id: Гость   вход   регистрация
текущее время 08:03 29/03/2024
Владелец: Alex_B редакция от 28/01/2011 22:05 (автор: Alex_B) Печать
Категории: анонимность, анализ трафика, микс-сети, атаки
https://www.pgpru.com/Библиотека/Статьи/ПринципыПостроенияАнонимныхСетей
создать
просмотр
редакции
ссылки

Это старая редакция страницы Библиотека / Статьи / Принципы Построения Анонимных Сетей за 28/01/2011 22:05.


Принципы построения анонимизирующих систем с малыми задержками противостоящих timing-атакам


Оригинал file"Design Principles for Low Latency Anonymous Network Systems Secure against Timing Attacks", 2007
Перевод не закончен.

Abstract

Анонимизирующие сети с малыми задежками (Low latency systems), такие как Tor, проектируются с учетом timing-атак в модель угроз которых не входит глобальный наблюдатель. Т.е. нападающий может видеть только часть взаимосвязей в сети. Однако, недавно, в работе file“Low-cost traffic analysis of Tor”, было показано что для успешной timing атаки на Tor не нужен глобальный наблюдатель. Более того, авторы считают что их атаке подвержены все анонимизирующие сети с малыми задержками.

Примечание переводчиков:
1Tarzan и Morphmix существовали как концепты ещё на момент начала разработки Tor. Даже на уровне концептов в них были найдены различные уязвимости. В настоящее время эти сети реально не используются.

Мы проверили это утверждение с помощью таких анонимизаторов как Tarzan и Morphmix1. И пришли к выводу, что вопреки вышеупомянутой статье, атака работает не во всех случаях. Опираясь на наше исследование мы вывели принципы построения безопасных анонимных систем.


Ключевые слова: Low latency, anonymous, timing attacks, Tor, Tarzan, Morphmix


1 Введение

Впервые анонимные системы связи были представлены в основополагающей работе Чаума (Chaum 1981). Суть в том, что анонимность достигается путем пересылки сообщений через серию передаточных узлов, называемых mix-узлами (перемешивающие узлы). Каждый mix-узел выполняет две основные задачи. Первая — это обеспечить побитовую неразличимость (bitwise unlinkability) сообщений, вторая — перемешать поток сообщений.


Что бы на выходе из узла нападающий не смог идентифицировать отслеживаемое сообщение по его содержимому, все входящие сообщения приводятся к одному размеру (короткие сообщения дополняются случайными данными) и шифруются. Это и есть “обеспечить побитовую неразличимость”.
Перемешивание потока сообщений используется для того, что бы нападающий не мог сопоставить время входа сообщения в узел со временем его выхода, и таким образом понять какое именно исходящее сообщение соответствует искомому. Узел некоторое время накапливает входящие сообщения, перемешивает их и отправляет дальше в случайном порядке.


А что бы еще больше затруднить атаку, узлы добавляют в поток фальшивые сообщения.


Системы анонимной связи через интернет можно разделить на две категории:

  • системы с большими задержками (high-latency systems);
  • системы с малыми задержками (low-latency systems).

Например электронная почта (e-mail) — это система с большими задержками, т.к. для доставки сообщения может потребоваться много времени. Если же требуется взаимодействие в режиме реального времени (или близкое к этому) нужно использовать системы с малыми задержками. SSH и мессенджер – примеры систем с малыми задержками. Неотслеживаемость сообщений в системах обоих категорий достигается за счет реализации идей Чаума: цепочки передачтоных узлов между отправителем и получателем, и шифрования, скрывающего данные сообщения. Каждый узел в цепи знает только своего предшественника, от кого он получил сообщение, и своего приемника, которому он передаст сообщение.


Системы с большими задержками специализируются на пересылке одиночных сообщений, а системы с малыми задержками на поддержании соединения. Это означает, что в системах с большими задержками для каждого сообщения создается свой новый путь, новое сообщение — новый путь. А в системах с малыми задержками один путь используется в течении некоторого времени для пересылки целого потока пакетов.


