[要約] RFC 7686は、".onion"という特殊なドメイン名に関するものであり、Torネットワーク上の隠れたサービスを識別するために使用されます。このRFCの目的は、".onion"ドメイン名の使用方法と管理に関するガイドラインを提供することです。
Internet Engineering Task Force (IETF) J. Appelbaum
Request for Comments: 7686 The Tor Project, Inc.
Category: Standards Track A. Muffett
ISSN: 2070-1721 Facebook
October 2015
The ".onion" Special-Use Domain Name
「.onion」特殊用途ドメイン名
Abstract
概要
This document registers the ".onion" Special-Use Domain Name.
このドキュメントでは、「。onion」特殊用途ドメイン名を登録しています。
Status of This Memo
本文書の状態
This is an Internet Standards Track document.
これはInternet Standards Trackドキュメントです。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 5741.
このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。インターネット標準の詳細については、RFC 5741のセクション2をご覧ください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc7686.
このドキュメントの現在のステータス、エラータ、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc7686で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2015 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2015 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書は、BCP 78およびこの文書の発行日に有効なIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象となります。これらのドキュメントは、このドキュメントに関するあなたの権利と制限について説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . 2
1.1. Notational Conventions . . . . . . . . . . . . . . . . . 3
2. The ".onion" Special-Use Domain Name . . . . . . . . . . . . 3
3. IANA Considerations . . . . . . . . . . . . . . . . . . . . . 4
4. Security Considerations . . . . . . . . . . . . . . . . . . . 4
5. References . . . . . . . . . . . . . . . . . . . . . . . . . 5
5.1. Normative References . . . . . . . . . . . . . . . . . . 5
5.2. Informative References . . . . . . . . . . . . . . . . . 6
Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . . 6
Authors' Addresses . . . . . . . . . . . . . . . . . . . . . . . 7
The Tor network [Dingledine2004] has the ability to host network services using the ".onion" Special-Use Top-Level Domain Name. Such names can be used as other domain names would be (e.g., in URLs [RFC3986]), but instead of using the DNS infrastructure, .onion names functionally correspond to the identity of a given service, thereby combining location and authentication.
Torネットワーク[Dingledine2004]には、 "。onion"特殊用途トップレベルドメイン名を使用してネットワークサービスをホストする機能があります。このような名前は他のドメイン名と同じように使用できますが(たとえば、URL [RFC3986]で)、DNSインフラストラクチャを使用する代わりに、.onion名は特定のサービスのIDに機能的に対応し、それによって場所と認証を組み合わせます。
.onion names are used to provide access to end to end encrypted, secure, anonymized services; that is, the identity and location of the server is obscured from the client. The location of the client is obscured from the server. The identity of the client may or may not be disclosed through an optional cryptographic authentication process.
.onion名は、エンドツーエンドの暗号化された安全な匿名化サービスへのアクセスを提供するために使用されます。つまり、サーバーのIDと場所がクライアントから隠されます。クライアントの場所はサーバーからは見えません。クライアントのアイデンティティは、オプションの暗号化認証プロセスを通じて開示される場合とされない場合があります。
.onion names are self-authenticating, in that they are derived from the cryptographic keys used by the server in a client-verifiable manner during connection establishment. As a result, the cryptographic label component of a .onion name is not intended to be human-meaningful.
.onion名は、接続の確立中にクライアントが検証可能な方法でサーバーが使用する暗号化キーから派生するという点で、自己認証型です。その結果、.onion名の暗号化ラベルコンポーネントは、人間にとって意味のあるものではありません。
The Tor network is designed to not be subject to any central controlling authorities with regards to routing and service publication, so .onion names cannot be registered, assigned, transferred or revoked. "Ownership" of a .onion name is derived solely from control of a public/private key pair that corresponds to the algorithmic derivation of the name.
Torネットワークは、ルーティングとサービスの公開に関して中央の統制機関の影響を受けないように設計されているため、.onion名を登録、割り当て、転送、または取り消すことはできません。 .onion名の「所有権」は、名前のアルゴリズムによる派生に対応する公開/秘密鍵ペアの制御からのみ派生します。
In this way, .onion names are "special" in the sense defined by Section 3 of [RFC6761]; they require hardware and software implementations to change their handling in order to achieve the desired properties of the name (see Section 4). These differences are listed in Section 2.
このように、[RFC6761]のセクション3で定義されている意味で、.onion名は「特別」です。名前の目的のプロパティを実現するために、ハードウェアとソフトウェアの実装で処理を変更する必要があります(セクション4を参照)。これらの違いはセクション2にリストされています。
Like Top-Level Domain Names, .onion names can have an arbitrary number of subdomain components. This information is not meaningful to the Tor protocol, but can be used in application protocols like HTTP [RFC7230].
