总是很多,这些活动也帮助人们理解了“匿名网络≠犯罪工具”,而无需依赖刻板印象。他的核心观点非常直接:匿名是保护记者、维权人士以及普通公民隐私的必要工具,不应因少数人的滥用而全盘否定其价值。
通过这些活动,他成功地将Tor从一个神秘的“黑客工具”转化为了一个具有学术研究价值的课题。在他的努力下,台师大计信系不仅提供了一台服务器和稳定的出口带宽,更在行政层面上为未来的网络隐私实验开辟了先河。这标志着台湾学术界在对待网络匿名性问题上,开始从单纯的“封堵”转向更有深度、更具包容性的“研究与支持”。
学生力量的示范效应 在国立台湾师范大学,所有出站连接默认都被阻止。任何服务都需要申请例外,包括提供IP地址、预期用途和相关证明文件,并最终确保符合学校向教育部汇报的流程。苏恩立形容这个申请的过程既繁琐又在意料之中,只要愿意填写文件并清楚地解释事情,这条路是存在的。
苏恩立的行为在台湾甚至亚洲的大学生圈子中产生了连锁反应。他证明了当一名学生掌握了正确的沟通策略与扎实的技术基础时,是可以改变臃肿的行政体系对新兴技术的看法的。他所建立的节点不仅为全球Tor网络增加了节点多样性,也为其他希望在校内推动隐私技术的学生提供了一份可复制的“行政沟通指南”。
在台湾师范大学部署Tor中继的这次尝试并非终点,也并非最终答案。然而,它清楚地证明了一件事:在台湾大学里,只要愿意沟通和解释,匿名网络并非完全没有用武之地。
这一节点的稳定运行,不仅是台师大的荣誉,更是对TANet传统管理模式的一次温和且有力的挑战。它告诉我们,隐私保护并非法外之地的避难所,而是每一个数字公民应得的基本权利。
近期,Tor项目发布公告,正式推出Tor浏览器小版本15.0.7,可以在Tor浏览器下载页面以及Tor项目的
分发目录获取。紧接着,用于匿名上网的Linux发行版Tails也宣布发布7.5版本。Tails维护者在匿名Linux发行版7.5版本公告表示,开发者们正在更新核心软件包,此次版本更新中,包含Tor浏览器15.0.7版本,而Tor客户端的版本也更新为0.4.9.5。
Tor浏览器15.0.7新版本发布 此版本包含针对Firefox的重要安全更新。
完整更新日志 Tor浏览器15.0.6版本以来的完整更新日志如下:
所有平台 已将 NoScript 更新至 13.5.14.1984 版本 zlib 已更新至 1.3.2 版本 Bug tor-browser#44656:将 Tor 浏览器版本重新基于 140.8.0esr 构建 Bug tor-browser#44681:从 Firefox 148 向后移植安全修复 Windows + macOS + Linux 已将 Firefox 更新至 140.8.0esr 安卓 GeckoView 已更新至 140.8.0esr 版本 Bug tor-browser#44620:移动 Android IPC 目录 Tails 7.5版本发布 变更和更新 将Tor浏览器更新至15.0.7版本。 简化Tor浏览器的首页。 将Tor客户端更新至0.4.9.5版本。 将Thunderbird更新到140.7.1版本。 如果已启用Thunderbird电子邮件客户端和持久存储的附加软件功能,请安装Thunderbird作为附加软件以提高其安全性。在Tails 7.5之前,Mozilla会在我们发布Tails新版本后几天就发布新版Thunderbird 。因此,Tails 中预装的Thunderbird版本几乎总是过时的,并且存在已知的安全漏洞。通过将Thunderbird安装为附加软件,每次启动Tails时,最新版本的Thunderbird都会从您的持久存储中自动安装。如果在启动Thunderbird时出现下面的Thunderbird迁移对话框,则表示Tails已成功将Thunderbird作为附加软件安装。 除了西班牙西班牙语语言包之外,还要在Thunderbird中包含墨西哥西班牙语语言包。 获取Tails 7.5 Tails 7.0或更高版本可自动升级至7.5。 如果无法进行自动升级,或者自动升级后Tails无法启动,请尝试进行手动升级。
2026年伊始,Tor团队正在努力发力,在短短几天内,先后密集发布了Tor浏览器15.0.4、Arti 1.9.0以及Tails操作系统7.4。
Tails系统7.4版本发布 Tails 7.4于近日发布,这是Tails 7.x系列的第4个小版本更新。Tails 7.x系列是基于Debian GNU/Linux的便携式Linux发行版,旨在保护用户免受监视和审查。
Tails 7.4版本在Tails 7.3.1发布一个月后推出,引入了一项新功能,允许用户将语言、键盘布局和格式从欢迎屏幕保存到U盘,并在重新启动Tails时自动应用这些设置。
Tails的开发者强调,只有这些基本设置会以这种方式存储,不包含任何其他个人数据。
