安全可靠的匿名文件分享工具：OnionShare

OnionShare 是一個可以為我們提供，安全可靠的匿名文件分享的工具。通過它我們可以以匿名的方式，來共享我們任何大小的文件。它通過啟動一個 Web 伺服器，使其作為 Tor 洋蔥服務進行訪問，並且生成一個不可預測的 URL 訪問，來提供文件的下載。

它不需要在互聯網上設置伺服器，或使用第三方的文件共享服務。您只需要在自己的計算機上託管文件，並使用 Tor 洋蔥服務，建立一個互聯網的臨時訪問 URL 。其他用戶只需使用 Tor 瀏覽器連接到該臨時訪問，便可下載到你的共享文件了。

特點：

1.友好的用戶圖形拖放界面，並適用於 Windows，Mac OS X 和 Linux 系統。
2.能夠一次性共享多個文件和文件夾。
3.支持多人同時下載文件。
4.自動將臨時訪問 URL 複製到剪貼板。
5.顯示文件傳輸的進度。
6.當文件完成傳輸後，OnionShare 會自動關閉，以減少被攻擊面。
7.支持多種本地化語言，並支持國際通用 unicode 編碼文件名。

「如果你使用像 Dropbox 或 Mega 或 任何其它文件共享服務，你首先必須要建立在信任它們的基礎上，才能使用它們。但不幸的是，它們往往會落到執法者手中，並成為有力的證據 。而 OnionShare 則允許您繞過所有第三方，並利用 Tor 網路讓你在完全匿名的環境下，安全的將你的文件共享給其他用戶。」——

Micah Lee

當用戶想要發送文件時，OnionShare 程序會在 Tor 網路上，創建受密碼保護的臨時站點 —— 所謂的 Tor 匿名服務 —— 在其計算機上運行。他們向收件人提供該站點的 URL 地址及連接密碼。（這裡最好使用那些通過 PGP 或 Off-The-Record 加密的即時通訊郵件。）收件人只需在 Tor 瀏覽器中，訪問該臨時 URL，就可下載到他人所共享的文件。

一旦其他用戶成功下載完你的共享文件，你就可以取消該 web 服務，使鏈接永久失效。這樣任何其他人，都將無法再訪問該文件！

如何使用

在共享你的文件之前，你首先需要在後台，打開你的 Tor 瀏覽器 。這將會提供給你一個 Tor 服務，並提供給 OnionShare 以啟動洋蔥下的服務。

打開 OnionShare 並拖放你要共享的文件和文件夾，然後單擊開始共享按鈕 。它會回顯你一個

.onion

的網址，如

http：//asxmi4q6i7pajg2b.onio/egg-cain

這樣的，並將其複製到剪貼板 。這個 URL 用來下載你共享文件的私密網址。如果您希望多個用戶能夠下載該共享文件，那麼請取消選中「自動關閉」複選框。

將此私密網址，發送給你想要發送文件給他的人。

注意：

如果你發送文件只是一般的普通文件，您可以使用正常的方式發送你的 URL，例如：發送電子郵件，發布到 Facebook 或 Twitter 上等。相反如果你發送的文件比較重要，那麼你就必須要使用更加安全的方式來傳送你的 URL 地址。

接收文件的人不需要 OnionShare。他們只需要在 Tor 瀏覽器，打開你發送給他們的 URL，便能夠下載文件。

命令行下的使用

在

Linux

下，我們只需在 terminal 終端輸入：

onionshare

即可 。

在

Windows

下，只需將

C:Program Files (x86)OnionShare

添加到 PATH 環境變數下，之後在命令行下運行:

onionshare.exe

即可 。

在

Mac OS X

下，我們首先在 terminal 下運行:

ln -s /Applications/OnionShare.app/Contents/MacOS/onionshare /usr/local/bin

這條命令，然後在 terminal 下輸入：

onionshare

即可 。

當發件人想要對收件人保持匿名時，使用 Onionshare 無疑是最佳的選擇。 如果舉報人可以安全地向記者發送 Onionshare URL 和密碼，那麼他們就可能會使用它來泄露一些秘密信息，而不會被曝光身份。例如，維基解密 和 新聞組織 使用匿名泄漏軟體 SecureDrop 來為他們自己提供 Tor 隱藏服務。Onionshare 可以給告密者更有效的保障，幫助他們像那些沒有匿名提交系統的記者發送秘密信息。

OnionShare 保護了什麼

第三方無權訪問正在共享的文件

。 文件直接託管在發件人的計算機上，不會上傳到任何第三方伺服器上 。相反，發件人的計算機則成為了文件共享伺服器。這有別於傳統的文件發送方式（例如：在電子郵件中或使用雲託管服務）則需要信任該服務，才能訪問到共享文件。