トップレベルドメイン名と同様に、.onion名には任意の数のサブドメインコンポーネントを含めることができます。この情報はTorプロトコルには意味がありませんが、HTTP [RFC7230]などのアプリケーションプロトコルで使用できます。
Note that .onion names are required to conform with DNS name syntax (as defined in Section 3.5 of [RFC1034] and Section 2.1 of [RFC1123]), as they will still be exposed to DNS implementations.
.onion名はDNS実装に公開されるため、DNS名の構文([RFC1034]のセクション3.5および[RFC1123]のセクション2.1で定義)に準拠する必要があることに注意してください。
See [tor-address] and [tor-rendezvous] for the details of the creation and use of .onion names.
.onion名の作成と使用の詳細については、[tor-address]および[tor-rendezvous]を参照してください。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].
このドキュメントのキーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「MAY」、および「OPTIONAL」は、 [RFC2119]で説明されているように解釈されます。
These properties have the following effects upon parties using or processing .onion names (as per [RFC6761]):
これらのプロパティは、([RFC6761]に従って).onion名を使用または処理する当事者に次の影響を与えます。
1. Users: Human users are expected to recognize .onion names as having different security properties (see Section 1) and also as being only available through software that is aware of .onion names.
1. ユーザー:人間のユーザーは、.onion名がさまざまなセキュリティプロパティを持つものとして認識され(セクション1を参照)、. onion名を認識するソフトウェアを介してのみ利用可能であることが期待されます。
2. Application Software: Applications (including proxies) that implement the Tor protocol MUST recognize .onion names as special by either accessing them directly or using a proxy (e.g., SOCKS [RFC1928]) to do so. Applications that do not implement the Tor protocol SHOULD generate an error upon the use of .onion and SHOULD NOT perform a DNS lookup.
2. アプリケーションソフトウェア:Torプロトコルを実装するアプリケーション(プロキシを含む)は、直接アクセスするか、プロキシ(SOCKS [RFC1928]など)を使用して、.onion名を特別なものとして認識しなければなりません。 Torプロトコルを実装していないアプリケーションは、.onionの使用時にエラーを生成する必要があり(SHOULD)、DNSルックアップを実行してはなりません(SHOULD NOT)。
3. Name Resolution APIs and Libraries: Resolvers MUST either respond to requests for .onion names by resolving them according to [tor-rendezvous] or by responding with NXDOMAIN [RFC1035].
3. 名前解決APIとライブラリ:リゾルバーは、[tor-rendezvous]に従って解決するか、NXDOMAIN [RFC1035]で応答することにより、.onion名の要求に応答する必要があります。
4. Caching DNS Servers: Caching servers, where not explicitly adapted to interoperate with Tor, SHOULD NOT attempt to look up records for .onion names. They MUST generate NXDOMAIN for all such queries.
4. DNSサーバーのキャッシング:Torと相互運用するように明示的に適合されていない場合、キャッシングサーバーは、.onion名のレコードの検索を試みるべきではありません(SHOULD NOT)。それらはすべてのそのようなクエリのためにNXDOMAINを生成しなければなりません。
5. Authoritative DNS Servers: Authoritative servers MUST respond to queries for .onion with NXDOMAIN.
5. 権威DNSサーバー:権威サーバーは.onionのクエリにNXDOMAINで応答する必要があります。
6. DNS Server Operators: Operators MUST NOT configure an authoritative DNS server to answer queries for .onion. If they do so, client software is likely to ignore any results (see above).
6. DNSサーバーオペレーター:オペレーターは、.onionのクエリに応答するように信頼できるDNSサーバーを構成してはなりません。その場合、クライアントソフトウェアは結果を無視する可能性があります(上記を参照)。
7. DNS Registries/Registrars: Registrars MUST NOT register .onion names; all such requests MUST be denied.
7. DNSレジストリ/レジストラ:レジストラは.onion名を登録してはなりません。このような要求はすべて拒否する必要があります。
Note that the restriction upon the registration of .onion names does not prohibit IANA from inserting a record into the root zone database to reserve the name.
.onion名の登録に関する制限は、IANAがルートゾーンデータベースにレコードを挿入して名前を予約することを禁止するものではないことに注意してください。
Likewise, it does not prevent non-DNS service providers (such as trust providers) from supporting .onion names in their applications.
同様に、非DNSサービスプロバイダー(信頼プロバイダーなど)がアプリケーションで.onion名をサポートすることを妨げません。
This document registers ".onion" in the registry of Special-Use Domain Names [RFC6761]. See Section 2 for the registration template.
