Смешанная сеть

Смешанные сети ^[1] — это протоколы маршрутизации , которые создают трудноотслеживаемые коммуникации с помощью цепочки прокси-серверов, известных как миксы ^[2] , которые принимают сообщения от нескольких отправителей, перемешивают их и отправляют обратно в случайном порядке следующему получателю (возможно, другому узлу микса). Это разрывает связь между источником запроса и местом назначения, что затрудняет для подслушивающих отслеживание сквозных коммуникаций. Кроме того, миксы знают только узел, с которого они немедленно получили сообщение, и непосредственный пункт назначения для отправки перемешанных сообщений, что делает сеть устойчивой к вредоносным узлам микса. ^[3]^[4]

Каждое сообщение шифруется для каждого прокси-сервера с использованием криптографии с открытым ключом ; полученное шифрование является многослойным, как русская матрешка (за исключением того, что каждая «кукла» имеет одинаковый размер), с сообщением в качестве самого внутреннего слоя. Каждый прокси-сервер снимает свой собственный слой шифрования, чтобы показать, куда отправить сообщение дальше. Если все, кроме одного, прокси-серверы скомпрометированы трассировщиком, невозможность отслеживания все равно может быть достигнута против некоторых более слабых противников.

Концепция смешанных сетей была впервые описана Дэвидом Чаумом в 1981 году. ^[5] Приложения, основанные на этой концепции, включают анонимные ремейлеры (такие как Mixmaster ), луковую маршрутизацию , чесночную маршрутизацию и маршрутизацию на основе ключей (включая Tor , I2P и Freenet ).

История

Дэвид Чаум опубликовал концепцию Mix Networks в 1979 году в своей статье: «Неотслеживаемая электронная почта, обратные адреса и цифровые псевдонимы». Статья была для его магистерской диссертации, вскоре после того, как он впервые познакомился с областью криптографии через работу по криптографии с открытым ключом , Мартина Хеллмана , Уитфилда Диффи и Ральфа Меркла . В то время как криптография с открытым ключом шифровала безопасность информации, Чаум считал, что в метаданных, обнаруженных в сообщениях, есть уязвимости личной конфиденциальности. Некоторые уязвимости, которые позволяли скомпрометировать личную конфиденциальность, включали время отправленных и полученных сообщений, размер сообщений и адрес первоначального отправителя. ^[2] Он цитирует статью Мартина Хеллмана и Уитфилда «Новые направления в криптографии» (1976) в своей работе.

Движение шифропанк (1990-е)

Такие новаторы, как Ян Голдберг и Адам Бэк, внесли огромный вклад в технологию смешанных сетей. В эту эпоху произошли значительные успехи в криптографических методах, которые были важны для практической реализации смешанных сетей. Смешанные сети начали привлекать внимание в академических кругах, что привело к большему количеству исследований по улучшению их эффективности и безопасности. Однако широкое практическое применение все еще было ограничено, и смешанные сети оставались в основном на экспериментальных стадиях. Было разработано программное обеспечение «шифропанк-ремейлер», чтобы упростить отправку анонимных писем с использованием смешанных сетей. ^[6]

2000-е: Растущее практическое применение

В 2000-х годах растущая обеспокоенность по поводу конфиденциальности в Интернете подчеркнула значимость смешанных сетей (микснетов). Эта эпоха была отмечена появлением Tor (The Onion Router) примерно в середине 2000-х годов. Хотя Tor не был прямой реализацией микснета, он во многом опирался на основополагающие идеи Дэвида Чаума, в частности, используя форму луковой маршрутизации, родственную концепциям микснетов. В этот период также появились другие системы, которые в разной степени включали принципы микснетов, все из которых были направлены на улучшение безопасной и анонимной коммуникации.

2010-е: Модернизация

В 2010-х годах произошел значительный сдвиг в сторону создания более масштабируемых и эффективных смешанных сетей. Это изменение было обусловлено внедрением новых протоколов и алгоритмов, которые помогли преодолеть некоторые из основных проблем, которые ранее препятствовали широкому развертыванию смешанных сетей. Актуальность смешанных сетей резко возросла, особенно после 2013 года, после разоблачений Эдварда Сноудена о масштабных программах глобальной слежки. В этот период вновь обратили внимание на смешанные сети как на жизненно важные инструменты для защиты конфиденциальности.