变更和更新 将Tor浏览器更新至15.0.4版本。 将Thunderbird更新到140.6.0版本。 将Linux内核更新至6.12.63版本。 停止支持BitTorrent下载。 随着BitTorrent从v1向v2的过渡,Tails之前提供的BitTorrent v1文件可能存在安全隐患。Tor项目认为,升级到BitTorrent v2会增加团队的迁移和维护成本,得不偿失。
已修复问题 修复了在Kleopatra中双击或从快捷菜单中选择“使用Kleopatra打开”来打开.gpg加密文件时出现的问题。(#21281) 修复使用错误密码解锁VeraCrypt卷时桌面崩溃的问题。(#21286) 顶部导航栏和锁屏界面请统一使用24小时制时间格式。(#21310) Arti 1.9.0版本发布 Arti是Tor团队正在进行的用Rust语言实现的下一代Tor项目的成果。Tor团队很高兴地宣布最新版本Arti 1.9.0的发布。
此版本包含一些关于中继和目录权威性开发的幕后工作,并改进了对动态分配端口的支持。例如,Arti现在接受proxy.socks_listen = “auto”使用操作系统分配的端口配置其 SOCKS 代理,并将分配的端口写入Arti数据目录中的结构化JSON文件。
随着动态端口分配方式的改变,Tor团队也弃用了0端口号作为参数,从而完全禁用了此功能。
洋葱服务方面也出现了一些有趣的进展,即Arti的密钥管理器现在以实验性公共API的形式提供,供Arti的密钥管理CLI使用。这仅仅是API的变更,CLI用户不会受到影响。
Tor团队在Arti中对中继器的支持工作也取得了显著进展。具体而言,中继电路反应器现在能够处理传入的数据流请求,这对于该组件的整体运行设计至关重要。
同样,目录权威领域的开发也取得了显著进展。此版本对多种网络文档类型和API进行了重构,并增加了对目录权威密钥证书的实验性支持。此外,目录镜像也获得了从目录权威下载网络文档的相关逻辑。
Tor浏览器15.0.4版本发布 Tor浏览器15.0.4版本现已可在Tor Browser下载页面以及Tor项目的分发目录中获取。这是基于
Mozilla Firefox 140 ESR的一次重大更新,引入了令人兴奋的功能,例如支持垂直标签和标签组,以及地址栏中的新统一搜索按钮。
此版本还包含针对Firefox的重要安全更新。
完整更新日志 Tor浏览器15.0.3版本以来的完整更新日志如下:
所有平台 Bug tor-browser#44418:更新内置的obfs4网桥 Bug tor-browser#44433:已阻止对象窗口中出现奇怪的 §:domain.com 标签 Bug tor-browser#44470:将 Tor 浏览器稳定版重新基于 140.7.0esr 构建 Bug tor-browser#44474:从 Firefox 147 向后移植安全修复 Bug tor-browser#44482:(H1)通过数据 URI 导航在最安全模式下执行脚本 Windows + macOS + Linux 已将 Firefox 更新至 140.
近日,Tor项目在其官方博客上公布了其2023-2024财政年度的财务报告。该财务报告强调了Tor项目作为501(c)(3)非营利组织的透明度原则,并公开了其联邦税务申报表(Form 990)和经独立审计的财务报表。
Tor项目(The Tor Project)是一个成立于2006年的非营利性501(c)(3)组织,致力于保护在线隐私和自由,负责维护Tor匿名网络及其周边工具生态系统,包括Tor浏览器(Tor Browser)和洋葱服务(Tor网络)。其使命是提供私密、不受审查的互联网访问,尤其是在网络空间受到压制的环境中。虽然Tor的起源可以追溯到美国海军研究实验室(US Naval Research Laboratory)的工作,但如今该组织独立运作,并遵循社会契约和开源开发模式。
Tor团队表示,对于一个隐私项目而言,透明度并非自相矛盾:隐私关乎选择,而Tor团队选择透明,是为了建立信任,构建更强大的社区。通过财务报告,Tor团队旨在清晰地阐明Tor项目的资金来源和用途。这是Tor团队所有工作的运作方式:向大家展示所有项目,包括源代码、定期发布的项目和团队报告,以及与研究人员的合作,共同评估和改进Tor。透明度也意味着清晰地阐述Tor团队在社会契约中列出的价值观、承诺和优先事项。
财务报告透露,Tor项目的财政年度为每年7月1日至次年6月30日。在2023-2024财政年度中,Tor项目总收入与支持额达到8,005,661美元(根据审计的财务报表),而联邦税务申报表(Form 990)中报告的收入为7,287,566美元。