Есть еще одно существенное отличие систем с малыми задержками. Что бы соответствовать жестким требованиям к времени доставки сообщений, приходится отказываться от фазы накопления и перемешивания сообщений. Следовательно такие системы более уязвимы к атакам анализа трафика и в частности timing-атакам. Простые taiming-атаки могут сводиться к вычислению времени которое требуется пакету что бы пройти сеть. Более сложные timing-атаки могут включать анализ отличительных особенностей используемого жертвой соединения.


Timing-атаки используют тот факт, что все узлы сети вводят различные задержки. Зная время задержек можно строить догадки о связи входящих в узел и исходящих из него потоков. Другими словами угадать, какой исходящий поток соответствует отслеживаемому входящему потоку. Нападающий может идентифицировать поток пользуясь замерами времени и путем поиска характерных особенностей отслеживаемого потока. Если такие характерные особенности удается выявить, то злоумышленник пытается определить узлы которые передают трафик обладающий найденными особенностями. Используя статистические методы нападающий может получить информацию об отправителе и получателе потока, и даже выявить весь путь потока. Для защиты от этой атаки нужно сделать так, что бы временнЫе характеристики всех потоков были неразличимы. Однако, для этого потребуется значительно увеличить количество операций смешивания2 и объем покрывающего трафика (cover traffic)3, следовательно увеличится время задержек. Определить правильный баланс между анонимностью и задержками — задача не из легких.

Примечание переводчиков:

2Смешивание потоков


Существует много вариантов cмешивания потоков (миксинга, mixing). Например в нынешнем Tor при отсутствии миксинга картина такая: на сервер X вошло n цепочек и столько же вышло. Какая какому пользователю принадлежит как-бы непонятно, но по объёму трафика, всплескам, и другим косвенным признакам, можно строить гипотезы.


При смешивании (только как простейший пример) можно все цепочки от сервера X до сервера Y ещё раз зашифровать и упаковать в общий шифрованный канал и непонятно будет: вошло n, а сколько на какой сервер вышло — не видно. От пользователей до серверов идут индивидуальные цепочки, а между серверами — сплошной поток.


Поскольку на выходе из сети Tor всё равно проявятся отдельные цепочки, то это не очень эффективно.


3Покрывающий трафика (cover traffic)


Генерируемый передаточными узлами фальшивый трафик, имеющий специальную отметку, благодаря которой другие узлы могут отличить его от реального трафика

Для успешного проведения вышеупомянутой атаки нужен глобальный наблюдатель, способный наблюдать за всеми потоками проходящими через сеть. Считается, что анонимизирующие сети с малыми задержками, такие как Tor, могут успешно противостоять более слабой модели угроз, не включающей глобального наблюдателя. В этой более слабой модели, нападающий может видеть только часть связей. Если говорить о больших публичных сетях, например интернете, то на такое допущение, предполагающее отсутствие глобального наблюдателя, вполне можно положиться.


Недавно, Мёрдоч (Murdoch) и Данезис (Danezis) показали пример успешной атаки на системы с малыми задержками без использования глобального наблюдателя. Атака основана на анализе трафика предложенном Данезисом в 2004. В их атаке анонимность, которую обеспечивает Tor, может нарушить злоумышленник который видит только часть сети или владеет одним узлом Tor. Атака работает из-за того, что разработчики Tor удалили операцию смешивания, которая была в ранней версии, и теперь входящая очередь потоков обрабатывается в режиме “первым пришел – первым ушел”. Подконтрольный злоумышленнику Tor-узел создает соединения с другими узлами сети и таким образом может косвенно оценить объем проходящего через них трафика в каждый момент времени. Оценки строятся на основе разности в задержках потоков отправляемых и получаемых по этим соединениям.


Исходя из того, что

  1. объем трафика проходящего через каждый Tor-узел, или другими словами нагрузка на Tor-узел, складывается из нагрузок всех соединений установленных с данным узлом
  2. и нападающему удалось оценить эти суммарные нагрузки для всех узлов, в каждый момент времени

нападающий может сделать достаточно хорошее предположение о маршрутах прохождения потоков.


Авторы отмечают, что их атака применима для всех анонимных сетей с малыми задержками. Это громкое заявление намекает на не состоятельность модели угроз используемой при создания многих анонимных систем с малыми задержками.

