En Tor, cuando varios repetidores tienen el mismo operador o los mismos, declararían que son miembros de una «familia».

En el diseño actual de Tor, para configurar los repetidores como miembros de una familia, cada repetidor necesita incluir en su configuración a todos los demás miembros de la familia y también publicar ese listado a los clientes. Estas listas pueden ser desagradables de mantener y caras de descargar.

El diseño Happy Families es una característica nueva de Tor 0.4.9.2-alpha que (eventualmente) proporcionará una forma más sencilla de configurar familias de repetidores, y también ahorrará mucho tráfico cuando los clientes estén obteniendo información del directorio de red.

(Desafortunadamente, mudarse a familias felices generará trabajo adicional mientras dure la transición. Creemos que a la larga valdrá la pena.)

Debería leer esto si es un operador de repetidores que necesita configurar una familia en la red Tor.

La idea básica

En el diseño de Familias Felices, cada familia de repetidor se identifica mediante una clave de firma familiar secreta compartida por todos los miembros de la familia. Los miembros de la familia utilizan esta clave para firmar los certificados que acreditan su pertenencia a la familia.

Por tanto lo que necesitas es:

  1. Genera una sola clave para tu familia.
  2. Copie esa clave en cada repetidor.
  3. Configure sus repetidores para que utilicen esa clave.

En más detalle

Generación de la clave familiar

Primero, necesitará esperar hasta que todos sus repetidores estén ejecutando la versión 0.4.9.2-alpha o posterior.

A continuación, para generar una clave de familia, ejecute:

tor --keygen-family MyKey

Esto creará un archivo llamado MyKey.secret_family_key; también escribirá algo como este resultado en la salida estándar:

# Generated MyKey.secret_family_key
FamilyId wweKJrJxUDs1EdtFFHCDtvVgTKftOC/crUl1mYJv830

Guarde esa línea FamilyID; ¡la vas a necesitar! (No uses el de este ejemplo—ese no es el identificador de tu familia)

Configurar su repetidor

Copia el archivo MyKey.secret_family_key (o como lo hayas llamado) en el KeyDir de cada uno de tus repetidores. (Por defecto, este es el subdirectorio keys de su DataDir.) El nombre del archivo debe terminar con .secret_family_key.

Luego, agrega la línea FamilyId a tu archivo torrc.

Si tu repetidor está funcionando, tendrás que indicarle que recargue su configuración (típicamente con una señal SIGHUP.)

¿Funcionó?

Si lo hiciste correctamente, deberías ver un apunte family-cert en el descriptor de tu repetidor, con un aspecto similar a éste:

family-cert
-----BEGIN FAMILY CERT-----
AQwAB2K5AXJrxBpgTXDIvHKFShmCCD2yLnDaBf2lWaInBhR2R56HAQAgBAAjv69J
jy+7BSRh1GnGF7Zxm+AMXvJYWkUCWY+5KU8Bymkz5N4D/QNs4K6bOjLokAwD4raT
J34t8b7uxHXuFS2F2VN5Ygr3//vGsB00jideQ5Cj9aX+BLSZ2FjC6GK2XAo=
-----END FAMILY CERT-----

Una vez que suficientes autoridades de directorio estén ejecutando la versión 0.4.9.2-alpha o posterior, incluirán un apunte correspondiente en los micro-descriptores de sus repetidores, que tendrá un aspecto similar a éste:

family-ids ed25519:wweKJrJxUDs1EdtFFHCDtvVgTKftOC/crUl1mYJv830

NOTA: ¡Todavía necesitas configurar MyFamily!

Desafortunadamente, aún deberá configurar la opción MyFamily como lo hizo anteriormente: hasta que todos los clientes sean compatibles con Happy Families, deberán consultar los listados familiares heredados.

Vamos a intentar que este periodo transitorio sea lo más breve posible.

Lo anunciaremos cuando ya no sea necesario más incluir MyFamily.

Información adicional: Cómo transferir las llaves familiares

Si uno de tus repetidores se ve comprometido, o si accidentalmente filtras una clave familiar, tendrás que cambiar la clave. (Si no, un repetidor de advertencia pudo falsificar reclamando ser un miembro de su familia.)

Para ello, recomendamos un proceso gradual.

  1. Genere una clave nueva de familia como se indicó anteriormente. Dale un nombre de archivo diferente al de la clave antigua.
  2. Copie la clave de familia nueva en cada uno de sus repetidores, sin reemplazar la clave de familia anterior.
  3. Agregue la línea FamilyID nueva a las configuraciones de todos sus repetidores, sin eliminar la anterior. En este punto, sus repetidores serán miembros todos de dos familias.
  4. Espere unos días, para dar tiempo a que la información familiar nueva se propague.
  5. Elimine las líneas FamilyID antiguas de las configuraciones de sus repetidores. Opcionalmente, elimine también las claves familiares antiguas.

Información adicional: Ahorros previstos desde esta transición

Tenemos previsto eliminar al mismo tiempo MyFamily y las claves TAP de cebolla heredadas. Cuando lo hagamos, estimamos que los microdescriptores de la red resultante serán algo así como el 10% de su tamaño actual.

(Desgraciadamente, puede que no sea un ahorro permanente: cuando pasemos a la criptografía poscuántica, puede que tengamos que volver a agrandar los microdescriptores. Pero al menos este cambio liberará espacio para hacerlo).