<div dir="ltr">It is verifiable.  In authenticated hidden services, the introduction points are first encrypted and then base64 encoded.  So a simple test is: When base64 decoded, is the MSB bit set on any bytes ?  If yes, then it's probably authenticated, otherwise not.<div><br></div><div>Note, you can use the Tor research framework to fetch any hidden service descriptor, it will even parse the document and pull out the IP text.</div><div><br></div><div>Best</div><div>Gareth</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 10 November 2014 07:42, Andrea Shepard <span dir="ltr"><<a href="mailto:andrea@torproject.org" target="_blank">andrea@torproject.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Sun, Nov 09, 2014 at 09:16:40PM -0500, Griffin Boyce wrote:<br>
> On 2014-11-09 15:30, Fabio Pietrosanti - lists wrote:<br>
> >On 11/9/14 8:58 PM, Jacob Appelbaum wrote:<br>
> >>>For example, it would be interesting if TBB would allow people to<br>
> >>>input a password/pubkey upon visiting a protected HS. Protected HSes<br>
> >>>can be recognized by looking at the "authentication-required"<br>
> >>>field of<br>
> >>>the HS descriptor. Typing your password on the browser is much more<br>
> >>>useable than editing a config file.<br>
> >>That sounds interesting.<br>
> ><br>
> >Also i love this idea but i would suggest to preserve the copy&paste<br>
> >self-authenticated URL property of TorHS, also in presence of<br>
> >authorization.<br>
><br>
>   I'm conflicted about this idea.  Much better for usability ~but~<br>
> there should be an option for authenticated hidden services that<br>
> want to *not* prompt and instead fail silently if the key isn't in<br>
> the torrc (or x.y.onion url, depending on the design).<br>
><br>
>   Use case: if someone finds my hidden service url written in my<br>
> planner while traveling across the border, they might visit it to<br>
> see what it contains. If it offers a prompt, then they know it<br>
> exists and can press me for the auth key (perhaps with an M4<br>
> carbine).  If there's no prompt and the request fails, then perhaps<br>
> it "used to exist" a long time ago, or I wrote down an example URL.<br>
><br>
> best,<br>
> Griffin<br>
<br>
</div></div>I believe it's verifiable whether an authenticated HS exists anyway; you can<br>
get the descriptor, but the list of intro points is encrypted.<br>
<div class="HOEnZb"><div class="h5"><br>
--<br>
Andrea Shepard<br>
<<a href="mailto:andrea@torproject.org">andrea@torproject.org</a>><br>
PGP fingerprint (ECC): BDF5 F867 8A52 4E4A BECF  DE79 A4FF BC34 F01D D536<br>
PGP fingerprint (RSA): 3611 95A4 0740 ED1B 7EA5  DF7E 4191 13D9 D0CF BDA5<br>
</div></div><br>_______________________________________________<br>
tor-dev mailing list<br>
<a href="mailto:tor-dev@lists.torproject.org">tor-dev@lists.torproject.org</a><br>
<a href="https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-dev" target="_blank">https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-dev</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr">Dr Gareth Owen<div>Senior Lecturer</div><div>Forensic Computing Course Leader</div><div>School of Computing, University of Portsmouth</div><div><br></div><div><b>Office:</b> BK1.25 <br></div><div><b>Tel:</b> +44 (0)2392 84 (6423)</div><div><b>Web</b>: <a href="http://ghowen.me" target="_blank">ghowen.me</a></div></div></div>
</div>