Tor团队解释称,Form 990和经审计的财务报表中的收入差异并非错误。不同的收入总额反映了向美国国税局(IRS)申报税收收入和在经审计的财务报表中申报收入的规则差异。Tor项目的经审计财务报表将实物捐赠(768,413美元)列为收入,而990表格则将实物捐赠列为支出。
实物捐赠是指社区提供的非货币性捐赠。在2023-2024年度,Tor社区捐赠了价值768,413美元的服务或物品。这相当于约7614小时的软件开发、1,894,720个单词的翻译、23台服务器的云托管服务以及26张证书。目前,这一估算尚未包含中继服务器运营商的时间和成本,但应该将其纳入其中。
Tor项目罗列了Form 990报告的收入总额,并将该总额分解为以下几类:
美国政府(占总收入的35.08%)2,556,472美元 公司(占总收入的21.59%)1,573,300美元 基金会(占总收入的18.67%)1,395,494美元 个人捐款(占总收入的15.61%)1,102,619美元 非美国政府(占总收入的7.58%)552,387美元 其他(占总收入的1.47%)107,293美元 美国政府的拨款资金占比从53%降到35% 报告显示,在2023-2024财年,美国政府向Tor项目拨款超过250万美元,这标志着美国政府与这家专注于隐私的非营利组织的财政关系仍在继续,但有所减少。
根据最新公布的财务披露信息,这些资金占Tor公司报告收入728万美元的35.08%。相比之下,在2021-2022财年,这一比例高达53.5%。由此可见,Tor项目减少对美国政府拨款依赖的长期目标正在逐步实现。
这笔资金分别来自4个实体:
一是美国国务院民主、人权和劳工事务局(DRL),资助金额2,121,049美元,用于支持多个旨在加强互联网自由的高影响力项目,尤其是在审查严格的地区。DRL是最大的单一捐助方,提供了212万美元,这些资金被用于几个主要项目,包括扩大Tor在某些特定国家的访问;开发基于Tor的安卓VPN客户端;打击恶意Tor中继;以及将核心网络基础设施迁移到更安全的基于Rust的实现(Arti)。
二是美国国家科学基金会+乔治城大学,资助金额14,715美元,用于开发一个可扩展且成熟的确定性网络模拟器(Shadow Simulator),能够快速准确地模拟Tor等大型网络。项目名称为“利用下一代匿名通信实验(ACE)框架拓展研究前沿”。
三是国际共和研究所,资助金额80,029美元,用于将Tor浏览器、Tor绕过工具、Tor文档和培训资料,以及一款名为OnionShare的基于Tor的文件共享工具本地化为阿拉伯语、中文和斯瓦希里语。项目名称为“将Tor工具和文档本地化为阿拉伯语、中文和斯瓦希里语”。
四是开放技术基金,资助金额340,681美元,用于开展诸如为美国全球媒体署(USAGM)旗下媒体建立洋葱服务、为土库曼斯坦用户提供支持以及维护Tails操作系统等项目。其中全球洋葱新闻网服务的部署,是通过开发相关工具,帮助用户搭建和监控洋葱新闻网服务,并协助美国全球媒体署(USAGM)旗下各媒体机构搭建和监控其洋葱新闻网服务。三个项目分别为“帮助用户绕过对美国全球媒体署(USAGM)媒体网站的审查”、“快速反应——土库曼斯坦”、“Tails可持续性”。
尽管美国政府持续参与,Tor项目仍强调其在资金来源多元化方面取得的进展。下一个最大贡献类别是来自以OpenSats、Mullvad和Proton等机构为首的企业和非营利组织的捐赠,占总收入的21.59%,在2023-2024财年,这一类别产生了1,573,300美元,比上一财年增长68%,此外,基金会捐款超过139万美元,占总额的18.67%,个人捐款超过110万美元,占总额的15.61%。非美国政府资金主要来自瑞典国际开发合作署(Sida)。
Tor项目的收支接近平衡 根据Tor提交给美国国税局的Form 990,其运营支出总计734万美元,其中84%用于项目服务,意味着很大一部分直接用于Tor的建设和改进,剩下的10%用于行政管理、6%用于筹款。另一份审计报告显示,包含实物捐赠在内的总支出为810万美元。具体如下:
行政管理费用:与组织行政管理相关的费用,例如执行董事的工资、办公用品、商业保险费用; 筹款费用:与筹款项目相关的成本,例如筹款人员的工资、筹款工具、银行手续费、邮政用品、宣传品等; 项目服务:包括开发和维护Tor以及为Tor用户提供支持的相关成本,例如应用程序、网络、用户体验、指标和社区工作人员的薪资;承包商薪资;以及IT成本。 这些数据与经审计的财务报表和联邦备案文件一同发布,既符合法律要求,也符合该项目对透明度的更广泛承诺。尽管由于人手不足导致相关博客文章发布有所延迟,但Tor项目强调,财务文件其实早已公布。Tor团队衷心感谢所有捐赠者和支持者。
Tor项目强调,所有政府资金均通过公开竞争性投标获得,且项目由其自身团队及社区主导设计与执行。资金详情附有项目库的直接链接和正在进行的开发工作的描述,这凸显了Tor努力揭开其资金模式的神秘面纱,并强调其在项目定义和执行方面拥有自主权。
