Сеть с защитой от глобального наблюдателя

Ну вот хоть какое-то взаимопонимание позиций. У меня крутилась в голове идея — предложить проект плагинов к Tor.
Даже не плагинов (разработчики скорее сразу эту идею зарубят и я на их месте так же бы поступил), а даже не знаю какое модное английское словечко для этой концепции придумать — ну что-то вроде паралелльных сервисов.

Чтобы не пихать в код самого Tora все чудеса анонимизации — римэйлеры, файлообмен, анонимные деньги, гипотетический протокол защиты от глобнаба и прочее, кому что в голову взбредёт и даже плагинами с самим кодом Torа никак не взаимодействовать — чтобы не тащить уязвимости, не делать монстрский проект-комбайн и не выходить за рамки unix-way, нужно от Tora взять только две вещи: псевдодецентрализованную аутентификацию через DA и маскировку трафика под Tor протокол.

То есть для каждого Tor-узла предусмотреть в конфиге поле — дополнительные параллельные сервисы. Клиент скачает и увидит, что такие-то узлы поддерживают не только Tor, но на них запущен к примеру mixminion (или любой другой анонимный протокол) — вот с ним можно и работать другой программой. Трафик должен маскироваться под Tor, а сам Tor сервер должен не разносить паралелльные сервисы по портам, а чтобы затруднить наблюдение выделять нужное при расшифровке пакетов из общего SSL-подобного потока и отдавать на обработку параллельному сервису.

Приоритет — сколько пропускной способности отдать под обычный Tor, сколько под дополнительные сервисы — пусть решают владельцы Tor-узлов Параллельные сервисы — это отдельные программы, которые не будут включаться в код Tor, его разработчиками не будут поддерживаться и должны быть от него максимально изолированными.

Теперь, если хотим добиться какого-то конструктивного результата, пишем коллективным разумом красивый proposal и лоббируем эту идею в roadmap проекта. Это намного проще, чем придумать протокол и шансов на принятие выше. Минусы — просто подкинуть идею разработикам на обсуждение — отвергнут неглядя (некогда им), а красивый и формализованный proposal, на который мы можем убить кучу времени — могут тоже завернуть, но зато хоть обоснованно рассмотрят и покритикуют.

Это не научный подход, а инженерный — для решения одной текущей задачи, часто узконаправленной, временной или оперативной. Чуть более фундаментальные и комплексные вещи так уже не делают, но подход конечно может быть использован на начальном этапе в узком коллективе знающих друг друга людей. Примерно так со слов Шнайера создавался шифр Twofish (только начальный этап разработки).

модное английское словечко

Tor satellite? (а в 50х годах это мог был бы sputnik...)

Возвращаясь к теме топика.

1) Вы хотите ввести задержки? Сеть с полной защитой от глобального наблюдателя должна использовать накопление пулов данных с многочасовыми задержками. Иначе никак. Опровергните специалистов, если сомневаетесь.

2) Хотите ввести полностью покрывающий трафик? Мало того, что это практически нереализуемо и в итоге сеть будет пропускать слишком мало полезных данных, идеального покрывания не получится. Из-за интерактивной природы протоколов всё-равно будут задержки, неравномерности, которые будут выскакивать.

Глобнаб может проводить не только пассивные, но и активные атаки — задержать трафик пользователя, посмотреть где задержится трафик на выходе из сети и получит подтверждение с вероятностью, близкой к 90%, как при обычных активных атаках на пересечение в Tor.

3) Есть протоколы типа "обедающих криптографов", где каждый "подбрасывает монету" в итоге получаем броадкаст, непонятно кем созданный. Но из-за броадкаста пропускная способность такой сети ничтожна, плюс каждый пользователь может анонимно сорвать броадкаст, передавая неверные данные и саботировать работу сети. Улучшенные варианты и аналоги этого протокола есть, но очень сложны и всё равно непрактичны (забавные громоздкие теоретические игрушки со сложной математикой).

А теперь все соберутся в форуме и решат задачу, которую теоретики не могли решить лет тридцать?

Против моего собственного предложения по поводу сателлит-сервисов:

1) К Tor'у придётся прикручивать парсер пакетов — расшифровывать и разбирать какой пакет отправлять в Tor, а какой направить на сателлит-сервис (например будет такое название). Это может дать лишние уязвимости и перегрузку. Разработчики давно против введения дополнительный полей в пакетах. Можно конечно ввести поле только в первом инициализирующем пакете сессии. А другие аутентифицировать от него по упрощённой схеме. Но они отвергали другие предложения с дополнительными полями из-за того, что нарушается число пакетов и объём трафика, проходящий по цепочкам. Поэтому их легче разделять даже неглобальному наблюдателю. Т.е. всё равно придётся корячить протокол Tor под каждый сателлит-сервис.

2) Разрабы Тора продвигали свой проект, а кто-то будет выезжать на готовой популярности? Ну как-бы ничего плохого нет, но возможны разные неприятные коллизии. Допустим, резко станет популярным сервис файлообмена. Многим же нужен музон и кино. И большинство нод переключат квоту трафика на файлообмен, забив на оригинальный Tor и оставив ему 1% трафика, зато пользуясь предоставленной им инфраструктурой аутнтификации.