網路竊聽者不能窺探到傳輸中的文件

。 因為 Tor onion 服務和 Tor 瀏覽器之間的連接是端到端加密的。因此，當收件人進行文件的下載時，攻擊者不可能截獲到共享文件數據 。如果竊聽者位於發送者端，接收者端，或者是惡意的 Tor 節點。那麼，他們也只能探測到 Tor 的流量而已 。如果竊聽者處在接收者的 Tor 客戶端與發送者的 Tor 服務的交匯節點上，則通訊流量也將會被 Tor 服務密鑰來進行加密傳輸。

發件人和收件人的匿名性由 Tor 提供保護

。 OnionShare 和 Tor 瀏覽器 保護用戶的匿名性。只要發件人使用 OnionShare URL 匿名地與接收者通信。那麼，接收者和竊聽者就不會知道發件人的真實身份。

即使攻擊者枚舉洋蔥服務，共享文件仍然安全

。 目前，已經有針對 Tor 網路的攻擊，可以枚舉出洋蔥服務。 但是即便有人發現了 OnionShare 洋蔥服務的 .onion 地址，如果他們不知道 slug ，那麼他們仍無法下載到共享文件。slug 是從 6800 個詞的列表中，隨機選出 2 個詞生成的，這意味著它存在 6800 ^ 2，約 46 萬種可能性 。而 OnionShare 只允許用戶 20 次的錯誤機會，因此暴力破解的方式將會失效。除此之外 ，OnionShare 伺服器還會使用常量時間字元串比較函數，來檢查請求的 URI。因此，定時攻擊也不能起到很好的攻擊效果。

OnionShare

保護不了什麼

OnionShare URL 的傳送方式可能並不安全

。發件人通過安全的傳輸渠道將 OnionShare URL 發送給接收者 。如果他們採用不安全的發送渠道（例如：通過受攻擊者監控的電子郵件），那麼竊聽者將知道，他們正在使用 OnionShare 來發送文件。此時，如果攻擊者在合法收件人之前獲取到 OnionShare URL，並迅速的使用 Tor 瀏覽器載入。那麼，他們將可以下載你所共享的文件。因此如果是重要的文件共享，請務必使用例如：加密的電子郵件，聊天或語音中來傳送 URL 。

OnionShare URL 的傳送方式可能並不安全

。 雖然 OnionShare 和 Tor 瀏覽器允許匿名發送文件，但是如果發件人也希望保持匿名性，那麼就需要採取一些額外的措施，來發送 OnionShare URL 。例如，可以使用 Tor ，創建一個只能通過 Tor 訪問的匿名電子郵件或聊天帳戶，來共享你的 OnionShare URL 。

創建

OnionShare

首先從 github 上下載它的源碼：

git clone https://github.com/micahflee/onionshare.git

cd onionshare

對基於

.deb

的發行版（如 Debian，Ubuntu，Linux Mint）需要安裝以下依賴包：

sudo apt-get install -y python3-flask python3-stem python3-pyqt5 python-nautilus

我們可以通過以下命令，來分別啟動客戶端或圖形化界面的 OnionShare：

./install/scripts/onionshare

./install/scripts/onionshare-gui

以下是一個 a.deb 的安裝腳本，利用該腳本我們就能更加方便的來安裝 OnionShare 了：

sudo apt-get install -y build-essential fakeroot python3-all python3-stdeb dh-python python-nautilus

./install/build_deb.sh

sudo dpkg -i deb_dist/onionshare_*.deb

注意：

OnionShare 是使用

stdeb

來生成 Debian 軟體包的，而

python3-stdeb

在

Ubuntu 14.04（Trusty）

中不可用。因此，您不能使用

build_install.sh

腳本，在

Ubuntu 14.04 以及更早版本

中，構建 .deb 文件 。

對基於

.rpm

的發行版（如 Red Hat，Fedora，CentOS）：

sudo sudo dnf install -y rpm-build python3-flask python3-stem python3-qt5 nautilus-python

./install/build_rpm.sh

sudo yum install -y dist/onionshare-*.rpm

這裡您可能需要使用

yum

來代替

dnf

。

對於

ArchLinux

：

可以通過

PKGBUILD

來安裝 OnionShare

下載地址及更多詳情，點擊下方「閱讀原文」

*參考來源 n0，FB小編 secist 編譯，轉載請註明來自 FreeBuf（FreeBuf.COM）

請您繼續閱讀更多來自 FreeBuf 的精彩文章: