O Projeto Tor iniciou uma revisão criptográfica crítica de sua rede de anonimato, substituindo seu algoritmo de criptografia de retransmissão legado “tor1” por um novo protocolo apoiado por pesquisa denominado “Counter Galois Onion” (CGO). Anunciada no final de novembro de 2025, esta transição aborda vulnerabilidades estruturais no design original da rede que permitiam que adversários sofisticados potencialmente desanonimizassem os utilizadores através da manipulação do tráfego. O novo sistema é construído em uma construção de “Permutação Pseudo-Aleatória Robusta” (RPRP) conhecida como UIV+, desenvolvida pelos criptógrafos Jean Paul Degabriele, Alessandro Melloni, Jean-Pierre Münch e Martijn Stam.
O principal motivador desta atualização é a eliminação de “ataques de marcação”, um método em que operadores de retransmissão mal-intencionados modificam pacotes criptografados para rastreá-los na rede. O obsoleto algoritmo tor1 dependia da criptografia AES-CTR sem autenticação salto a salto, tornando o tráfego maleável; os invasores poderiam injetar padrões sutis (tags) no fluxo de dados que persistiam através das camadas de descriptografia, marcando efetivamente o tráfego de um usuário. O CGO neutraliza isso implementando criptografia de bloco amplo com encadeamento de tags. Sob esta nova arquitetura, qualquer tentativa de adulteração de um único pacote distorce todo o fluxo subsequente, tornando a modificação imediatamente detectável e tornando o tráfego irrecuperável em vez de rastreável.
Além de impedir ataques ativos, o CGO introduz um rigor criptográfico que estava ausente no design do tor1 da era de 2004. O sistema legado reutilizou as mesmas chaves AES durante toda a duração de um circuito, o que significa que uma chave comprometida poderia expor todos os dados históricos daquela sessão. O CGO impõe “sigilo de encaminhamento imediato”, atualizando chaves de criptografia e nonces após cada célula (pacote), garantindo que uma chave roubada não possa descriptografar o tráfego anterior. Além disso, a atualização retira o obsoleto algoritmo de hash SHA-1 – que oferecia um resumo de autenticação fraco de 4 bytes com uma chance de falsificação de 1 em 4 bilhões – substituindo-o por um autenticador robusto de 16 bytes. O protocolo está atualmente sendo integrado ao cliente Arti baseado em Rust do Tor e à implementação C clássica, embora permaneça em fase experimental sem nenhuma ação necessária do usuário.
