tor-webwml.git

1) 

2) 

3) 
4) 
5) 
6) 
7) ## translation metadata
8) # Revision: $Revision$
9) # Translation-Priority: 3-low
10) #include "head.wmi" TITLE="Tor: Hidden Service Protocol" CHARSET="UTF-8"

11) <div class="main-column">
12) 

13) <h2>Tor: Protocole des Services Cachés</h2>

14) <hr />
15) 
16) <p>

17) Tor permet à ses utilisateurs de cacher leur emplacement tout en leur
18) offrant différents types de services tels que la publication de site web ou
19) un serveur de messagerie instanée. En utilisant les "points de rendez-vous"
20) Tor, les autres utilisateurs de Tor peuvent se connecter à ces services
21) cachés de manière à ce que ni celui qui publie l'information ni celui qui la
22) consulte ne puisse connaître leur identité respective. Cette page décrit les

23) détails techniques du fonctionnement du protocole de "rendez-vous". Si vous
24) désirez des instructions plus opérationnelles, consultez notre page sur la
25) <a href="<page docs/tor-hidden-service>">configuration des services
26) cachés</a>.

27) </p>
28) 
29) <p>
30) Un service caché doit afficher son existence dans le réseau Tor avant que
31) des clients puissent le contacter. Par conséquent, le service récupère des
32) noeuds au hasard, construit des circuits vers eux et leur demande d'agir
33) comme des <em>points d'introduction</em> en leur fournissant sa clef
34) publique. Notez que dans les schémas suivant, les liens verts représentent

35) des circuits plutôt que des connexions directes. L'utilisation d'un circuit
36) Tor complet rend difficile pour quiconque d'associer un point d'introduction
37) avec l'adresse IP du serveur caché. Bien que les points d'introduction et
38) les autres disposent de l'identité (la clef publique) du service caché, ils
39) ne doivent rien savoir de l'emplacement du serveur caché (Adresse IP).

40) </p>
41) 
42) # maybe add a speech bubble containing "PK" to Bob, because that's what
43) # Bob tells to his introduction points

44) <img alt="Tor hidden service step one" src="$(IMGROOT)/THS-1.png" />
45) 
46) 

47) 
48) <p>

49) Etape deux: le service caché construit un <em>descripteur de service
50) caché</em> contenant sa clef publique et un résumé de chaque point

51) d'introduction qu'il signe avec sa clef privée.  Il stocke ce descripteur
52) sur un ensemble de serveurs d'annuaires, encore une fois en utilisant un
53) circuit complet dans Tor afin de cacher le lien entre le serveur d'annuaire
54) qui stocke le descripteur et l'adresse IP du serveur caché. Le descripteur
55) sera trouvé par des clients qui recherchent XYZ.onion où XYZ est un nom de
56) 16 caractères de long qui peut seulement être dérivé de la clef publique du
57) service. Une fois cette étape achevée, le service caché est démarré.

58) </p>
59) 

60) <p>
61) Bien que cela semble peu pratique d'utiliser un nom de service
62) automatiquement généré, cela permet d'atteindre l'objectif suivant: Tout le
63) monde &mdash; y compris les points d'introduction, les serveurs d'annuaire
64) et ,bien entendu, les clients &mdash; peuvent vérifier qu'ils communiquent
65) avec le bon service caché. Vous pouvez également consulter <a
66) href="https://zooko.com/distnames.html">la conjecture de Zooko</a> qui
67) précise qu'on peut atteindre deux des trois fonctionnalités suivantes:
68) décentralisation, sécurité, noms compréhensibles pour un être
69) humain. Peut-être qu'un jour, quelqu'un implémentera une fonctionnalité <a

70) href="http://www.skyhunter.com/marcs/petnames/IntroPetNames.html">Petname</a>
71) sur les noms de services cachés ?

72) </p>
73) 
74) # maybe replace "database" with "DHT"; further: how incorrect

75) # is it to *not* add DB to the Tor cloud, now that begin dir cells are in
76) # use?

