Zum Inhalt

tor onion service

Wir bieten unter ircs://3mzx6zg753aljujhsnmzqna6arceh6mk6mv6hekdabqt5i5qyiadp3ad.onion:6697 einen Zugang via Tor an. Nur SSL, kein Plaintext.

Um unsere Onion-Services zu nutzen, muss man einen validen Account in den Services haben und Login via SASL einrichten. Login ist via SSL Fingerprint oder User+Passwort möglich.

Einrichtung TOR

TOR kann man über zwei Wege für OtakuboX einrichten.

Variante 1: MapAddress

Bei ausreichend neuen IRC-Clienten (z.B. getestet mit weechat) funktioniert folgendes:

/etc/tor/torrc
MapAddress tor.otakubox.de 3mzx6zg753aljujhsnmzqna6arceh6mk6mv6hekdabqt5i5qyiadp3ad.onion
Ab dann kann man "tor.otakubox.de" mit normaler SSL-Validierung im Client verwenden

Variante 2: .onion

Sollte der Client mit Variante 1 Probleme haben, kann man immernoch via 3mzx6zg753aljujhsnmzqna6arceh6mk6mv6hekdabqt5i5qyiadp3ad.onion verbinden. Dann ist die SSL-Validierung über die Chain nicht mehr möglich und man sollte unbedingt den SSL-Fingerprint im Client verankern!

Einrichtung IRC-Client

Hier ein paar Beispiele:

Einrichtung "weechat"

Danach kann man mit

Weechat commands
/proxy add tor socks5 127.0.0.1 9050
/server add otakubox-tor tor.otakubox.de/6697 -ssl -autoconnect
/set irc.server.otakubox-tor.nick "..."
/set irc.server.otakubox-tor.username "..."
/set irc.server.otakubox-tor.realname "..."
/set irc.server.otakubox-tor.ssl_verify on
/set irc.server.otakubox-tor.ssl_priorities "SECURE256:-VERS-SSL3.0:-VERS-TLS1.0:-VERS-TLS1.1"
/set irc.server.otakubox-tor.sasl_fail disconnect
/set irc.server.otakubox-tor.proxy "tor"
den Server via Proxy einrichten

und dann entweder

Authentifizierung per User und Passwort
/set irc.server.otakubox-tor.sasl_mechanism "plain"
/set irc.server.otakubox-tor.sasl_username "..."
/set irc.server.otakubox-tor.sasl_password "..."
Authentifizierung per Zertifikat
/set irc.server.otakubox-tor.sasl_mechanism "external"
/set irc.server.otakubox-tor.ssl_cert "..."
einrichten.

SSL Info
gnutls: receiving 2 certificates
 - certificate[1] info:
   - subject `CN=tor.otakubox.de', issuer `CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US',
     serial 0x04adba8520b38110f712b4bfa0ffca59a1ee, RSA key 4096 bits, signed using RSA-SHA256,
     activated `2019-12-04 00:00:50 UTC', expires `2020-03-03 00:00:50 UTC',
     pin-sha256="wF7qFV70B7oJ2shsF8wURTLtdnf6+EfT18h3XFwJ9vw="
 - certificate[2] info:
   - subject `CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US', issuer `CN=DST Root CA X3,O=Digital Signature Trust Co.',
     serial 0x0a0141420000015385736a0b85eca708, RSA key 2048 bits, signed using RSA-SHA256,
     activated `2016-03-17 16:40:46 UTC', expires `2021-03-17 16:40:46 UTC',
     pin-sha256="YLh1dUR9y6Kja30RrAn7JKnbQG/uEtLMkBgFF2Fuihg="
gnutls: the hostname in the certificate does NOT match "3mzx6zg753aljujhsnmzqna6arceh6mk6mv6hekdabqt5i5qyiadp3ad.onion"

Bei der Verbindung via TOR sollte man unbedingt den pin-sha256 oder SSL-Fingerprint fest im Client konfigurieren!