Tor团队表示,必须牢记大局:考虑到Tor的全球影响力,其预算其实相当有限。与VPN的运营成本相比,Tor的用户成本要低得多,这得益于其分布式设计以及数千个中继运营者的贡献。此外,同样重要的是要记住,Tor项目的年度收入与其对手为压制人们的隐私权和匿名权而花费的巨额资金相比,简直微不足道,而正是这些巨额资金让世界变得更加危险,更加不自由。
依赖Tor的用户希望他们的流量在网络中传输时不会泄露他们的身份。这种信任取决于保护每一跳的加密强度。
本周,Tor项目宣布了一项重大的加密技术改革,用一种名为“反伽罗瓦洋葱”(Counter Galois Onion,简称CGO)的全新、有研究支持的设计取代了使用了几十年的中继加密算法。
此次升级标志着在保护匿名网络用户免受更广泛的复杂网络攻击者(特别是那些进行标记攻击的攻击者,这些攻击以前可能会损害用户隐私)的侵害方面迈出了重要一步。
为什么Tor需要改变中继处理加密的方式 Tor最初的中继加密算法,现在追溯命名为“tor1”,使用AES-128-CTR流密码结合弱4字节SHA-1摘要,在用户数据通过网络中的多个中继传输时对其进行加密。
虽然这种设计能够实现功能,但它存在一些关键漏洞,而现代密码学已经解决了这些漏洞。
最严重的问题是攻击者可以修改传输中的加密数据,并预测更改将如何在网络中传播,从而使他们能够追踪流量并有可能取消用户匿名性。
旧系统还存在前向保密性不足的问题,在网络传输的整个生命周期内都保留着重复的对称加密密钥。如果攻击者在网络保持激活状态时窃取了密钥,他们就可以解密之前的所有通信。
此外,4字节验证器只有四十亿分之一的概率能检测出单元伪造,这使得网络容易受到操纵。因此中继加密算法虽然已使用多年,如今已显露老旧之处。
CGO为网络带来了什么 CGO由密码学家Jean Paul Degabriele、Alessandro Melloni、Jean-Pierre Münch和Martijn Stam开发,代表了解决这些问题的现代方案。
CGO基于坚固的伪随机置换(RPRP)结构,确保篡改加密数据的任何部分都会导致整个消息和所有后续消息无法恢复。
这种宽块密码方法能够抵抗标记攻击,而不会像传统的宽块设计那样产生过多的带宽开销。
新算法通过“更新”构造实现即时前向保密,在处理每个单元格后转换加密密钥,即使当前密钥泄露,也能防止解密先前的消息。
CGO还升级了身份验证,采用了强大的16字节身份验证器,用现代加密标准取代了过时的SHA-1摘要。
CGO部署进展情况 CGO目前仍在Arti(Tor基于Rust的实现)和C语言Tor代码库中积极开发。Arti中已包含CGO,但标记为实验性功能。开发者计划在测试完成后默认启用CGO。
Tor项目已经在其Rust实现Arti中实现了CGO,并且正在开发用于中继支持的C实现。
当前路线图的优先事项包括:在Arti中默认启用CGO,为洋葱服务实现CGO协商,以及针对现代处理器优化性能。
此次过渡需要重构Tor代码库中关于中继单元布局和加密机制的核心假设。
尽管CGO代表着一项重大进步,但Tor项目也承认,作为一个相对较新的设计,它将受益于持续的密码学审查。Tor开发者写道:“我们有理由质疑它是否存在缺陷”,同时他们也描述了为评估该建筑结构而采取的步骤。
CGO代表了Tor核心加密技术近年来最重大的变革之一。随着开发的持续进行,用户和Tor网络上的节点运营者应密切关注即将发布的版本,并在CGO正式上线后做好过渡准备。
11月17日,Tor项目在其官方博客发布文章,称根据Global Voices提供的信息,墨西哥政府已经部分解除对Tor网络的封锁。
文章称,在墨西哥最近两届六年总统任期内,以及本届政府执政的第一年,无法通过Tor网络访问墨西哥的联邦政府主要信息和公共服务网站。根据Global Voices在2023年10月9日发表的一项研究报告,21个墨西哥政府机构封锁了Tor网络,但是该封锁在2025年7月初得到部分解除。
Tor项目表示,Tor网络每天被数百万用户用于安全地访问互联网,保障他们的信息权和言论自由,并规避审查或政府监控。据Tor项目公布的数据显示,墨西哥约有2万人使用Tor网络。在墨西哥,Tor已被民间社会组织和团体采用,包括在新闻机构中实施匿名邮箱,以及在人权倡导中实施数字安全措施。
文章称,在前任政府执政期间,墨西哥政府承认使用Tor网络在打击腐败方面的益处。政府利用Tor网络为公务员事务部设立了邮箱。由此,政府建立了一个监管框架,承认有必要保障公务员系统内部举报人的匿名性。墨西哥联邦官方公报上发布的一则公告指出:
保障保密性:[…]是所有被分配到该局的人员的义务[;]总协调员在协调员的协助下,应监督、控制和评估系统的所有活动,[以确保]他们保证举报人和信息的匿名性,采取他们认为必要的措施,并应实施改进措施以促进这些努力。
