Tor тестирует «без диска» реле, чтобы нечего было изымать

Проект Tor начал эксперимент с stateless-реле, которые работают только в RAM и ничего не сохраняют на диске. Идея простая: если сервер изымут и перезагрузят, на нём не останется ни логов, ни ключей, ни других артефактов, за которые можно зацепиться.

Эта инициатива появилась на фоне того, что правоохранители регулярно нацеливаются на Tor-реле, которые часто держат волонтёры. Для оператора это прямой риск: физический доступ к железу превращает обычный дисковый сервер в потенциальную улику.

Зачем Tor понадобились «самоочищающиеся» реле

Osservatorio Nessuno, итальянская некоммерческая организация в сфере цифровых прав и оператор exit-реле, описала проблему в гостевом посте в блоге Tor Project. По их словам, операторы сталкиваются с «изъятиями, рейдами и прямым физическим доступом к оборудованию».

Организация привела примеры прошлых изъятий серверов в Австрии, Германии, США и России. Логика тут без пафоса: когда у тебя забирают железо, любая информация на диске становится риском. А доверие к сети Tor держится на том, что отдельный узел не может «собрать картину» того, кто с кем общается.

У stateless-подхода другой принцип. Реле не хранит данные между перезагрузками. Значит, даже при клонировании или изъятии анализировать просто нечего.

Почему «RAM-only» для Tor сложнее, чем для коммерческих сервисов

Запуск «без диска» сам по себе не новая идея. Коммерческие сервисы приватности уже давно используют RAM-only инфраструктуру, чтобы подкреплять заявления о нулевых логах физикой, а не обещаниями. Но у Tor есть особенность, которая ломает простые рецепты.

Сеть Tor во многом опирается на репутацию реле. Чем дольше узел стабильно работает, тем больше доверия он получает и тем чаще его выбирают. Это влияет и на скорость, и на надёжность маршрутов.

Проблема в том, что эта репутация привязана к долгоживущим криптографическим идентификационным ключам, которые обычно лежат на сервере. Если реле работает только в RAM и перезагружается, оно теряет ключи. После старта оно становится «новым» узлом и начинает репутацию с нуля.

TPM как компромисс: ключи живут, но не извлекаются

Чтобы не убить репутационную модель, исследователи обсуждают аппаратные обходные пути. Один из вариантов — хранить ключи идентичности в TPM (Trusted Platform Module), то есть в защищённом чипе.

Идея в том, чтобы «привязать» ключ к состоянию конкретной системы. Тогда идентичность реле переживёт перезагрузку, но сам ключ не получится просто так вытащить даже при физическом доступе к серверу.

Tor Project подчёркивает, что работа идёт в экспериментальном режиме. Тему начали активно обсуждать после Tor Community Gathering 2025, а текущая волна оформлена как отдельное исследование и инженерная проработка.

Гостевой пост Osservatorio Nessuno про stateless-реле опубликован в блоге Tor Project 9 апреля 2026: Exploring Stateless Relays.