Глубокое объяснение луковой маршрутизации, скрытых сервисов и .onion-адресов — без лишней сложности.
Ссылка на сайтTor (The Onion Router) — это децентрализованная анонимизирующая сеть, в которой трафик передаётся через цепочку добровольных серверов-ретрансляторов по всему миру.
Созданная в середине 1990-х в военно-морских лабораториях США, а впоследствии переданная открытому сообществу, сеть Tor позволяет скрывать как источник запроса (кто), так и его назначение (куда) от наблюдателей.
«Зеркало в сети Tor» — это особый вид сайта с адресом формата .onion, доступный исключительно через браузер Tor. Такой сайт называют скрытым сервисом или onion-сервисом. Его местоположение (IP-адрес реального сервера) скрыто как от посетителей, так и от провайдеров.
Ни один промежуточный узел не знает одновременно, кто отправитель и кто получатель.
Данные оборачиваются в три независимых слоя шифрования — по одному на каждый узел цепочки.
Более 7 000 добровольных ретрансляторов по всему миру — без единого центра управления.
Onion-сервисы не привязаны к DNS и не могут быть заблокированы по IP-адресу или домену.
Название «луковая» объясняет принцип работы: данные заворачиваются в несколько слоёв шифрования, как слои луковицы, и каждый узел снимает только один слой.
Знает ваш реальный IP, но не знает, какой сайт вы посещаете. Снимает внешний слой шифрования.
Не знает ни отправителя, ни получателя. Снимает второй слой и передаёт пакет дальше.
Для обычного сайта: знает адрес назначения, но не знает вас. Для .onion — роль иная (см. ниже).
Получает данные, но не видит реального IP-адреса отправителя.
Клиент сам строит цепочку из трёх узлов, последовательно согласовывая с каждым ключ шифрования по протоколу Diffie–Hellman. Затем пакет шифруется тройным вложением: сначала ключом выходного узла, затем промежуточного, затем входного. Каждый узел расшифровывает только свой слой.
Ключевой принцип: ни один узел не обладает полной информацией о пути. Входной знает только вас, выходной — только назначение, средний — никого.
Адрес v3 (.onion второго поколения) выглядит как случайная строка из 56 символов. Но в ней закодирована важная криптографическая информация.
Адрес третьего поколения (v3) кодируется в base32 и содержит:
Первые 52 символа — это сжатый публичный ключ сервиса. Именно он подтверждает подлинность сервера при каждом подключении без участия центра сертификации.
Производная SHA3-256 от публичного ключа и версии. Позволяет обнаружить опечатку в адресе до попытки подключения.
Байт 03 указывает на спецификацию v3. Старый формат v2 (16 символов, SHA-1) объявлен устаревшим и отключён с 2021 года.
Важно: .onion — не DNS-домен. Он не разрешается через обычные DNS-серверы и не зарегистрирован ни в одном реестре. Вся верификация — криптографическая, прямо в браузере.
Подключение к скрытому сервису проходит через 6 последовательных этапов, в которых задействованы несколько независимых Tor-узлов.
Браузер извлекает из .onion-адреса публичный ключ, вычисляет адрес HSDir-узла, анонимно запрашивает зашифрованный дескриптор сервиса и расшифровывает его публичным ключом.
Клиент случайно выбирает один из узлов Tor в качестве Rendezvous Point, строит к нему отдельную трёхузловую цепочку и отправляет ему одноразовый секрет.
Клиент строит ещё одну цепочку до одного из узлов-введений сервера. Через неё передаёт зашифрованное сообщение: «встреть меня в точке X, секрет — Y».
Скрытый сервис строит собственную трёхузловую цепочку до точки встречи и подтверждает секрет. Точка встречи «склеивает» два туннеля.
Клиент и сервер выполняют дополнительный обмен Diffie–Hellman прямо через туннель точки встречи, создавая end-to-end зашифрованный канал независимо от промежуточных узлов.
Соединение установлено. Весь HTTP(S)-трафик идёт по туннелю из 6 Tor-хопов + точки встречи. Ни один узел не знает полный маршрут.
Поскольку .onion-адреса не индексируются обычными поисковиками и не регулируются DNS, найти проверенный адрес нужного ресурса требует аккуратного подхода.
Главное правило: никогда не вводите .onion-адрес из случайного источника. Фишинговые зеркала визуально идентичны оригиналу, но перехватывают данные. Всегда проверяйте адрес через официальные каналы.
Самый надёжный способ — найти .onion-адрес на оригинальном сайте организации по обычному HTTPS-соединению. Крупные ресурсы (BBC, The New York Times, DW, Wikipedia) публикуют свои onion-адреса прямо на главной странице или в разделе помощи.
На официальном сайте Tor Project ведётся страница с проверенными .onion-адресами известных организаций: новостных изданий, правозащитных организаций, поисковых систем. Все адреса верифицированы командой Tor.
Ahmia — открытый поисковик по .onion-сайтам, доступный как через обычный браузер, так и внутри Tor. Он исключает нелегальный контент из индекса и показывает только публично доступные ресурсы. Результаты можно дополнительно проверить по репутации домена.
Серьёзные сервисы публикуют .onion-адрес в криптографически подписанном (PGP) сообщении. Сравните подпись с открытым ключом организации из независимого источника (например, её репозитория на GitHub). Если подпись верна — адрес подлинный.
Для журналистских платформ и «ящиков для свистунов» существует агрегатор SecureDrop Directory, который публикует верифицированные .onion-адреса редакций и НКО. Каждый адрес подтверждается напрямую с организацией.
После открытия .onion-сайта убедитесь, что в адресной строке Tor Browser нет предупреждений. Браузер автоматически проверяет криптографическую подпись соединения с сервисом — если ключ не совпадает с адресом, соединение будет разорвано.
Списки ссылок на Paste-сервисах, в Telegram-каналах, Reddit и форумах без верификации. Любой может опубликовать там поддельный адрес.
Официальный сайт организации по HTTPS, Tor Project Onion Services List, SecureDrop Directory, PGP-подписанные анонсы.
Сравните адрес с минимум двумя независимыми источниками. Проверьте PGP-подпись анонса. Убедитесь в отсутствии предупреждений в Tor Browser при открытии.
Три способа доступа к веб-ресурсу существенно различаются по свойствам безопасности и анонимности.
| Свойство | Обычный сайт (HTTPS) | Обычный сайт через Tor | .onion-зеркало |
|---|---|---|---|
| IP клиента скрыт от сервера | Нет | Да | Да |
| IP сервера скрыт от клиента | Нет | Нет | Да |
| Выходной узел Tor | — | Требуется | Не нужен |
| Уязвимость выходного узла | — | Есть | Устранена |
| Блокировка по IP/DNS | Возможна | Частично | Невозможна |
| Сертификат TLS / CA | Требуется CA | Требуется CA | Криптовстроен |
| Скорость соединения | Высокая | Низкая | Очень низкая |
| Количество зашифрованных хопов | 0 | 3 | 6+ |
Зачем нужны .onion-зеркала известных сайтов? Крупные ресурсы (BBC, NYT, DW, Facebook) создают .onion-версии, чтобы пользователи из стран с интернет-цензурой могли получить доступ без выходного узла — быстрее и безопаснее. Аутентичность такого зеркала подтверждается самим .onion-адресом через криптографию, а не центром сертификации.
Журналистам и источникам, диссидентам, исследователям, всем, кто живёт в условиях интернет-цензуры или слежки.
Медленнее обычного интернета из-за 6+ хопов. Работает только в Tor Browser. Не защищает от уязвимостей самого браузера или приложений.