Наш вклад

Мы проверили атаку Мёрдоч и Данезиса (Murdoch & Danezis 2005) на других анонимных сетях с малыми задержками. Tarzan (Freedman & Morris 2002) и MorphMix (Rennhard & Plattner 2002) работают не так как Tor. В частности, они следуют архитектуре peer-to-peer, а Tor использует выделенные сервера. Еще, Tarzan использует некоторые операции по смешиванию и покрывающий трафик, которых нет в Tor. А в MorphMix, промежуточные узлы могут самостоятельно выбирать часть пути для передаваемого потока, в отличии от Tor, где клиент, инициализирующий поток, сам задает весь путь.


Наш анализ двигался в двух направлениях. Вначале мы сфокусировались на задержках возникающих в системе, что бы убедиться, что их действительно можно использовать для оценки объема трафика проходящего через узлы. Затем мы проанализировали эффективность атаки для разных архитектур. Результаты исследования позволили нам выявить принципы создания анонимных сетей с малыми задержками способных противостоять подобным атакам.

Структура документа

Во 2-ом разделе сделаем введение в другие работы в данной области. В частности, мы разберем три анонимизирующие сети — Tor, Tarzan и Morphmix — и покажем чем они отличаются друг от друга. В 3-ем разделе рассмотрим атаку на Tor, описанную Мёрдоч и Данезисом (Murdoch & Danezis 2005). Отметим, что авторы утверждают что атаке подвержены все анонимные сети с малыми задержками. В 4-ом разделе мы опровергнем это утверждение, на примере Morphmix. В 5-ом разделе мы выведем несколько правил построения систем с малыми задержками. И наконец, в 6-ом разделе сделаем заключение.

2 Работы по теме

В этом разделе мы кратко рассмотрим три анонимных сети – Tor, Tarzan amd Morphmix.

2.1 Tor

Tor, второе поколение Onion Routing, — это система анонимной связи с малыми задержками в основе которой лежат цепочки передаточных узлов. Это улучшенная версия Onion Routing. Onion Routing(OR) — система анонимной связи для таких задач как просмотр интернет, обмен мгновенными сообщениями и SSH. Что бы избежать недостатков и ограничений OR, разработчики Tor включили в него несколько новых возможностей. Перечислим некоторые из них: perfect forward secrecy, контроль перегрузки (congestion control), служба каталогов (directory services), проверка целостности (integrity checkin), настраиваемые правила выхода (configurable exit policies), и точки встречи (rendezvous point) и скрытые сервисы. Кое что было удалено: перемешивание и выравнивание потоков по объему трафика4.

Примечание переводчиков:

4Выравнивание потоков по объему трафика.


Например, пользователь создал пять резких всплесков трафика в секунду. Что бы его поток не выделялся по нагрузке, в другие потоки подмешивается трафик из пустых пакетов.

Три основные участника процесса: Tor-клиент, Tor-сервера (узлы) и получатель потока. Логично, что Tor-клиент это отправитель который хочет анонимно связаться с получателем. В OR это назвалось Onion Proxy. Tor-сервера это передаточные узлы (Onion Routers в OR). Они передают потоки следующим узлам, следуя указаниям Tor-клиента. Как в OR, последний перед получателем узел в цепочке называется выходной узел (exit node). Получатель не обязан быть частью Tor-сети. Выходной узел выполняет роль передаточного звена между открытым миром (получателями) и сетью Tor.


Как и в OR, Tor-клиент выбирает какие Tor-сервера он хочет включить в цепь (путь в Tor называется цепь). В OR одну цепь можно использовать только для одного TCP соединения, Tor позволяет проводить много TCP соединений по одной цепи. Цепи определяются заранее. Главная функции Tor-клиента – это задать цепь и установить общие ключи между клиентом и всеми промежуточными узлами. Ключи понадобятся позже, когда клиент начнет отправить получателю сетевые пакеты и наоборот. В Tor размер цепи фиксирован и составляет 3 узла.


Когда клиент хочет анонимно отправить данные получателю, например, когда пользователь открывает web-сайт, поток пакетов разделяется на отрезки фиксированного размера — 512 байт. Затем, с помощью заранее установленных общих сессионных ключей, отрезки оборачиваются в слои – для каждого передаточного узла (Tor-сервера) свой слой. Это делается таким образом, что когда Tor-сервер разворачивает свой слой он узнает только узел-предшественник и следующий узел цепи. В отличии от OR, который предусматривает перемешивание, входящие в узел Tor-пакеты (те самые по 512 байт) просто выстраиваются в очередь и обрабатываются и отправляются в режиме "первым пришел – первым ушел".