77) <img alt="Tor hidden service step two" src="$(IMGROOT)/THS-2.png" />
78) 
79) 
80) 

81) 
82) <p>

83) Étape 3: Un client qui voudrait contacter un service caché doit d'abord
84) connaître son adresse onion. Après cela, le client peut lancer une tentative
85) de connexion en téléchargeant le descripteur des serveurs d'annuaire. S'il y
86) a un descripteur pour XYZ.onion (le service caché peut aussi bien être
87) arrêté ou avoir disparu depuis longtemps ou bien il peut y avoir une erreur
88) de frappe dans l'adresse onion), le client créé un circuit vers un autre
89) noeud au hasard et lui demande d'agir comme un point de <em>rendez-vous</em>
90) en lui communiquant un secret partagé.

91) </p>
92) 
93) # maybe add "cookie" to speech bubble, separated from the surrounded
94) # "IP1-3" and "PK"

95) <img alt="Tor hidden service step three" src="$(IMGROOT)/THS-3.png" />
96) 
97) 

98) 
99) <p>

100) Etape quatre: Une fois que le descripteur est présent et que le point de
101) rendez-vous est créé, le client génère un message de <em>bienvenue</em>
102) (chiffré avec la clef publique du service caché), incluant l'adresse du
103) point de rendez-vous et le secret partagé. Le client envoie ce message à
104) l'un des points d'introduction en lui demandant de le délivrer au service
105) caché. Encore une fois, la communication a lieu dans un circuit de manière à
106) ce que personne ne puisse faire le lien entre le message de bienvenue et
107) l'adresse IP du client, assurant l'anonymat du client. 

108) </p>
109) 

110) <img alt="Tor hidden service step four" src="$(IMGROOT)/THS-4.png" />

111) 
112) <p>

113) Etape cinq: Le service caché déchiffre le message de bienvenue du client et
114) y trouve l'adresse du point de rendez-vous ainsi que le secret partagé. Le

115) service créé alors un circuit vers le point de rendez-vous et lui envoie le
116) secret partagé dans un message rendez-vous. 

117) </p>
118) 
119) <p>

120) A ce moment, il est primordial que le service caché conserve le même
121) ensemble de <a
122) href="https://wiki.torproject.org/noreply/TheOnionRouter/TorFAQ#EntryGuards">noeuds
123) gardiens</a> pour créer de nouveaux circuits. Autrement, un attaquant
124) pourrait utiliser son propre relais et forcer le service caché à créer un
125) nombre arbitraire de circuits dans l'espoir que le relais corrompu puisse
126) être désigné comme un noeud d'entrée et récupérer l'adresse IP du serveur en
127) faisant de l'analyse temporelle. Cette attaque a été décrite par
128) &Oslash;verlier et Syverson dans leur document intitulé <a
129) href="http://freehaven.net/anonbib/#hs-attack06">Localiser des Serveurs
130) Cachés</a>.

131) </p>
132) 
133) # it should say "Bob connects to Alice's ..."

134) <img alt="Tor hidden service step five" src="$(IMGROOT)/THS-5.png" />
135) 

136) 
137) <p>

138) Dans la dernière étape, le point de rendez-vous indique au client que la
139) connexion a bien été mise en place. Après cela, le client comme le service
140) caché peuvent utiliser leurs circuits jusqu'au point de rendez-vous pour
141) communiquer l'un avec l'autre. Le point de rendez-vous relaye simplement
142) (chiffré d'un bout à l'autre) les messages du client vers le service et
143) vice-versa. 

144) </p>
145) 
146) <p>

147) Une des raisons de ne pas réutiliser la connexion créée auparavant via le
148) point d'introduction pour une communication réelle est qu'aucun relais
149) unique ne doit apparaître comme responsable d'un service caché donné. C'est
150) pourquoi le point de rendez-vous ne connait jamais rien sur l'identité du
151) service caché.

152) </p>
153) 
154) <p>

155) En général, la connexion complète entre le client et le service caché est
156) constituée de 6 relais: 3 d'entre eux sont choisis par le client avec le
157) troisième comme point de rendez-vous, les 3 autres étant affectés par le
158) service caché. 

159) </p>
160) 

161) <img alt="Tor hidden service step six" src="$(IMGROOT)/THS-6.png" />

162) 
163) <p>

164) Il existe d'autres documentations plus complètes sur le protocole de service
165) caché que celle-ci. Consultez le <a
166) href="<gitblob>doc/design-paper/tor-design.pdf">document de spécification de
167) Tor</a> pour une description plus approfondie ainsi que la <a
168) href="<gitblob>doc/spec/rend-spec.txt">spécification rendez-vous</a> pour le
169) format de messages. 

170) </p>
171) 

172)   </div>

173) 
174)