Tor洋葱服务完整生态指南：.onion网站的世界

新闻媒体：

• 纽约时报：nytimesn7cgmftshazwhfgzm37qxb44r64ytbb2dj3x62d2lnez7prd.onion
• BBC：bbcnewsd73hkzno2ini43t4gblxvycyac5aw4gnv7t2rccijh7745uqd.onion
• 卫报：guardian.torproject.org（通过SecureDrop接受爆料）
• DW（德国之声）：维护中文服务的.onion镜像

隐私服务：

• ProtonMail：protonmailrmez3lotccipshtkleegetolb73fuirgj7r4o4vfu7ozyd.onion
• Tor Project官网：2gzyxa5ihm7nsggfxnu52rck2vv4rvmdlkiu3zzui5du4xyclen53wid.onion
• Facebook：facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion（在Facebook被封国家有用）

技术资源：

• Debian软件包：下载时可通过.onion地址获得更高安全性
• The Intercept SecureDrop：为举报人提供匿名提交渠道

暗网钓鱼是常见攻击手段，假冒.onion地址与真实地址的外观可能只差几个字符。验证方法：

1. 从官方渠道获取：在机构的明网官网（如nytimes.com，通过普通HTTPS访问）查找.onion地址。许多机构会在官网明确公布其.onion地址。
2. SecureDrop目录：freedom.press/directory 维护了数十家媒体机构的SecureDrop（.onion）地址，经过验证。
3. 多源交叉验证：在多个可信来源（Tor Project文档、媒体机构官网、知名安全研究者的文章）看到相同地址才使用。
4. 不从论坛获取：Telegram群组、Reddit帖子、暗网论坛中的.onion地址无法验证来源，可能是钓鱼。

.onion不等于「非法」。合法的商业用途包括：

• 企业内部通讯：公司可以运行内部.onion服务（企业维基、代码仓库、内部邮件），员工通过Tor访问，攻击者无法从公网扫描发现服务。
• 产品分发：向敏感地区的用户分发软件（如隐私工具）时，.onion分发渠道比普通CDN更难被封锁。
• 举报系统：提供匿名举报渠道（内部腐败、工作场所安全问题），通过.onion保护举报人身份。
• 内容镜像：在严格审查地区，将正常网站内容镜像为.onion版本，使其在任何地方都可访问。

AnubizHost的Tor托管服务专门支持上述合法用途，提供预配置的Tor隐藏服务环境，无KYC，支持加密货币支付。

2021年Tor正式弃用v2地址，全面迁移至v3。v3的安全改进：

• 更强的密码学：使用Ed25519密钥（比RSA-1024强得多），SHA3-256哈希。
• 更长的地址：56字符的v3地址包含完整的公钥信息，无需依赖目录服务验证。任何试图生成相同地址的攻击者需要破解Ed25519，目前计算上不可行。
• 防止目录服务攻击：v2依赖Tor目录服务验证地址所有权，理论上存在攻击面。v3地址本身就包含公钥，验证不需要第三方。
• 隐私改进：v3的描述符（服务器注册信息）加密存储，只有知道.onion地址的人才能找到对应的引入点，防止地址枚举。