 (33 Кб)

Рисунок 1. Архитектура Tor

Модель угроз Tor

Цель нападающего — установить обоих: и отправителя и получателя. Как и все другие реально существующие анонимизирующие сети с малыми задержками, Tor не может защитить от глобального наблюдателя. Однако, он успешно противостоит нападающему, который:

  • может наблюдать часть трафика между узлами сети;
  • может создавать, изменять, удалять или задерживать трафик;
  • the adversary who can operate onion routers of his own; [6]
  • the adversary who can compromise some fractions of onion routers [7].

Атаки с использованием трафика можно разделить на две категории: атаки на опознание трафика (traffic confirmation attacks) и атаки анализа трафика (traffic analysis attacks). В каждой категории атаки подразделяются на активные и пассивные.


НАЧАЛО [8]
Атаки на опознание трафика (traffic confirmation attacks) — это атаки при которых злоумышленник использует отличительные особенности трафика жертвы. Предположим, нападающий подозревает что Алиса общается с Бобом и хочет в этом убедиться. В качестве примера пассивной атаки можно привести ситуацию, когда злоумышленник

  • наблюдает за трафиком на двух концах предполагаемого соединения — и на стороне Алисы и на стороне Боба,
  • и с помощью замеров времени отправки/получения или размеров пакетов на обоих концах проверяет свое предположение.

Если нападающий действует более активно, и уже не только пытается обнаружить характерные особенности трафика, но и сам вносит в него эти особенности — помечает трафик (например, создавая искусственные задержки или другим способом изменяя его характеристики) — то это будет пример активной атаки.


Атаки анализа трафика (traffic analysis attacks) — это атаки благодаря которым нападающий определяет узлы сети, к трафику которых ему следует приглядеться и попробовать применить атаки на опознания трафика. Например, пассивный злоумышленник может наблюдать за краями сети и пытаться найти взаимосвязь между входящими и выходящими потоками, опираясь в своих догадках на время входа/выхода пакетов или их размеры. Или же действовать более активно – вносить характерные особенности в поток, пытаясь упростить его идентификацию на выходе из сети.
КОНЕЦ [8]

Tor и атаки анализа трафика

Разработчики Tor решили не тратить силы на атаки опознание трафика (traffic confirmation attacks) и сфокусировались только на атаках анализа трафика (traffic analysis attacks). Из-за того что в модель угроз Tor не входит глобальный наблюдатель, некоторые атаки анализа трафика могут не учитываться. Больше информации о том как Tor противостоит атакам анализа трафика можно найти в работе Dingledine and Mathewson (Dingledine et al. 2004). Так же в (Dingledine et al. 2004) рассмотрены другие атаки, выходящие за рамки данной статьи, например, атаки на службу каталогов (directory services) и точки встречи (rendezvous point).

2.2 Tarzan

Tarzan — это еще одна анонимизирующая система с малыми задержками. Она тоже базируется на идеях Чаума и, как и другие, создана для обеспечения анонимности при использовании веб-приложений и мессенджеров. В отличии от Tor, Tarzan основан на peer-to-peer архитектуре. Каждый Tarzan-узел может быть как клиентом так и передаточным узлом. Благодаря этому устраняются timing-атаки анализа трафика между входными и выходными узлами. Ведь, в любой момент кто угодно может присоединиться или выйти из сети, и любой узел может быть потенциальным инициатором потока (клиентом). Для распространения информации об имеющихся в сети узлах используется протокол основанный на механизме сплетен (gossip-based mechanism) похожий на описанный в работе (Harchol-Balter, Leighton & Lewin 1999). Из-за особенносте peer-to-peer архитектуры, нападающий может изобразить из себя столько Tarzan-узлов сколько захочет. Поэтому, в Tarzan предусмотрен механизм для уменьшения вероятности выбора вредоносного узла. Механизм предполагает категоризирование узлов на основе хешей их IP адресов.