Предстоящее появление квантовых вычислений окажет большое влияние на микснеты. ^{[ требуется цитата ]} С одной стороны, это приносит новые проблемы, поскольку квантовые компьютеры очень мощные и могут сломать некоторые из текущих методов безопасности, используемых в микснетах. С другой стороны, это также дает возможности сделать микснеты лучше и сильнее. В связи с этим очень важно разрабатывать новые методы безопасности, которые могут противостоять квантовым вычислениям. Это поможет гарантировать, что микснеты смогут продолжать предлагать надежную конфиденциальность и безопасность, даже если технологии изменятся и разрастутся.

Как это работает

Участник A подготавливает сообщение для доставки участнику B , добавляя случайное значение R к сообщению, запечатывая его открытым ключом адресата , добавляя адрес B, а затем запечатывая результат открытым ключом микса . M открывает его своим закрытым ключом, теперь он знает адрес B, и отправляет B. $K_{b}$ $K_{m}$ $K_{b}(message,R)$

Формат сообщения

$K_{m}(R1,K_{b}(R0,message),B)\longrightarrow (K_{b}(R0,message),B)$

Для этого отправитель берет открытый ключ микса ( ) и использует его для шифрования конверта, содержащего случайную строку ( ), вложенный конверт, адресованный получателю, и адрес электронной почты получателя ( B ). Этот вложенный конверт шифруется открытым ключом получателя ( ) и содержит еще одну случайную строку ( R0 ), а также тело отправляемого сообщения. Получив зашифрованный конверт верхнего уровня, микс использует свой секретный ключ, чтобы открыть его. Внутри он находит адрес получателя ( B ) и зашифрованное сообщение, направленное для B . Случайная строка ( ) отбрасывается. $K_{m}$ $R1$ $K_{b}$ $R1$

$R0$ необходимо в сообщении, чтобы помешать злоумышленнику угадывать сообщения. Предполагается, что злоумышленник может наблюдать все входящие и исходящие сообщения. Если случайная строка не используется (т. е. отправляется только в ), и у злоумышленника есть хорошее предположение, что сообщение было отправлено, он может проверить, удерживается ли , тем самым он может узнать содержимое сообщения. Добавляя случайную строку, злоумышленник не может выполнить этот тип атаки; даже если он угадает правильное сообщение (т. е. является истинным), он не узнает, прав ли он, поскольку он не знает секретного значения . Практически, действует как соль . $(K_{b}(message))$ $B$ $message'$ $K_{b}(message')=K_{b}(message)$ $R0$ $message'=message$ $R0$ $R0$

Обратные адреса

Теперь необходимо найти способ, с помощью которого B сможет ответить A , сохранив при этом в тайне личность A от B.

Решение состоит в том, чтобы A сформировал неотслеживаемый обратный адрес , где — его собственный реальный адрес, — публичный одноразовый ключ, выбранный только для текущего случая, и — ключ, который также будет действовать как случайная строка для целей запечатывания. Затем A может отправить этот обратный адрес B как часть сообщения, отправленного с помощью уже описанных методов. $K_{m}(S1,A),K_{x}$ $A$ $K_{x}$ $S1$

B отправляет M, а M преобразует его в . $K_{m}(S1,A),K_{x}(S0,response)$ $A,S1(K_{x}(S0,response))$

Этот микс использует строку битов , которую он находит после расшифровки части адреса , как ключ для повторного шифрования части сообщения . Только адресат, A , может расшифровать полученный вывод, поскольку A создал и . Дополнительный ключ гарантирует, что микс не сможет увидеть содержимое ответного сообщения. $S1$ $K_{m}(S1,A)$ $K_{x}(S0,response)$ $S1$ $K_{x}$ $K_{x}$

Ниже показано, как B использует этот неотслеживаемый обратный адрес для формирования ответа A с помощью нового вида микса:

