id: Гость   вход   регистрация
текущее время 13:11 29/03/2024
Владелец: unknown редакция от 28/05/2010 16:34 (автор: unknown) Печать
Категории: анонимность
https://www.pgpru.com/Библиотека/Статьи/SAC/31ОригинальныемиксыЧаума
создать
просмотр
редакции
ссылки

Это старая редакция страницы Библиотека / Статьи / S A C / 31 Оригинальныемиксы Чаума за 28/05/2010 16:34.


3.1 Оригинальные миксы Чаума


Первой работой, оказавшей наиболее широкое влияние в области анонимных коммуникаций была [27]. Чаум ввёл понятие "mix"-узлов, которые скрывают связь между входящими в них сообщениями и исходящими из них сообщениями криптографически стойким способом.


Работа была выполнена в конце семидесятых, когда шифрование открытым ключом RSA было относительно новым. По этой причине работа может удивить сегодняшних читателей использованием сырого RSA, прямым применением возведения в степень по модулю для зашифрования и расшифрования без использования специальной схемы рэндомизации. Случайные параметры добавлялись к открытому тексту до шифрования в целях создания двух различных шифртекстов на выходе при двух различных шифрованиях.


Принципиальная идея в том, что собщения анонимизировались при прохождении через узел, называемый микс. Микс имел широко-известный открытый ключ RSA и сообщения делились на блоки и шифровались этим ключом. Первые несколько блоков фактически были "заголовком" сообщения и содержали адрес следующего микса. После получения сообщения микс расшифровывает все блоки, отделяет первый блок, который содержит адрес получателя и добавляет блок случайных битов (мусор) в конец сообщения. Длина мусора выбирается для того, чтобы сделать размер сообщения неизменным. Наиболее важное свойство состоит в том, что расшифрование и дополнение достигают побитовой несвязанности. Наблюдатель или активный атакующий не должны найти связь между битовыми паттернами кодированного сообщения, прибывающего к миксу и декодированного сообщения, отправляемого с микса. Использование слов "кодирование" и "декодирование" вместо "зашифрование" и "расшифрование" служит для того, чтобы обратить внимание, что предшествующие операции предназначены только для достижения несвязываемости, а не конфиденциальности, как можно было бы понять в случае шифрования. На самом деле, модифицирование RSA и других функций шифрования и зашифрования для предоставления несвязываемости против пассивного или активного атакующего — это проблема, глубоко изучаемая в контексте дизайна Mixminion.


Пфитцман и Пфитцман показали в [161], что схема Чаума не обеспечивает необходимых свойств несвязываемости. Математическая структура RSA может быть предметом активных атак, которые вызывают утечку достаточного количества информации в процессе расшифрования для нахождения связей шифртекстов с соответствующими открытыми текстами. Кроме того возможны атаки маркировки, поскольку шифрованные блоки при использовании RSA независимы друг от друга и они будут дублироваться или просто заменяться известными шифртекстами. Исходящее сообщение тогда должно содержать два блока одинакового открытого текста или соответственно блок известого открытого текста. Опять же, использование RSA в контексте гибридных криптосистем, в которых ключи зашифованы операциями шифрования с открытым ключом, а само сообщение симметричным шифром не было в достаточной мере изучено в то время.


Ещё одна уязвимость схемы Чаума — это прямое применение расшифрования RSA, которое также используется как примитив подписи. Активный атакующий может подменить блок подписываемого сообщения для получения на нём подписи. Даже если подпись имеет специальную форму, такую как дополнение, что может быть выявлено, но против этого от миксов может быть использована техника слепого сокрытия. Было бы нечестно винить в этом недостатке Чаума, поскольку он сам изобрёл слепые подписи RSA только несколькими годами спустя [28].


Вторая функция миксов это собственно смешивание вместе множества сообщений для того, чтобы сделать сложным для противника отслеживание того, как они проходят на основе принципа "первый вошёл — первый вышел". Вместо этого микс группирует определённое число сообщений вместе, декодирует их как группу, изменяет порядок по лексикографическому принципу и затем отсылает. Концептуально, поскольку побитовая несвязываемость даёт уверенность в том, что содержимое сообщений не позволяет их выслеживать, перемешивание даёт уверенность, что порядок исходящих сообщений не даёт утечки никакой связывающей информации.