Конечный получатель анонимного потока не обязательно должен быть Tarzan-узлом — выход во внешний мир осуществляется с помощью PNAT (см. ниже). Авторы Tarzan утверждают, что их сеть способна противостоять глобальному наблюдателю. Достигается это благодаря разновидности покрывающего трафика, которая называется “mimic traffic”. Что бы фальшивый трафик не сильно перегружал сеть, каждый Tarzan-узел устанавливает фальшивое соединение только с несколькими другими узлами.


Вот как это работает: когда узел подключается к сети, после получения списка всех других Tarzan-узлов, он выбирает некоторых из них для имитирования трафика (формирует список имитаторов). Один из этих отобранных узлов будет использован в дальнейшем, когда потребуется анонимное соединение, в качестве следующего передаточного узла.


Например, Tarzan-узел a хочет установить анонимное соединение с веб-сервером srv. При этом узел a хочет что бы длинна тоннеля была равной l+1, где l — это количество узлов в туннеле. Тогда a выполняет следующие действия:

  1. a выбирает первый передаточный узел n1 из числа своих имитаторов
  2. a запрашивает у n1 список его имитаторов ln1
  3. a выбирает второй передаточный узел n2 из списка ln1
  4. a запрашивает у n2 список его имитаторов ln2. Запрос идет через n1, при этом n1 не знает что именно он передает.
  5. a выбирает третий передаточный узел n3 из списка ln2
  6. Таким образом a наращивает туннель пока в нем не будет l узлов
  7. В конце, a случайным образом выбирает последний узел из числа всех узлов сети. Этот последний узел в Tor называется выходным узлом (exit node), а в Tarzan — PNAT.

В итоге получается такой путь: a -> n1 -> n2 -> ... -> nl -> PNAT -> svr
Важно что PNAT выбирается из всех узлов, а не только из числа имитаторов узла nl. На рисунке 2 изображена сеть Tarzan и созданный туннель. В примере каждый Tarzan-узел имеет 6 имитаторов.


 (52 Кб)

Рисунок 2. Архитектура Tarzan, основанная на имитаторах

2.3 MorphMix

MorphMix (Rennhard & Plattner 2002, Rennhard & Plattner 2004) это еще одна система анонимной связи с малыми задержками. Its main objective is to provide a practical anonymous communication to the masses. [13] MorphMix следует peer-to-peer архитектуре. Как и Tor, MorphMix использует цепочки передаточных узлов фиксированной длины и послойное шифрование (каждый узел может развернуть только свой слой). Как и в Tor, в MorphMix нет покрывающего трафика (cover traffic) — считается что он малоэффективен.


Разработчики MorphMix используют следующую терминологию:
цепочка передаточных узлов — анонимный туннель (anonymous tunnel)
первый узел — инициатор (initiator)
последний узел — последний узел (final node)
узлы между первым и последним узлом — промежуточные узлы (intermediate nodes)


В отличии от Tor и Tarzan, где узлы для организации туннеля выбирает инициатор, в MorphMix каждый промежуточный узел может влиять на то, какой узел будет его приемником. Когда узел-инициатор a хочет организовать анонимный туннель:

  1. он выбирает первый промежуточный узел b из списка своих соседей [15];
  2. Затем между a и b устанавливается симметричный ключ. Этот ключ используется для создания шифрованного слоя;

[начало 20]
3. Что бы продлить туннель, a запрашивает у b список узлов, из числа которых будет выбран следующий узел туннеля.
4. b отправляет a, список рекомендованных им узлов (b выбирает узлы из числа своих соседей).
5. Затем a выбирает один узел из этого списка, назовем выбранный узел c. Таким образом тоннель продлевается — после b будет идти c.
6. a создает симметричный ключ, который будет общим для a и c. a отправляет ключ узлу c через b. [16]
[конец 20]
Что бы b не смог осуществить атаку человек-по-середине (man-in-the-middle attack), в MorphMix предусмотрен свидетель (witness). Свидетель выступает в роли третьей доверенной стороны в процессе выбора следующего узла туннеля (в нашем примере этот процесс происходит между узлами a и b). Он позволяет инициатору a установить общий ключ с узлом c через b, не раскрывая при этом ключевой материал узлу b.


На рисунке 3 (из работы Rennhard & Plattner 2002) показано как в MorphMix происходит процесс выбора следующего узла туннеля с помощью свидетеля. Предполагается что соединение между a и b уже установлено.