3) Проблемы репутации. Уязвимость в сателлит-сервисе будет бросать тень на сам проект Tor, хотя они не связаны полностью. В итоге могут создать какой-нибудь левый глючный сателлит-сервис, который станет популярным, а потом пугать — это ваш Tor дырявый. Объяснить рядовому пользователю проблемы этого зоопарка будет сложно.

4) Юридические проблемы. У проекта Tor есть определённая позиция по всем этим проблемам, а если его узлы будут параллельно обслуживать другие сети, то к Torу могут быть требования, например от копирайтеров — отключить файлообмен. Причём могут не разобравшись требовать отключить весь Tor. Хорошо сетям типа Freedom — там всё изолировано от инета, но здесь наоборот.

Скорее всего есть и более серьёзные возражения.

Сеть с полной защитой от глобального наблюдателя должна использовать накопление пулов данных с многочасовыми задержками.

Вполне допускаю. Кому надо полную, пусть ждёт. А кто-то может захотеть просто уменьшить вероятность, особенно если (а вдруг?) незначительные задержки смогут уменьшить её существенно хотя-бы в некоторых ситуациях (которая может оказаться именно ситуацией пользователя – например, ресурс с огромной посещаемостью, на который надо отправить всего лишь несколько сообщений).

Опровергните специалистов, если сомневаетесь.

Опять же, был бы благодарен за ссылки.

Хотите ввести полностью покрывающий трафик? Мало того, что это практически нереализуемо и в итоге сеть будет пропускать слишком мало полезных данных, идеального покрывания не получится.

Вот стремление к идеалу часто приводит к отбрасыванию просто улучшающих, пусть и незначительно, решений. Ну вот почему обязательно "полностью"? Ну да, криптография ещё молода. В устоявшихся же отраслях не брезгуют шевелиться ради улучшения и на доли процента. Кроме того, теория возможна только в некоторой парадигме, которая может оказаться искусственной. Например, учитывалась ли в теории возможность шейпинга траффика? Или если не всем поровну, то и никому?

из-за броадкаста пропускная способность такой сети ничтожна

Что значит "ничтожна"? Если больше скорости набора на клавиатуре – уже хорошо. Ну и см. выше.

А теперь все соберутся в форуме и решат задачу, которую теоретики не могли решить лет тридцать?

Ну, не "догонят", так хоть "согреются" :) Или как, если не можешь играть на чемпионате мира, то лучше лежать и смотреть по телевизору, как это делают другие, думая, что от этого научишься лучше, чем те, что во дворе мяч гоняют?

на который надо отправить всего лишь несколько сообщений

...из огромной локальной сети, в которой админы – твои друзья.

К Tor'у придётся прикручивать парсер пакетов — расшифровывать и разбирать какой пакет отправлять в Tor, а какой направить на сателлит-сервис

Сателлит может иметь собственный onion-адрес.

... и называться "скрытый Tor-сервис" :)

И получаем полную виртуализацию. Где находятся онионы никто не знает, также как и не сможем определить — не висят ли они на одном виртуальном хосте по сто штук пачка. К тому же для onion нужно просто завернуть трафик в Tor — это вам никто не мешает сделать и сейчас. Анонимная сеть внутри анонимной сети.

Над остальным можно было бы думать, но скорее на уровне мечтаний, фантазий и домыслов.

Уязвимость в сателлит-сервисе будет бросать тень на сам проект Tor, хотя они не связаны полностью.

Ситуация аналогичная с плагинами FireFox, не мешающая ему, однако, быть в составе Tor browser.

это вам никто не мешает сделать и сейчас.

Так и я об этом. Зачем дублировать существующее? Ради скорости? Или это такой "маркетинговый" ход?

И почему до сих пор нет Tor-сервиса, анологичного mixminion'у? Уж там то скорость не критична. И вроде его разрабатывал один из разработчиков Tor'а. Если предположить, что команда Tor действительно хочет защиты от глобнаба, это странно.

это вам никто не мешает сделать и сейчас.

Так и я об этом. Зачем дублировать существующее? Ради скорости?

Ну да я иронически предложил осуществить бред на практике, спасибо, что развили и поддержали шутку :)

Если предположить, что команда Tor действительно хочет защиты от глобнаба, это странно.

А может она хочет, но ей "прозрачно намекают". Но нам то не намекают! "Что мешает тебе выдумать порох непромокаемый" © Или мы тут уже настолько обленились, что даже мixminion типа портировать не захотим/не сможем?

шутку

А чем плох Мixminion over Tor?

Вот стремление к идеалу часто приводит к отбрасыванию просто улучшающих, пусть и незначительно, решений. Ну вот почему обязательно "полностью"?

Т.е. неидеально глобальный глобнаб? Формализуйте модель противника и определитесь, чего вы хотите.

Да если что-то где-то не изобрели, во всём виноваты ОНИ. Если бы не ОНИ, то ВСЕ ОСТАЛЬНЫЕ уже бы столько полезного наизобретали, а вот ОНИ не дают.

Подумайте сами на досуге, почему по крайней мере в чистом виде, без кучи дполнительных костылей (которые возможно не спасут) он в таком виде бесполезен.