このドキュメントでは、特殊用途ドメイン名[RFC6761]のレジストリに「.onion」を登録しています。登録テンプレートについては、セクション2を参照してください。
The security properties of .onion names can be compromised if, for example:
.onion名のセキュリティプロパティは、たとえば次の場合に侵害される可能性があります。
o The server "leaks" its identity in another way (e.g., in an application-level message), or
o サーバーがIDを別の方法で(たとえば、アプリケーションレベルのメッセージで)漏らします、または
o The access protocol is implemented or deployed incorrectly, or
o アクセスプロトコルが正しく実装または配置されていない、または
o The access protocol itself is found to have a flaw.
o アクセスプロトコル自体に欠陥があることが判明しています。
Users must take special precautions to ensure that the .onion name they are communicating with is the intended one, as attackers may be able to find keys that produce service names that are visually or semantically similar to the desired service. This risk is magnified because .onion names are typically not human-meaningful. It can be mitigated by generating human-meaningful .onion names (at considerable computing expense) or through users using bookmarks and other trusted stores when following links.
攻撃者は目的のサービスと視覚的または意味的に類似したサービス名を生成するキーを見つけることができるため、ユーザーは通信する.onion名が意図したものであることを確認するために特別な予防策を講じる必要があります。 .onion名は通常、人間にとって意味がないため、このリスクは拡大します。人間が意味のある.onion名を(かなりのコンピューティング費用で)生成するか、リンクをたどるときにブックマークやその他の信頼できるストアを使用してユーザーを緩和することができます。
Also, users need to understand the difference between a .onion name used and accessed directly via Tor-capable software, versus .onion subdomains of other top-level domain names and providers (e.g., the difference between example.onion and example.onion.tld).
また、ユーザーは、Tor対応ソフトウェアを介して直接使用およびアクセスされる.onion名と、他のトップレベルドメイン名およびプロバイダーの.onionサブドメインの違い(たとえば、example.onionとexample.onionの違い)を理解する必要があります。 tld)。
The cryptographic label for a .onion name is constructed by applying a function to the public key of the server, the output of which is rendered as a string and concatenated with the string .onion. Dependent upon the specifics of the function used, an attacker may be able to find a key that produces a collision with the same .onion name with substantially less work than a cryptographic attack on the full strength key. If this is possible the attacker may be able to impersonate the service on the network.
.onion名の暗号化ラベルは、サーバーの公開鍵に関数を適用することによって構築され、その出力は文字列としてレンダリングされ、文字列.onionと連結されます。使用される機能の詳細に応じて、攻撃者は同じ.onion名との衝突を生成するキーを見つけることができ、フルストレングスキーに対する暗号化攻撃よりも作業量が大幅に少なくなります。これが可能な場合、攻撃者はネットワーク上のサービスを偽装できる可能性があります。
A legacy client may inadvertently attempt to resolve a .onion name through the DNS. This causes a disclosure that the client is attempting to use Tor to reach a specific service. Malicious resolvers could be engineered to capture and record such leaks, which might have very adverse consequences for the well-being of the user. This issue is mitigated if the client's software is updated to not leak such queries or updated to support [tor-rendezvous], or if the client's DNS software is updated to drop any request to the .onion special-use domain name.
レガシークライアントが誤ってDNSを介して.onion名を解決しようとする場合があります。これにより、クライアントがTorを使用して特定のサービスにアクセスしようとしていることが明らかになります。悪意のあるリゾルバは、このようなリークをキャプチャして記録するように設計されている可能性があり、ユーザーの健康に非常に悪影響を及ぼす可能性があります。この問題は、そのようなクエリをリークしないようにクライアントのソフトウェアが更新されたり、[tor-rendezvous]をサポートするように更新されたり、.onion特殊用途ドメイン名への要求をドロップするようにクライアントのDNSソフトウェアが更新されたりすると軽減されます。
[Dingledine2004] Dingledine, R., Mathewson, N., and P. Syverson, "Tor: The Second-Generation Onion Router", August 2004, <https://svn.torproject.org/svn/projects/design-paper/ tor-design.html>.
[Dingledine2004] Dingledine、R.、Mathewson、N。、およびP. Syverson、「Tor:The Second-Generation Onion Router」、2004年8月、<https://svn.torproject.org/svn/projects/design-paper / tor-design.html>。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, <http://www.rfc-editor.org/info/rfc2119>.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、DOI 10.17487 / RFC2119、1997年3月、<http://www.rfc-editor.org/info/ rfc2119>。
[RFC6761] Cheshire, S. and M. Krochmal, "Special-Use Domain Names", RFC 6761, DOI 10.17487/RFC6761, February 2013, <http://www.rfc-editor.org/info/rfc6761>.
[RFC6761] Cheshire、S。およびM. Krochmal、「特殊用途ドメイン名」、RFC 6761、DOI 10.17487 / RFC6761、2013年2月、<http://www.rfc-editor.org/info/rfc6761>。
[tor-address] Mathewson, N. and The Tor Project, "Special Hostnames in Tor", 2006, <https://spec.torproject.org/address-spec>.