 (44 Кб)

Рисунок 3. Процесс выбора следующего (после b) узла туннеля в MorphMix.

1. a выбирает свидетеля w из числа известных ему узлов. Затем он генерирует половину ключевой информации DHa, добавляет к ней значение текущего времени (nonce1) и шифрует все это на публичном ключе w{nonce1, DHa} PuKw. Отметим, что указание текущего времени nonce1 используется для предотвращения атак повтором (replay attack) [17]. s — указывает b сколько узлов он должен отобрать (из этих узлов будет выбран следующий узел для туннеля). b не получает ни каких сведений о ключевой информации DHa, т.к. она зашифрована на публичном ключе w.


2. После того как b получил сообщение, он пересылает DHa (в составе зашифрованного послания {nonce1, DHa} PuKw) свидетелю w вместе с отобранными узлами и их публичными ключами ({ipc, PuKc, ipd, PuKd, ipe, PuKe}).


3. w выполняет два действия. Первое: он расшифровывает {nonce1, DHa} PuKw, что бы получить DHa. Затем w случайным образом выбирает следующий узел туннеля c. Далее w отправляет DHa и информацию о узле b и его публичный ключ {ipb, PuKb} узлу с.


4. Если с соглашается стать следующим узлом туннеля, он отправляет w сообщение “Ok”.


5. w подписывает список отобранных b узлом вместе с nonce1, при этом выбранный узел c указывается первым после nonce1. И отправляет b. [19](1)


6. b получает сообщение от w. Он узнает что следующим узлом в туннеле должен быть с. Он генерирует идентификатор id анонимного соединения между b и c. Затем он отсылает id и новое значение текущего времени nonce2 [18] узлу c.


7. В ответ c генерирует и отправляет b свою половину ключевой информации DHс вместе с указанием id.


8. b отправляет a DHс и список отобранных узлов с подписью свидетеля w.[19](2)



[1] и [2] Как смешивать потоки?
Как смешивать отдельные сообщения в системах с большими задержками (когда система оперирует не потоками а отдельными сообщениями) я могу представить: накопил несколько сообщений, перемешал их и отправил дальше в случайном порядке.
Но как смешивать потоки? Учитывая, что путь по которому передается поток не меняется (некоторое время не меняется)


[3] Что это за операция "processes its input queues in a round robin fashion"?
"The attack works because Tor removes the mixing operation that has been used in its earlier version, and instead processes its input queues in a round robin fashion."
Ниже (пункт 2.1 заключительный абзац) говорится что используется схема "первым пришел – первым ушел". Это одно и тоже?


[4] Какой смысл в данном контексте имеет слово "padded".
1)To provide unlinkability messages are padded and encrypted so that the adversary cannot see the content of data packets and so cannot link the content. In each node incoming message is batched and reordered or relayed in a way that is dificult for the adversary to discover its corresponding outgoing message through the message arrival and departure times.
2)Tor also removes features that are considered by its authors as being unnecessary. These features are mixing, padding and traffic shaping.


[5] Как лучше перевести "rendezvous point"?
Some of them are perfect forward secrecy, congestion control, directory services, integrity checking, configurable exit policies, and rendezvous point and hidden service.


[8] В чем разница между traffic confirmation attacks и traffic analysis attacks
Описание ничем не отличается.
Attacks using the network traffic can be classified into two main categories: traffic confirmation attacks and traffic analysis attacks. Each category consists of both passive and active attacks. Traffic confirmation attacks are attacks where the adversary uses a traffic pattern to confirm his guess. For example, the adversary suspects that Alice is talking to Bob. Passively, he observes traffic at both Alice and Bob's ends and uses a pattern that obtained from timing or volume of packets that enter and leave both ends to verify his suspicion; or actively embeds timing signatures into the traffic between these two nodes to force the distinct patterns that can be recognized.
However, traffic analysis attacks are attacks that the adversary learns which points in the network he should attack by using traffic patterns. For example, the passive adversary can observe the network edges and then uses relationships in timing or volume of packets to correlate traffic that enter or leave the network; or the active adversary can insert a pattern into traffic that can be detectable afterward.