Сообщение от А Б : $\longrightarrow$

$K_{m}(R1,K_{b}(R0,message,K_{m}(S1,A),K_{x}),B)\longrightarrow K_{b}(R0,message,K_{m}(S1,A),K_{x})$

Ответное сообщение от B A : $\longrightarrow$

$K_{m}(S1,A),K_{x}(S0,response)\longrightarrow A,S1(K_{x}(S0,response))$

Где: = открытый ключ B, = открытый ключ микса. $K_{b}$ $K_{m}$

Пункт назначения может ответить источнику, не жертвуя анонимностью источника. Ответное сообщение разделяет все преимущества производительности и безопасности с анонимными сообщениями от источника к пункту назначения.

Уязвимости

Хотя смешанные сети обеспечивают безопасность, даже если противник может просматривать весь путь, смешивание не является абсолютно идеальным. Злоумышленники могут проводить долгосрочные корреляционные атаки и отслеживать отправителя и получателя пакетов. ^[7]

Модель угрозы

Злоумышленник может выполнить пассивную атаку, отслеживая трафик в смешанную сеть и из нее. Анализ времени прибытия между несколькими пакетами может раскрыть информацию. Поскольку никакие изменения активно не вносятся в пакеты, такую атаку трудно обнаружить. В худшем случае атаки мы предполагаем, что все связи сети наблюдаются злоумышленником, а стратегии и инфраструктура смешанной сети известны. ^[2]

Пакет на входном канале не может быть соотнесен с пакетом на выходном канале на основе информации о времени получения пакета, размере пакета или содержимом пакета. Корреляция пакетов на основе времени пакета предотвращается пакетированием, а корреляция на основе содержимого и размера пакета предотвращается шифрованием и заполнением пакетов соответственно.

Межпакетные интервалы, то есть разница во времени между наблюдением двух последовательных пакетов на двух сетевых соединениях, используются для вывода о том, несут ли соединения одно и то же соединение. Шифрование и заполнение не влияют на межпакетный интервал, связанный с одним и тем же потоком IP. Последовательности межпакетного интервала сильно различаются между соединениями, например, при просмотре веб-страниц трафик происходит всплесками. Этот факт можно использовать для идентификации соединения.

Активная атака

Активные атаки могут быть выполнены путем внедрения всплесков пакетов, содержащих уникальные временные сигнатуры, в целевой поток. Атакующий может выполнить атаки, чтобы попытаться идентифицировать эти пакеты на других сетевых соединениях. Атакующий может не иметь возможности создавать новые пакеты из-за необходимого знания симметричных ключей на всех последующих миксах. Повторные пакеты также не могут быть использованы, поскольку их легко предотвратить с помощью хеширования и кэширования. ^[2]

Искусственный разрыв

Большие пробелы могут быть созданы в целевом потоке, если злоумышленник отбрасывает большие объемы последовательных пакетов в потоке. Например, запускается симуляция отправки 3000 пакетов в целевой поток, где злоумышленник отбрасывает пакеты через 1 секунду после начала потока. По мере увеличения количества последовательных отброшенных пакетов эффективность защитного отбрасывания значительно снижается. Введение большого пробела почти всегда создаст узнаваемую особенность.

Искусственные всплески

Атакующий может создавать искусственные всплески. Это делается путем создания сигнатуры из искусственных пакетов путем удержания их на линии в течение определенного периода времени, а затем их освобождения всех сразу. Защитное отбрасывание не обеспечивает защиты в этом сценарии, и атакующий может идентифицировать целевой поток. Существуют другие меры защиты, которые можно предпринять для предотвращения этой атаки. Одним из таких решений могут быть адаптивные алгоритмы заполнения. Чем больше задерживаются пакеты, тем легче идентифицировать поведение и, таким образом, можно наблюдать лучшую защиту.

