tor onion service
Wir bieten unter ircs://3mzx6zg753aljujhsnmzqna6arceh6mk6mv6hekdabqt5i5qyiadp3ad.onion:6697 einen Zugang via Tor an. Nur SSL, kein Plaintext.
Um unsere Onion-Services zu nutzen, muss man einen validen Account in den Services haben und Login via SASL einrichten. Login ist via SSL Fingerprint oder User+Passwort möglich.
Einrichtung TOR
TOR kann man über zwei Wege für OtakuboX einrichten.
Variante 1: MapAddress
Bei ausreichend neuen IRC-Clienten (z.B. getestet mit weechat) funktioniert folgendes:
In /etc/tor/torrc folgendes:
MapAddress tor.otakubox.de 3mzx6zg753aljujhsnmzqna6arceh6mk6mv6hekdabqt5i5qyiadp3ad.onion
Ab dann kann man "tor.otakubox.de" mit normaler SSL-Validierung im Client verwenden
Variante 2: .onion
Sollte der Client mit Variante 1 Probleme haben, kann man immernoch via 3mzx6zg753aljujhsnmzqna6arceh6mk6mv6hekdabqt5i5qyiadp3ad.onion verbinden. Dann ist die SSL-Validierung über die Chain nicht mehr möglich und man sollte unbedingt den SSL-Fingerprint im Client verankern!
Einrichtung IRC-Client
Hier ein paar Beispiele:
Einrichtung "weechat"
Danach kann man mit
/proxy add tor socks5 127.0.0.1 9050 /server add otakubox tor.otakubox.de/6697 -ssl -autoconnect /set irc.server.otakubox-tor.nick "..." /set irc.server.otakubox-tor.username "..." /set irc.server.otakubox-tor.realname "..." /set irc.server.otakubox-tor.ssl_verify on /set irc.server.otakubox-tor.ssl_priorities "SECURE256:-VERS-SSL3.0:-VERS-TLS1.0:-VERS-TLS1.1" /set irc.server.otakubox-tor.sasl_fail disconnect /set irc.server.otakubox.proxy "tor"
den Server via Proxy einrichten
und dann entweder Authentifizierung per User+Passwort
/set irc.server.otakubox-tor.sasl_mechanism "plain" /set irc.server.otakubox-tor.sasl_username "..." /set irc.server.otakubox-tor.sasl_password "..."
ODER Authentifizierung per Zertifikat
/set irc.server.otakubox-tor.sasl_mechanism "external" /set irc.server.otakubox-tor.ssl_cert "..."
einrichten.
SSL Info
gnutls: receiving 2 certificates - certificate[1] info: - subject `CN=tor.otakubox.de', issuer `CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US', serial 0x04adba8520b38110f712b4bfa0ffca59a1ee, RSA key 4096 bits, signed using RSA-SHA256, activated `2019-12-04 00:00:50 UTC', expires `2020-03-03 00:00:50 UTC', pin-sha256="wF7qFV70B7oJ2shsF8wURTLtdnf6+EfT18h3XFwJ9vw=" - certificate[2] info: - subject `CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US', issuer `CN=DST Root CA X3,O=Digital Signature Trust Co.', serial 0x0a0141420000015385736a0b85eca708, RSA key 2048 bits, signed using RSA-SHA256, activated `2016-03-17 16:40:46 UTC', expires `2021-03-17 16:40:46 UTC', pin-sha256="YLh1dUR9y6Kja30RrAn7JKnbQG/uEtLMkBgFF2Fuihg=" gnutls: the hostname in the certificate does NOT match "3mzx6zg753aljujhsnmzqna6arceh6mk6mv6hekdabqt5i5qyiadp3ad.onion"
Bei der Verbindung via TOR sollte man unbedingt den pin-sha256 oder SSL-Fingerprint fest im Client konfigurieren!