Чтобы ещё затруднить задачу атакующему предлагаются бессодержательные сообщения. Бессодержательные сообщения генерируются как исходным отправителем, так и самими миксами. С точки зрения атакующего они неразличимы по длине и содержанию от нормальных сообщений, что усложняет выслеживание подлинных сообщений. Мы будем называть текущую стратегию смешивания, а именно пакетирование числа бессодержательных сообщений, включенных во входы и выходы динамическим аспектом смешивания.


Чаум подчёркивает, что опора только на один микс не даёт сопротивляемости против находящихся под влиянием узлов, так что функция смешивания должна быть распределена. Множество миксов могут быть соединены для уверенности в том, что даже если хотя бы один из них останется честным, некоторая анонимность всё равно будет обеспечена. Первый предложенный способ — это соединять миксы в каскады. Каждое сообщение проходит через все мисы в сети в определённом порядке. Второй предлагаемый способ — это связать миксы, организовав их в полностью связанную сеть и позволяя пользователям выбирать произвольные маршруты через сеть. Бертольд, Пфитцман и Штандке показали в [17], что микс-сеть предполагает наличие свойств, не всегда совпадающих с каскадами. Они продемонстрировали на ряде атак, что если один микс в сети является честным, анонимность сообщений, идущих через него может быть скомпрометирована. Эти атаки полагаются на скомпрометированые миксы, которые эксплуатируют знание их положения в сети; или множества сообщений, использующих ту же самую последовательность миксов для прохождения в сети. Динглдайн и др. аргументировали в [68], что это не каскадная топология, которая обеспечивает преимущества, показанные в [17]. Скорее это сообщения, проходящие через сеть в синхронных пакетах. Они показали, что синхронная свободно-маршрутизируемая сеть обеспечивает большую анонимность против пассивных и активных атак, чем это делает сравнимая каскадная сеть. Они также показали, что сеть лучше сопротивляется DoS в понятиях и доставки сообщений и эффектах DoS на анонимность.


Кроме способности отправителя анонимно посылать сообщения получателю, Чаум представил схему, в которой кто-либо может анонимно получать сообщения. Пользователь, который хочет получать анонимную почту создаёт анонимный обратный адрес, используя такое же кодирование заголовка, как и для нормальных сообщений. Он создаёт блок, содержащий обратный путь до него и рекурсивно шифрует блоки, используя ключи для промежуточных миксов. Затем пользователь может включить обратный адрес в тело сообщения, отправляемого анонимно. Получатель просто включает обратный адрес как заголовок в своё сообщение и посылает его через сеть. Сообщение маршрутизируется через эту сеть как если бы оно было нормальным сообщением.


Предложенная схема обратных ответов — важная возможность. Она делает ответы в сети неотличимыми от нормальных сообщений. В целях безопасного достижения этого важно, чтобы обе — и кодирующая, и раскодирующая операции предоставляли побитовую несвязываемость между входами и выходами. Это важно потому, что ответы фактически кодируются при обработке миксами. Полученное в результате сообщение, после того как оно было обработано всеми миксами в цепочке, заданными в обратном адресе, декодируется ключами, распространяемыми в миксах цепи. Как для расшифрования, так и для зашифрования, соответствующим операциям требуется быть одинаково стойкими, а для конечного микса нужно знать все ключи для восстановления сообщения, что означает, что простой RSA здесь использовать нельзя. Следовательно, предлагаемая гибридная схема просто шифрует симметричный ключ в заголовке помимо адреса следующего микса в цепочке. Симметричный ключ может быть использован для шифрования и расшифрования сообщения. Поскольку ключи кодируют обратный адрес пользователя, они должны быть запомнены тем, кто их создал в блоке ответа и использованы для расшифровки сообщений, которые маршрутизируются с их использованием. Обратные адреса также обсуждаются в системе Babel [99] и выполнены в системах ремейлеров cypherpunk type I. К сожалению, созданные позднее системы, такие как Mixmaster, никак их не поддерживают.


Чаум предлагал систему квитанций для того, чтобы иметь возможность убедиться, что каждый микс обрабатывает сообщения корректно, что само по себе стало отдельной областью исследований в области анонимности, называемой микс-системами с проверяемыми свойствами. Мы дадим обзор этих систем в разделе 4. Системы, также предоставляющие возможность псевдонимных идентичностей были частично выполнены в nym-серверах, как описано в разделе 2.3.


Назад | Оглавление | Дальше