3.4 Mixminion: ремейлер третьего типа
Mixminion [46] — это ремейлер, основывающийся на передовых достижениях. Он позволяет сообщениям фиксированного размера, около 28 килобайт, анонимно транспортироваться множеством ремейлеров с высокой задержкой. Mixminion поддерживает анонимность отправителя, анонимность получателя через одноразовые блоки ответа (SURB) и двунаправленную анонимность путём комбинирования обоих механизмов. Это достигается смешиванием сообщения через цепочку промежуточных ремейлеров Mixminion. Эти промежуточные ремейлеры не знают своего положения в пути сообщения или полной длины пути (за исключением атак разделения, описанных в [17]). Промежуточные ремейлеры не могут различать сообщения, что приносит пользу для анонимности отправителя и получателя.
Первый вклад Mixminion касается криптографического формата пакетов. Транспортируемые сообщения разделяются на основной заголовок и содержимое. Каждый основной заголовок разделяется на подзаголовки, зашифрованные открытым ключом промежуточных миксов. Основная цель криптографических преобразований — это защита сообщений от маркировки [160, 161]: активный атакующий или враждебный узел может модифицировать сообщение в надежде на то, что он будет способен выявить модификацию после того, как сообщение будет подвергнуто перемешиванию. Это может позволить противнику выследить сообщение и скомпрометировать анонимность. Mixmaster решает эту проблему за счёт включения проверки целостности в заголовок, проверяемый каждым промежуточным узлом: если обнаружена модификация сообщения, то оно будет отброшено на первом же честном узле. Схожий механизм использует Mixminion, поскольку ему нужно предоставлять неразличающийся роутинг анонимных ответов. Вместо этого он полагается на шифрование по механизму "всё-или-ничего" во втором заголовке и содержимом сообщения, которое находится в хрупком формате. Повреждение приведёт к тому, что адрес получателя будет уничтожен и расшифровать его будет невозможно. Криптографический формат создан в достаточно понятном виде, консервативном в ущерб эффективности.
Формат пакетов Minx пытается предоставить те же самые свойства как и Mixminion, но с меньшими вычислительными затратами и накладными расходами [47]. Он полагается на прохождение шифрования один раз в IGE-режиме, который размножает ошибки по мере прохождения шифртекста. Поскольку все сообщения выглядят случайно, не происходит утечки никакой частичной информации даже при умышленном повреждении. Оригинальный дизайн Minx обеспечивает аргументы, но не доказательства безопасности. Шимшок и др. позднее показали, что исходный дизайн не может быть доказуемо безопасным, но они также предложили небольшую модификацию Minx и доказали, что полученный в результате формат и протокол безопасны [177].
Mixminion использует транспортный механизм TCP, который приспособлен для дополнения связей. Сообщения передаются между ремейлерами с использованием защищённого туннеля TLS с обменом эфемерных ключей на основе протокола Диффи-Хеллмана, что обеспечивает наперёд заданную безопасность. Это делает любые данные, собранные пассивным противником, бесполезными, поскольку они не могут быть предоставлены оператором ремейлера для расшифрования после того как эфемерные ключи удалены. Это также выявляет активных противников, которые пытаются внести искажения в данные, проходящие сквозь сеть. Поэтому для атаки сети противнику нужно запустить злонамеренный узел.
Было представлено два предложения для усиления наперёд заданной безопасности и устойчивости к принуждению для смешивания в Mixminion. Первое в [37] подразумевало, что любые коммуникации оставляют следы ключей на промежуточных миксах, которые могут быть использованы для расшифровки будущих коммуникаций. Как только ключ использован, он удаляется или обновляется с использованием однонаправленной функции. Поскольку последующие сообщения могут зависеть от предыдущих сообщений при декодировании, микс, который честно удаляет ключи, не сможет расшифровать перехваченные сообщения по запросу. Помимо этого, противнику потребуется перехватить и запросить множество сообщений для того, чтобы получить ключевой материал, необходимый для раскодирования определённого целевого сообщения. Вторая методика [43] полагается на факт того, что истинный получатель анонимного ответа может притвориться переотправителем и перенаправить сообщение на другой предопределённый узел. Это подразумевает систему ремейлеров peer-to-peer и может быть стимулом для запуска сервера Mixminion.
Реализация Mixminion стала областью многочисленных практических вопросов. Поскольку передача сообщений в Mixminion ненадёжна, важно внедрить механизмы для повторной отправки и упреждающей коррекции ошибок. Механизмы такого рода нетривиальны в реализации и могут привести к атакам анализа трафика. Для безопасности все клиенты должны знать всю сеть ремейлеров. Это создаёт проблему масштабируемости, для решения которой были предложены специальные серверы директорий, распространяющие данную информацию. Устойчивые механизмы голосования по поводу узлов и определения их честного поведения по-прежнему недостижимы. Практическое развёртывание и интеграция с известными клиентами также остаётся спорным вопросом.
Назад | Оглавление | Дальше