[tor-address] Mathewson、N. and the Tor Project、 "Special Hostnames in Tor"、2006、<https://spec.torproject.org/address-spec>。
[tor-rendezvous] The Tor Project, "Tor Rendezvous Specification", April 2014, <https://spec.torproject.org/rend-spec>.
[tor-rendezvous] Torプロジェクト、「Tor Rendezvous仕様」、2014年4月、<https://spec.torproject.org/rend-spec>。
[RFC1034] Mockapetris, P., "Domain names - concepts and facilities", STD 13, RFC 1034, DOI 10.17487/RFC1034, November 1987, <http://www.rfc-editor.org/info/rfc1034>.
[RFC1034] Mockapetris、P。、「ドメイン名-概念と機能」、STD 13、RFC 1034、DOI 10.17487 / RFC1034、1987年11月、<http://www.rfc-editor.org/info/rfc1034>。
[RFC1035] Mockapetris, P., "Domain names - implementation and specification", STD 13, RFC 1035, DOI 10.17487/RFC1035, November 1987, <http://www.rfc-editor.org/info/rfc1035>.
[RFC1035] Mockapetris、P。、「ドメイン名-実装および仕様」、STD 13、RFC 1035、DOI 10.17487 / RFC1035、1987年11月、<http://www.rfc-editor.org/info/rfc1035>。
[RFC1123] Braden, R., Ed., "Requirements for Internet Hosts - Application and Support", STD 3, RFC 1123, DOI 10.17487/RFC1123, October 1989, <http://www.rfc-editor.org/info/rfc1123>.
[RFC1123] Braden、R。、編、「インターネットホストの要件-アプリケーションとサポート」、STD 3、RFC 1123、DOI 10.17487 / RFC1123、1989年10月、<http://www.rfc-editor.org/info / rfc1123>。
[RFC1928] Leech, M., Ganis, M., Lee, Y., Kuris, R., Koblas, D., and L. Jones, "SOCKS Protocol Version 5", RFC 1928, DOI 10.17487/RFC1928, March 1996, <http://www.rfc-editor.org/info/rfc1928>.
[RFC1928] Leech、M.、Ganis、M.、Lee、Y.、Kuris、R.、Koblas、D。、およびL. Jones、「SOCKS Protocol Version 5」、RFC 1928、DOI 10.17487 / RFC1928、1996年3月、<http://www.rfc-editor.org/info/rfc1928>。
[RFC3986] Berners-Lee, T., Fielding, R., and L. Masinter, "Uniform Resource Identifier (URI): Generic Syntax", STD 66, RFC 3986, DOI 10.17487/RFC3986, January 2005, <http://www.rfc-editor.org/info/rfc3986>.
[RFC3986] Berners-Lee、T.、Fielding、R。、およびL. Masinter、「Uniform Resource Identifier(URI):Generic Syntax」、STD 66、RFC 3986、DOI 10.17487 / RFC3986、2005年1月、<http:/ /www.rfc-editor.org/info/rfc3986>。
[RFC7230] Fielding, R., Ed. and J. Reschke, Ed., "Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing", RFC 7230, DOI 10.17487/RFC7230, June 2014, <http://www.rfc-editor.org/info/rfc7230>.
[RFC7230]フィールディング、R。、エド。およびJ. Reschke編、「Hypertext Transfer Protocol(HTTP / 1.1):Message Syntax and Routing」、RFC 7230、DOI 10.17487 / RFC7230、2014年6月、<http://www.rfc-editor.org/info/ rfc7230>。
Acknowledgements
謝辞
Thanks to Roger Dingledine, Linus Nordberg, and Seth David Schoen for their input and review.
Roger Dingledine、Linus Nordberg、Seth David Schoenの各氏の意見とレビューに感謝します。
This specification builds upon previous work by Christian Grothoff, Matthias Wachs, Hellekin O. Wolf, Jacob Appelbaum, and Leif Ryge to register .onion in conjunction with other, similar Special-Use Top-Level Domain Names.
この仕様は、Christian Grothoff、Matthias Wachs、Hellekin O. Wolf、Jacob Appelbaum、およびLeif Rygeによる以前の研究に基づいて作成されており、他の同様の特殊用途のトップレベルドメイン名と共に.onionを登録しています。
Authors' Addresses
著者のアドレス
Jacob Appelbaum The Tor Project, Inc. & Technische Universiteit Eindhoven
Jacob Appelbaum The Tor Project、Inc. &アイントホーフェン工科大学
Email: jacob@appelbaum.net
Alec Muffett Facebook
アレック・マフェットFacebook
Email: alecm@fb.com