前总统恩里克·佩尼亚·涅托(Enrique Pena Nieto,2012-2018 年)的政府没有承认封锁,而安德烈斯·曼努埃尔·洛佩斯·奥夫拉多尔(Andres Manuel Lopez Obrador,2018-2024 年)的政府承认维持了封锁,并解释说这是出于安全原因。
(……)采取了保护措施,例如阻止被认为是恶意、自动化或潜在威胁的网络流量,这会影响Tor网络的用户,因为Tor网络的性质决定了它无法区分普通用户和自动化用户,这被认为对gob.mx构成风险,因此限制了对该网络的访问。
总统办公室法律分析和文件管理主任胡安·卡洛斯·格雷罗·托雷斯(Juan Carlos Guerrero Torres)负责数字战略以及数字基础设施线路和运营的开发,他回复了“Global Voices”的提问。
针对这一回应,Tor项目发言人帕维尔·佐内夫(Pavel Zoneff)告知,存在一些变通方案,可以在最大限度降低用户和网站风险的同时,又不影响依赖Tor网络的用户访问互联网。他表示:
“基于认为所有来自Tor网络的流量都无法区分或都是恶意流量的过时观念而封锁整个互联网区域是错误的,并且会将人们置于危险之中。网站有很多方法可以防御诸如拒绝服务攻击、机器人程序和其他恶意行为等威胁,而无需孤立全球在线社区的很大一部分。”——Zoneff
现任墨西哥政府改变了封锁政策 另一方面,5月6日,现任墨西哥总统克劳迪娅·谢因鲍姆·帕尔多(Claudia Sheinbaum Pardo)领导的政府宣布,其没有任何政策立场或书面理由阻止Tor用户访问www.gob.mx网站,正如负责制定相关政策的国家数字转型局数字基础设施协调员兼透明度联络员加布里埃拉·伊格纳西奥·巴斯克斯(Gabriela Ignacio Vazquez)之前的声明。
7月5日,在例行研究监测过程中,目前已经确认在Tor网络中针对www.gob.mx的封锁已经解除。因此,现在可以通过Tor网络访问墨西哥政府的主要信息网站,进而访问集中于该网站的各个政府机构的信息。
然而,Tor官方表示,datos.gob.mx仍然处于封锁状态,之前承认支持Tor用户的举报人邮箱已被禁用,并被不允许从Tor网络访问的SIDEC平台所取代,说明想要彻底解除封锁,还需要更大努力。
Tor浏览器 15.0大版本于2025年10月28日发布,可从Tor浏览器下载页面和发行版目录获取。这是Tor浏览器基于Firefox ESR 140的首个稳定版本,它整合了上游Firefox浏览器一年来的改进。Tor团队表示,其完成了年度ESR过渡审计,审查并解决了大约200个可能会对Tor浏览器用户的隐私和安全产生负面影响的Bugzilla问题,这些问题都是Firefox浏览器升级的功能。
“暗网下/AWX”对新版本Tor浏览器进行了审视,认为该版本与Firefox浏览器最大的变化是开发人员删除了AI等许多新加入功能。
Firefox浏览器的开发商Mozilla将AI功能定位为必不可少的现代化升级,花了大量时间将AI聊天机器人集成到Firefox中,并在侧边栏添加了ChatGPT、Claude和Google Gemini的访问接口,而Tor浏览器在升级中将所有这些功能都删除了。Tor团队表示称AI功能与隐私不相容,并将其删除。根据Tor团队的表述,其删除了以下AI功能:
删除AI和机器学习组件 关闭AI聊天机器人偏好设置 理由很直接:“从安全和隐私的角度来看,机器学习系统和平台本质上是不可审计的。”没有技术方法可以验证这些系统如何处理用户的数据。由于Tor的目的是为了在国家层面的对手面前保持匿名,因此将代码发送到人工智能公司手中会破坏一切。
这使得Tor浏览器与整个浏览器行业形成了直接对立:Chrome浏览器力推谷歌的Gemini;Edge浏览器默认使用微软的Copilot;而Safari浏览器添加了Apple Intelligence。
此外,Tor团队还优化了品牌标识,之前的版本仍然保留了Firefox和Mozilla的元素,而Tor浏览器 15.0版本则完全移除了这些元素。每个Mozilla服务集成都存在潜在的数据泄露风险,Tor浏览器移除了对Firefox Sync、Mozilla账户和遥测系统的引用可以减少攻击面。
另外一个明显的变化是,Tor浏览器会在地址栏中始终显示完整的URL协议(http://或者https://),而不是像其他浏览器一样将其隐藏,查看完整的URL有助于用户验证他们是否通过安全通道连接到了目标网站。
最新更新 PC版本Tor浏览器 Tor浏览器 15.0继承了Firefox浏览器的众多实用新功能和可用性改进,这些功能和改进均已通过Tor团队的审核。
