Tor хочет «забывающие» relay: зачем серверам ничего не помнить

Почему Tor продвигает stateless и diskless relay: меньше данных на сервере — меньше улик и рисков при изъятии.

2026-05-07 GIGATAP Team #opsec
#Tor#privacy#opsec

Старый подход для операторов relay был прост: укрепить сервер, максимально ограничить доступ, зашифровать всё, что можно, и надеяться, что к машине никогда не прикоснутся. Tor Project продвигает более жёсткую и в то же время более чистую идею: перестать относиться к машине как к объекту, который нужно защищать вечно, и начать относиться к ней как к системе, которая должна забывать всё в тот момент, когда её изымают.

В этом и состоит суть новой дискуссии о stateless, diskless Tor relay. Проблема реальна и неприятна. Если relay физически изъяли, обыскали, конфисковали или незаметно получили доступ к железу, сам сервер превращается в улику. Любой постоянный артефакт на диске становится частью поверхности атаки: конфиги, ключи, логи, следы административной активности, остатки от обновлений и всё остальное, что операторы рассчитывали оставить незаметно погребённым.

Предлагаемый Tor сдвиг — это не просто очередной checklist по hardening. Это смена мышления. Вместо вопроса «как сделать этот relay безопаснее, если кто-то получит доступ к машине?» лучше задавать другой: «как сделать машину бесполезной после того, как кто-то получит к ней доступ?»

Реальная модель угроз: сервер сам становится источником утечки#

Многие рекомендации по безопасности до сих пор исходят из того, что компрометация происходит удалённо. Обновляйте kernel. Ограничивайте SSH. Используйте сильные ключи. Сводите число сервисов к минимуму. Хорошие советы, но недостаточные. Физический доступ меняет правила игры.

Когда у противника оказывается сама машина, постоянное хранение данных на диске становится уязвимостью. Даже если relay никогда не обрабатывал пользовательский трафик напрямую в идентифицирующей форме, хост всё равно может раскрыть важные операционные детали:

  • identity-материалы relay и конфигурацию сервиса
  • привычки администратора, историю обслуживания и методы деплоя
  • локальные логи или crash-артефакты, оставленные ОС или инструментами
  • секреты, которые должны были быть ротированы, но не были
  • следы, полезные для картирования инфраструктуры оператора

Именно поэтому stateless-модель так важна. Она не обещает неуязвимость. Она сужает объём того, что может раскрыть изъятие, просто уменьшая количество данных, которые вообще существуют на постоянном носителе.

Вот главный принцип: не просто укрепляйте relay — заставьте relay забывать.

Что на практике означает stateless, diskless#

Если говорить простыми словами, stateless relay должен загружаться из verified image, работать с минимально возможным объёмом локального записываемого хранилища и не держать операционное состояние на диске. Если машина потеряет питание или её изымут, на железе останется гораздо меньше данных, которые следователи или злоумышленники смогут потом снять с диска.

Сама идея давно знакома по другим средам с повышенными требованиями к безопасности. Ephemeral-системы — не новость. Но в контексте Tor это особенно интересно из-за операционной мотивации: операторы relay сталкиваются с юридическим давлением, враждебной хостинговой средой и постоянным риском того, что к серверу можно получить физический доступ без предупреждения.

Diskless или почти diskless-дизайн обычно подразумевает несколько свойств:

Verified boot path#

Relay запускается из image, который оператор может проверить и воспроизвести. Это важно, потому что если базовая система должна быть одноразовой, нужно быть уверенным, что каждая загрузка начинается с заведомо доверенного состояния, а не с мутации, оставшейся после предыдущего runtime.

Minimal persistence#

Цель не в том, чтобы хранить меньше данных просто ради порядка. Цель — сократить forensic-след. Чем меньше локального состояния, тем меньше breadcrumbs для любого, кто будет анализировать сервер после изъятия.

Runtime state in memory#

Если система держит всё необходимое в RAM, значительная часть этих данных исчезает при выключении или потере питания. В этом и состоит тактическое преимущество. Постоянное хранение становится осознанным выбором, жёстко контролируется и в идеале выносится наружу.

Recovery by redeployment, not repair#

Когда relay работает как stateless-система, реакция на компрометацию становится проще. Вместо попыток понять, что именно сохранилось на диске, оператор может заменить узел доверенным image и заново поднять только минимально необходимые identity и config.

В этом и состоит более крупный стратегический ход: безопасность достигается за счёт уменьшения памяти машины, а не за счёт притворства, будто до неё никто никогда не дотронется.

Почему это особенно важно именно для операторов Tor relay#

Tor relay находятся в непростом положении. Это публично доступная инфраструктура внутри политически чувствительной сети. Даже добросовестные операторы могут сталкиваться с жалобами на abuse, проблемами с хостингом, вниманием со стороны правоохранителей или внезапным физическим вмешательством со стороны персонала дата-центра и подрядчиков. В такой среде постоянное хранение данных на диске — это не просто техническое удобство. Это множитель риска.

Обычный сервер со временем накапливает операционную историю. За месяцы он превращается в дневник, который ведут ОС, package manager, административные инструменты и собственные привычки оператора. Этот дневник может и не раскрыть тот кошмарный сценарий, который люди обычно себе представляют, но это и не обязательно. Любой дополнительный контекст всё равно может быть полезен противнику.

Stateless-дизайн бьёт по этой проблеме в корень.

Вместо того чтобы потом полагаться на идеальную очистку, он уменьшает объём того, что вообще записывается локально. Вместо ставки на то, что каждая настройка логов, каждый временный файл и каждый административный след будут безупречно контролироваться, модель просто старается не создавать лишних артефактов.

Что это меняет в практике#

Подход не означает, что relay внезапно становится магически безопасным. Он не отменяет hardening, контроль доступа, обновления, мониторинг и аккуратную работу с ключами. Но он меняет базовую архитектурную цель.

Хорошо защищённый stateful-сервер по-прежнему хранит историю. Хорошо построенный stateless-relay стремится к тому, чтобы этой истории было как можно меньше.

Для Tor это важный сдвиг, потому что он лучше соответствует реальности. Операторы не могут полностью контролировать физическую судьбу хоста. Зато они могут сократить ценность того, что останется на машине после потери контроля.

Главное#

Идея Tor проста: если сервер могут изъять, нужно думать не только о защите во время работы, но и о том, что он сможет выдать после захвата. Stateless и diskless relay уменьшают объём постоянных данных, а значит, и объём потенциальных улик. Это не серебряная пуля, но очень практичный способ снизить последствия худшего сценария.