<div dir="ltr"><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Am So., 23. Feb. 2020 um 01:55 Uhr schrieb teor <<a href="mailto:teor@riseup.net">teor@riseup.net</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto"><div dir="ltr"><div dir="ltr">Hi,</div><div id="gmail-m_-3758171130345245211AppleMailSignature" dir="ltr"><br></div><div id="gmail-m_-3758171130345245211AppleMailSignature" dir="ltr">I've gone a few emails back up the thread, because the risk</div><div id="gmail-m_-3758171130345245211AppleMailSignature" dir="ltr">analysis is missing some really important factors.</div><div id="gmail-m_-3758171130345245211AppleMailSignature" dir="ltr"><br></div><div id="gmail-m_-3758171130345245211AppleMailSignature" dir="ltr">And just some reminders:</div><div id="gmail-m_-3758171130345245211AppleMailSignature" dir="ltr"><br></div><div id="gmail-m_-3758171130345245211AppleMailSignature" dir="ltr">Some users depend on the tor network for their safety.</div><div id="gmail-m_-3758171130345245211AppleMailSignature" dir="ltr"><br></div><div id="gmail-m_-3758171130345245211AppleMailSignature" dir="ltr">Relay operators take some risks, but we do our best to</div><div id="gmail-m_-3758171130345245211AppleMailSignature" dir="ltr">reduce those risks.</div><div id="gmail-m_-3758171130345245211AppleMailSignature" dir="ltr"><br></div><div id="gmail-m_-3758171130345245211AppleMailSignature" dir="ltr">MyFamily is about user and operator safety. We pay more</div><div id="gmail-m_-3758171130345245211AppleMailSignature" dir="ltr">attention to arguments based on safety. </div><div id="gmail-m_-3758171130345245211AppleMailSignature" dir="ltr"></div><div dir="ltr"><br><blockquote type="cite">On 22 Feb 2020, at 23:02, Michael Gerstacker <<a href="mailto:michael.gerstacker@googlemail.com" target="_blank">michael.gerstacker@googlemail.com</a>> wrote:<br><br></blockquote></div><blockquote type="cite"><div dir="ltr"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">> So for what reason do i set the MyFamily option beside making a Hidden<br>
> Service Guard discovery attack more easy?<br><br>
- risk reduction for tor users<br>
MyFamily declarations allow the tor client software to automatically detect relay families when creating circuits to<br>
avoid using multiple relays from the same operator in a single circuit.<br></blockquote><div><br></div><div>This should not matter if the operator is not malicious and like i already said an malicious operator will not use the same contact info or relay name.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
- reducing the risk for tor users that might become victims if some operator gets compromized (with all its relays)<br></blockquote><div><br></div><div>This is a reason i can understand.</div><div>Not sure how much that would really help in practice but i can understand it.</div></div></blockquote><div dir="ltr"><br></div><div dir="ltr">In practice, relay operators become targets for compromise</div><div dir="ltr">when they don't set MyFamily. Because those relays can be</div><div dir="ltr">used to attack a Tor users.</div><div dir="ltr"><br></div><div dir="ltr">If relay operators correctly set MyFamily, then an attacker</div><div dir="ltr">needs to compromise multiple operators to see a single</div><div dir="ltr">user's traffic.</div><div dir="ltr"><br></div><div dir="ltr">In this case, it doesn't matter if the operator is malicious.</div></div></div></blockquote><div><br></div><div>Understood.</div><div>So for example if someone compromise multiple of my relays without me noticing it and installs software on them (or the providers network) to do a traffic correlations attack i am a less interesting target when i have set MyFamily.<br></div><div>Another benefit of a proper MyFamily setting in this case would be that he first would need to remove the MyFamily to see any interesting traffic which i would most likely realize faster than without a proper MyFamily setting.</div><div><br></div><div>This is indeed something what makes me very uncomfortable because it would be my fault if someones privacy would get affected by this.<br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto"><div dir="ltr"><br><blockquote type="cite"><div dir="ltr"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
- transparency<br>
Every relay operator should declare their relay group to allow everybody to measure their network fraction (Sybil detection).<br></blockquote><div><br></div><div>Should...</div><div>But i understand this one too.<br></div><div>But as long as my family is still a small one with only one exit compared to others i am not a Sybil attack risk and even if i would would i get any special treatment then?</div></div></blockquote><div dir="ltr"><br></div><div dir="ltr">It doesn't matter how small your relays are. Some clients</div><div dir="ltr">will choose your relays as guards. You're putting those</div><div dir="ltr">users in danger.</div></div></div></blockquote><div><br></div><div>I understand this one as related to the first one.</div><div> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto"><div dir="ltr"><div dir="ltr"><br></div><blockquote type="cite"><div dir="ltr"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">- risk reduction for relay operators<br>
MyFamily also provides risk reduction for operators since they are less valuable as an attack target<br>
if they can not technically be used for e2e correlation attacks<br></blockquote><div><br></div><div>I think this is similar to your first point but i think that should be the operators choice if he want to take steps against this case.</div></div></blockquote><br></div><div dir="ltr">There's also a network effect here. If almost all operators</div><div dir="ltr">set MyFamily, then the Tor Network becomes a less</div><div dir="ltr">valuable target for attacks. So attackers use other</div><div dir="ltr">methods, like attacking Tor Browser, or offline attacks.</div><div dir="ltr"><br></div><div dir="ltr">But if a lot of operators don't set MyFamily, then attackers</div><div dir="ltr">develop tools and techniques to attack the network. Then</div><div dir="ltr">they can repeat these attacks easily whenever they get a</div><div dir="ltr">new target. I guess you could call that a market effect.</div></div></blockquote><div><br></div><div>Understood.</div><div> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto"><div dir="ltr"><br></div><div dir="ltr">So if you're not going to set MyFamily for yourself, do it for</div><div dir="ltr">Tor users, and do it for Luther relay operators.</div></div></blockquote><div><br></div><div>Will try to do it tomorrow.</div><div> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto"><div dir="ltr"><br></div><div dir="ltr">We prioritise the safety of users and relay operators here.</div><div dir="ltr"><br></div><div dir="ltr">T</div></div>_______________________________________________<br>
tor-relays mailing list<br>
<a href="mailto:tor-relays@lists.torproject.org" target="_blank">tor-relays@lists.torproject.org</a><br>
<a href="https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays" rel="noreferrer" target="_blank">https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays</a><br>
</blockquote></div></div>