对于PC版本Tor浏览器 ,这些功能包括垂直标签页:提供一种更易于管理的替代布局,打开和固定的标签页堆叠在侧边栏中,而不是横跨窗口顶部。为方便访问,展开时也可直接从侧边栏检索书签。但是,无论用户喜欢水平还是垂直标签页,新增的标签页组功能都会让用户受益:通过将标签页组织成可折叠的组,用户可以为其命名并用颜色编码,从而帮助用户掌控标签页混乱的现象。标签页分组功能允许用户将一个标签页拖放到另一个标签页上,从而创建可折叠的、颜色编码的标签页集合。拥有数十个标签页的用户可以将它们整理到逻辑类别中,而无需滚动浏览无穷无尽的网站图标。
Tor 浏览器 15.0还继承了Firefox浏览器最近地址栏更新的元素,包括一个新的统一搜索按钮,可让用户即时切换搜索引擎、搜索书签或标签页,以及从同一菜单引用快速操作。
Tor团队表示,Tor浏览器标签页仍然是私密标签页,关闭浏览器后标签页会被清除。由于每次新会话都会重新开始,这在Tor浏览器中强制实现了一种自然的整洁。然而,对于注重隐私的高级用户、项目经理、研究人员,或者其他标签页堆积速度极快的用户来说,这些改进能够大幅提升工作效率。
安卓版本Tor浏览器 在安卓(Android)设备上,屏幕锁定功能可为用户的浏览会话增添额外的安全保障,该功能会在切换到其他应用时自动锁定浏览器。在“设置”>“标签页”中启用屏幕锁定后,当用户离开浏览器且未关闭浏览器时,标签页将自动锁定。返回应用后,系统会提示用户使用指纹、人脸识别或密码解锁标签页,具体取决于用户设备配置的选项。个人手机经常会被其他人拿走、交给别人或无人看管,屏幕锁定功能可以有效防止他人随意窥视。
与PC版Tor浏览器一样,关闭Tor浏览器后,用户的浏览会话仍会被清除。不过,此功能在特定情况下能让用户安心:即使有人在Tor浏览器在后台打开的情况下临时访问了用户未锁定的手机,例如将手机交给朋友,还是将手机放在桌子上,用户的浏览记录仍能保持私密。
其他变化 Tor浏览器 15.0将是最后一个支持Linux及Android x86平台的版本 目前,Firefox 140和Tor 浏览器 15.0支持Android 5.0及更高版本,而该Android版本发布已近11年。Mozilla承诺支持如此老旧的Android版本,这令人钦佩,但也给开发者带来了诸多技术和安全挑战。因此,Firefox宣布计划将最低支持要求提高至Android 8.0,并决定放弃对Android和Linux系统x86 CPU的支持。遗憾的是,如果没有Mozilla的官方支持,Tor项目无法独自维持对这些平台的支持。
Tor团队表示,虽然这些变化不会立即影响Tor浏览器用户,但其预计它们将在明年年中Tor浏览器 16.0大版本发布时生效。这意味着Tor浏览器 15.0将是继Android 5.0、6.0和7.0之后,最后一个支持Linux和Android x86平台的主要版本。不过,在Tor浏览器 16.0最终发布之前,Tor团队将继续为这些平台发布包含安全修复的小更新。
WebAssembly的禁用现在由NoScript管理 WebAssembly(简称Wasm)是一种帮助网站和Web应用更快运行的Web技术。它允许Web开发者使用 C、C++或Rust等语言编写程序,并将其编译成一种特殊的格式,以便Web浏览器能够更高效地运行。
为了减少针对Tor浏览器的攻击面,Wasm目前在更安全和最安全级别中处于禁用状态。到目前为止,这是通过将全局首选项设置javascript.options.wasm为false来实现的——然而,在Mozilla在版本128到140之间将其PDF阅读器的部分功能用Wasm实现后,这种方法不再可行。因此,Tor团队决定将Wasm的控制权移交给NoScript,它与Tor浏览器捆绑在一起,并且已经管理JavaScript和其他安全功能。这意味着Wasm现在可以在PDF渲染器等特权浏览器页面上运行,但NoScript将继续在更安全和最安全级别的常规网站上阻止该技术。
将WebAssembly控制权移至NoScript,既能让内置的PDF渲染器在高安全级别下运行,又能让用户在不受信任的网站上阻止WASM。WebAssembly可能被滥用于指纹识别和加密货币挖矿,因此精细的控制至关重要。
新版本集成了Mozilla修复的Firefox浏览器的大量安全漏洞 Tor浏览器 15.0基于Mozilla的扩展支持版本Firefox ESR 140构建,ESR版本包含了Firefox每月发布版本中一年的变更。Tor团队进行了“ESR过渡审核”,审查了大约200个Firefox修改可能损害隐私或安全的问题。Mozilla发布的每一项功能都通过实际威胁建模进行了重新评估。
此次审计意义重大,因为浏览器本身就存在大量的攻击面。Mozilla修复了Firefox ESR 140.1中的五个高危漏洞,以及ESR 140.4中的七个高危漏洞。这些漏洞可被利用,导致任意代码执行。