[10] Правильно ли я понял способ которым Tarzan ограничивает фальшивый трафик?
To prevent an overwhelming network consumption, Tarzan limits the mimic traffic of each Tarzan node to merely with some of its peers.


Вариант 1: для ограничения каждый узел может установить только несколько фальшивых соединений (как это происходит не понятяно)
Вариант 2: ограничивается объем трафика который передается по фальшивым соединениям (тоже не понятно как другие узлы узнают какой трафик они передают, фальшивый или настоящий)


[11] Как отправитель в сети Tarzan строит путь до выходного узла (PNAT)
When a Tarzan node a wants to have an anonymous connection with its recipient such as a web server svr, assuming that the anonymous tunnel has l + 1 length where l is a number of the nodes in the tunnel, a selects its first hop from its mimic list, say n1. Then, a asks n1 for n1's mimic list (ln1). a chooses the 2nd hop, from (ln1). Then, a repeats this process until l hops. Finally, a chooses the last node randomly from a's peer database. This last node acts
as an exit node in Tor but Tarzan names it PNAT. Therefore, the connections has the following path:

a -> n1 -> n2 -> ... -> nl -> PNAT -> svr.
It is important to note that PNAT is selected randomly from all peers in the database not from nl's mimic list, otherwise numbers of available paths are limited. Figure 2 illustrates Tarzan network's architecture and its tunnel connections. In this example, each Tarzan
node has approximately 6 mimics.


Отправитель самостоятельно запрашивает список имитаторов у каждого узла в туннеле?
сначала a запрашивает список имитаторов у n1,
затем a запрашивает список имитаторов у n2 и т.д.
Т.е. получается, что все узлы в туннеле знают что начальным отправителем является узел a ?


[12] Правильно ли я перевел значение "cover" в каждом случае?


[12](1) This, however, requires an unreasonable amount of mixing operations and cover traffic and hence, long delays.


[12](2) Also, Tarzan includes some mixing operations and cover traffic, which does not exist in Tor.


[12](3) Tarzan claims that it is resistant to the global adversary's attack, that is achieved via its cover tra±c mechanism, known as mimic traffic.


"cover traffic" – насколько я понял, это значит прятать трафик. В Tarzan реальный трафик прячется путем создания фальшивых трафиков (с узлами имитаторам).
Если это так, и "cover traffic" означает "прятать трафик", то как это происходило в первой версии Tor (сейчас эта операция удалена)? И чем "cover traffic" отличается от "mixing traffic"? Ведь "mixing traffic" (судя по комментарию unknown) как раз делает тоже самое – прячет трафик. При "mixing traffic" тоже не понятно сколько реальных потоков пропускает узел.


[14] Похоже что авторы не совсем точно выражаются. В Tarzan инициатор тоже (как и в MorphMix) может выбирать следующий узел не из всех узлов, а только из числа мимиков предыдущего.


Оригинал:
Unlike Tor or Tarzan, the intermediate nodes in MorphMix are not entirely chosen by the initiator. Rather, MorphMix allows each intermediate node to select its successor.


[15] Как в MorphMix происходит выбор соседей?
Соседями узла могут быть только некоторые узлы сети или все? Каждый узел знает обо всех другиъ узлах сети или только о части узлов?


[16] a генерирует ключ в одиночку? (Вопрос снимается, но в переводе это место надо переписать)
A symmetric key between a and c is created and then,sends to c through b.
Получается, что a в одночку генерирует ключ и отправляет его c. c не участвует в генерации ключа. Так ?


[17] Как правильно переводится термин replay attack?


[18] На рисунке 3 два раза упоминается nonce2. Это опечатка?


[19] Зачем узлу a знать какие еще узлы b предлагал, если использоваться все равно будет узел c ?


[20] Расхождение в описании процесса выбора следующего узла в MorphMix
Сначала в статье говорится:
To extend the tunnel, a asks b for a selection of nodes that should be used as its next hop. b sends a a set of its recommended nodes chosen from b's neighbors. a then chooses one of them, for example, node c.


Это описание расходится с пояснениями к рисунку 3, который идет ниже: в пояснении к рисунку говорится, что узел a вообще не выбирает следующий узел в туннеле — это делает свидетель w.


Если я правильно понял, то имеется расхождение — что же делать? как это переводить?