Другие атаки анализа времени

Атакующий может также рассмотреть другие атаки по времени, отличные от межпакетных интервалов. Атакующий может активно изменять потоки пакетов, чтобы наблюдать изменения, вызванные в поведении сети. Пакеты могут быть повреждены, чтобы заставить повторную передачу пакетов TCP, поведение которых легко наблюдать, чтобы раскрыть информацию. ^[8]

Атака спящего

Предположим, что противник может видеть сообщения, отправляемые и получаемые в пороговых миксах, но он не может видеть внутреннюю работу этих миксов или то, что отправляется тем же самым. Если противник оставил свои собственные сообщения в соответствующих миксах и он получает один из двух, он может определить отправленное сообщение и соответствующего отправителя. Противник должен поместить свои сообщения (активный компонент) в микс в любой момент времени, и сообщения должны оставаться там до отправки сообщения. Это, как правило, не активная атака. Более слабые противники могут использовать эту атаку в сочетании с другими атаками, чтобы вызвать больше проблем.

Сети миксов обеспечивают безопасность, изменяя порядок сообщений, которые они получают, чтобы избежать создания значительной связи между входящими и исходящими сообщениями. Миксы создают помехи между сообщениями. Помехи накладывают ограничения на скорость утечки информации для наблюдателя микса. В миксе размера n противник, наблюдающий вход и выход из микса, имеет неопределенность порядка n при определении соответствия. Атака спящих может воспользоваться этим. В многоуровневой сети пороговых миксов со спящим в каждом миксе есть слой, получающий входные данные от отправителей, и второй слой миксов, которые пересылают сообщения конечному получателю. Из этого злоумышленник может узнать, что полученное сообщение не могло прийти от отправителя в любой микс слоя 1, который не сработал. Существует более высокая вероятность сопоставления отправленных и полученных сообщений с этими спящими, поэтому общение не является полностью анонимным. Миксы также могут быть чисто временными: они рандомизируют порядок сообщений, полученных в определенном интервале, и прикрепляют некоторые из них к миксам, пересылая их в конце интервала, несмотря на то, что было получено в этом интервале. Сообщения, доступные для смешивания, будут мешать, но если доступных сообщений нет, то помех для полученных сообщений не будет. ^[9]

Ссылки

^ Также известны как «цифровые миксы».
^ abcd Sampigethaya, Krishna; Poovendran, Radha (декабрь 2006 г.). «Обзор смешанных сетей и их безопасных приложений». Труды IEEE . 94 (12): 2142–2181. doi :10.1109/JPROC.2006.889687. ISSN 1558-2256. S2CID 207019876.
^ Клаудио А. Арданья и др. (2009). «Сохранение конфиденциальности в ненадежных мобильных сетях». В Беттини, Клаудио и др. (ред.). Конфиденциальность в приложениях, основанных на местоположении: исследовательские проблемы и возникающие тенденции . Springer. стр. 88. ISBN 9783642035111.
^ Данезис, Джордж (2003-12-03). "Смешанные сети с ограниченными маршрутами". В Дингледине, Роджер (ред.). Технологии повышения конфиденциальности: Третий международный семинар, PET 2003, Дрезден, Германия, 26–28 марта 2003 г., пересмотренные документы . Том 3. Springer. ISBN 9783540206101.
^ Чаум, Дэвид Л. (1981). «Неотслеживаемая электронная почта, обратные адреса и цифровые псевдонимы». Сообщения ACM . 24 (2): 84–90. doi : 10.1145/358549.358563 . S2CID 30340230.
^ Мазьер, Дэвид. «Проектирование, реализация и эксплуатация сервера псевдонимов электронной почты» (PDF) .
^ Том Риттер, «различия между луковой маршрутизацией и смешанными сетями», ritter.vg Получено 8 декабря 2016 г.
^ Шматиков, Виталий; Ван, Мин-Сю (2006). «Анализ синхронизации в сетях смешанного типа с низкой задержкой: атаки и защита». Computer Security – ESORICS 2006. Lecture Notes in Computer Science. Vol. 4189. pp. 18–33. CiteSeerX 10.1.1.64.8818 . doi :10.1007/11863908_2. ISBN 978-3-540-44601-9.
↑ Пол Сайверсон, «Спящие собаки лежат на подстилке из лука, но просыпаются, если их перемешать», Симпозиум по технологиям улучшения конфиденциальности. Получено 8 декабря 2016 г.