CVE-2025-8027漏洞影响了64位平台,其中IonMonkey的JIT编译器仅将64位返回值中的32位写入堆栈。攻击者可以利用此漏洞操纵程序执行流程。CVE-2025-8028漏洞影响了运行WebAssembly的Arm64系统。指令中过多的条目br_table会导致标签截断,从而使处理器跳转到错误的内存地址。
CVE-2025-11708是中的一个释放后使用漏洞MediaTrackGraphImpl::GetInstance()。该程序会释放内存,继续使用,攻击者可以用程序随后执行的恶意数据结构填充释放的空间。CVE-2025-11709展示了进程隔离如何失效。受感染的Web内容进程可能会利用被操纵的WebGL纹理触发特权浏览器进程中的越界读写。WebGL会跨进程边界传递GPU命令。如果Web进程在纹理尺寸方面撒谎,GPU进程可能会读取或写入超出分配缓冲区的范围,从而泄露数据或破坏高权限进程的内存。
CVE-2025-11710漏洞利用了进程间通信。来自受感染Web进程的恶意IPC消息可能会迫使特权浏览器进程泄露内存内容。现代浏览器使用多进程架构来遏制漏洞利用。这些漏洞证明,在IPC通道未得到强化的情况下,仅靠进程边界并不能保证安全。
CVE-2025-8031漏洞导致内容安全策略(CSP)违规报告中的HTTP凭据泄露。当使用HTTP基本身份验证的页面触发CSP违规时,Firefox会将凭据发送username:password到CSP报告端点。CSP报告通常会发送到第三方分析服务。此设计缺陷会将凭据泄露给配置CSP报告URI的人员。
CVE-2025-8032漏洞使XSLT文档完全绕过内容安全策略(CSP)。CSP限制了页面可以加载资源的位置。Firefox中的XSLT转换忽略了这些限制,导致攻击者即使在CSP应该阻止的情况下也能加载恶意脚本。
Tor团队希望社区继续支持 Tor浏览器的开发模式与商业浏览器截然不同。谷歌为Chrome浏览器雇佣了数千名工程师,Mozilla为Firefox浏览器也雇佣了数百名工程师。而Tor项目为公益性项目,团队规模很小,资金主要来自捐款和资助。Tor团队前期已经推出2025年度募捐活动,现呼吁大家继续捐助。
Tor团队称,Tor浏览器的持续开发离不开社区的支持。如果用户重视Tor浏览器,那么现在正是支持我们“自由互联网”使命的绝佳时机。所有捐款将由Power Up Privacy进行匹配,有效期至2025年12月31日。
Tor项目近日发布推文号召网友捐款:
🧅 Tor是构建自由互联网的基石,守护您的隐私安全。作为非营利组织,我们依靠捐赠来支持数百万用户信赖的工具。这些工具始终免费使用,绝不为牟利而收集、出售、交易或出租您的任何数据。
立即捐款,助力Tor持续发展,共筑更美好的互联网未来。所有捐款都将获得我们的支持者“Power Up Privacy”计划的等额匹配。这意味着25美元的捐款将产生50美元的实际价值。
Tails及Tor浏览器的新版本发布 Tails推出7.1版本 Tails操作系统的7.1版本将Tails中的Tor浏览器主页更改为离线页面,与Tails之外的Tor浏览器主页非常相似,而不是访问Tor官方网站的在线页面。同时改进了当打开应用程序需要管理密码但欢迎屏幕中未设置管理密码时的弹出消息。
此外,还做了如下更新:
将Tor浏览器更新至14.5.8。 将Tor客户端更新至 0.4.8.19。 将Thunderbird更新至140.3.0。 移除ifupdown安装包。 在Tor浏览器的新标签页中隐藏“您的Tor连接不受Tor浏览器管理”的提示消息。( #21215 ) Tor浏览器推出14.5.8及14.5.9两次版本更新 Tor 浏览器 14.5.7以来的完整更新日志如下:
所有平台 Tor 已更新至 0.4.8.19 OpenSSL 已更新至 3.5.4 Bug tor-browser#44239:使用最安全的安全设置时,DDG HTML 页面和搜索结果显示不正确 Bug tor-browser#44240:dom.security.https_first_add_exception_on_failure 上的拼写错误 Bug tor-browser#44244:从 Firefox 144 反向移植安全修复 Bug tor-browser-build#41574:更新 Snowflake 内置桥接线路 Windows + macOS + Linux Bug tor-browser#44032:为桌面稳定版实施 YEC 2025 Takeover 安卓 Bug tor-browser#44031:为 Android Stable 版本实施 YEC 2025 接管 Bug tor-browser#44263:YEC 无法在 Tor 浏览器 14.
“暗网下/AWX”获悉,9月初,Tor项目悄然在谷歌商店发布了一款适用于Android的新VPN应用,该VPN使用户能够通过Tor网络路由所有互联网流量,说白了就是Tor代理,这标志着非盈利性公益组织Tor项目首次正式涉足移动VPN解决方案。
目前,Tor VPN Beta现已在Google Play商店上架,明确标明为实验性版本,最新更新时间为9月4日,下载次数已经超过1000次。但Tor项目警告用户不要依赖它处理任何敏感信息,因为它仍然可能泄露身份信息。Tor项目称,此Beta版软件主要用于测试、反馈和进一步开发,不适用于高风险用户或敏感用例。
根据该项目GitLab存储库中的信息,该应用程序从2022年1月开始开发,目前为止已提交了600多次代码更新。代码库采用BSD 3-Clause许可证,并且完全开源,这与Tor长期以来对透明度和免费软件的承诺相一致。
因为Tor VPN完全开源,“暗网下/AWX”建议,除了在Google Play商店下载安装以外,用户也可以自行在手机安装此apk,可以从Gitlab软件包存档中下载最新成功构建的软件包,安装方法如下:解压文件,执行adb install app/build/outputs/apk/debug/app-debug.apk。
Tor VPN的技术特性 Tor VPN基于Arti构建,Arti是Tor项目最新开发的基于Rust的Tor协议现代实现,Arti取代了旧版基于C语言的“C-Tor”代码库,提供了更安全的内存处理、更现代的代码架构和更强大的安全基础。Tor VPN允许安卓手机用户通过Tor网络来路由手机里每个App应用的互联网流量,每个App应用都会获得自己的Tor线路和出口IP地址。这种基于应用的路由可以减少关联攻击,并进一步隐藏用户的网络活动。
Tor VPN应用程序提供:
网络级隐私(IP和位置混淆):应用程序和服务看到的是Tor出口节点,而不是用户的真实IP地址和位置; 每个应用程序路由:用户可以选择通过Tor路由哪些应用程序,每个应用都有自己的Tor线路和出口IP,防止用户网上活动被恶意监控,从而创建隔离线路; 应用级抗审查:通过使用Tor的分散路由,Tor VPN可以帮助部分国家用户访问受限制网络中的内容; 洋葱服务支持:与Tor浏览器一样,VPN支持访问.onion域名,以实现匿名通信和无元数据服务。 Tor项目成立于21世纪初,由公众捐款和机构资助,是一个致力于促进人权和网络自由的非营利组织。其最著名的产品Tor浏览器通过志愿者运营的覆盖网络路由流量,实现匿名网页浏览。随着Tor VPN Beta版的推出,该公益性组织正在将其功能扩展到移动平台上,实现更广泛的设备级隐私保护。
Tor VPN目前是测试版本 Tor VPN Beta尚未正式投入生产,并附带明确的警告。根据该应用的文档和商店列表,用户不应使用该应用进行高风险或敏感活动。Android的系统级数据(例如设备标识符)仍可能暴露用户信息,包括Tor在内的任何VPN都无法完全阻止这种情况。
Tor项目表示,Tor VPN Beta面向希望在安全的情况下助力打造移动隐私的早期用户,用户应了解可能出现的错误、崩溃和功能不完善的情况,并可报告问题。该应用最适合愿意向开发团队提供反馈的测试人员、开发人员和隐私爱好者,共同迈向更自由的互联网。
除了Tor VPN外,“暗网下/AWX”发现,目前,Proton VPN也支持Tor over VPN服务,并且速度比预期的要快得多,也可以测试使用。