5.3 Peer-to-peer сети с луковичной маршрутизацией
В оригинальной работе Чаума подразумевалось, что каждый участник в микс-сети также выступал как микс для других, что должно было увеличивать общую безопасность сети. Недавний интерес к peer-to-peer сетям повлиял на исследователей для дальнейшего изучения таких сетей с большим, но непостоянным числом узлов. Хотя как отмечалось выше, требование ко всем участникам запускать узел не обязательно способствует широкомасштабному принятию. Иногда в отношении сопутствующего эффекта анонимности верно лишь обратное.
Tarzan [81] — это peer-to-peer сеть, в которой каждый узел является луковичным маршрутизатором. Узел, инициирующий передачу потока через сеть, должен создать шифрованный туннель до другого узла и послать к нему запрос на соединение с другим. Повторив этот процесс несколько раз возможно получить луковичное шифрованное соединение, опирающееся на последовательность промежуточных узлов.
Интересной особенностью Tarzan является то, что сетевая топология кое в чём ограничена. Каждый узел поддерживает устойчивые соединения с малым множеством других узлов, образуя структуру, называемую имитатором. Маршруты для анонимных сообщений выбираются таким способом, что они проходят сквозь имитаторы и между ними в целях избежать цепочек с недостаточным трафиком. Уязвимость схемы имитаторов в том, что выбор соседних узлов делается на базе сетевых идентификаторов адресов, которые к сожалению легко могут быть сфальсифицированы в реально-используемых сетях.
Оригинальный дизайн Tarzan требует от каждого узла знания случайного подмножества других узлов в сети [82]. Это явно желательно по факту очень динамичной природы peer-to-peer сетей и непостоянства узлов. С другой стороны Клэйтон и Дейнезис обнаружили атаку против этой стратегии в раннем дизайне Tarzan [42]. Атака полагается на факт того, что сеть является очень большой, а узлы имеют очень большой уровень смешивания. В результате каждый отдельный узел знает только малое подмножество других узлов. Враждебный узел, который включен в анонимный путь, может раскрыть инициатору соединения между тремя узлами: самим повреждённым узлом, последующим и предыдущим. Это оборачивается тем, что эти три узла уникальным образом идентифицируют инициатора потока с очень высокой вероятностью. Это очень напоминает атаку, описанную выше, успех которой против Crowds показал Шматиков [178]. Финальная врсия Tarzan требует от каждого узла знания всех других узлов для того, чтобы зафиксировать эту атаку, которая явно менее практична. В дополнение к эпистемиологическому сбору образцов того, кто знает какой узел в сети, также возможно выполнить эпистемиологическую атаку замыкания, основанную на том кто не знает определённых узлов в сети [50].
Morphmix [168] использует схожую с Tarzan архитектуру и модель угрозы. Решающее отличие состоит в том, что маршрут сквозь сеть не определяется источником, но выбирается по промежуточным узлам, наблюдаемым удостоверителями, которые выбраны пользователем и которым он доверяет. Поскольку атака Дэйнезиса и Клэйтона неприменима к выбору пути, варианты могут быть применимы к выбору удостоверяющих узлов.
Дизайн MorphMix подразумевает, что использование промежуточных узлов для выбора маршрута в сети может привести к захвату маршрута: первый подверженный влиянию луковичный маршрутизатор в пути может выбрать только другой подверженный узел для дополнения пути. По этой причине MorphMix включает механизм обнаружения сговора, который следит за всеми малыми группами в выборе узлов пути. Это мешает нечестным узлам регулярно запускать атаку в сети, но не обеспечивает безопасность в каждом случае. В [186] Тэйбриз и Борисов представили атаку на механизм сопротивления сговору в MorphMix.
Другой способ, которым пытаются построить peer-to-peer анонимные сети — это структурный подход [22, 32, 107, 145]. Эти системы в общем случае строят анонимные маршруты просматривая узлы маршрута в распределённой хэш-таблице (DHT). Используя структуру, присущую DHT и добавляя случайность плюс избыточность поисковых запросов, для постороннего наблюдателя затрудняется определение узлов и значений выбора, сделанных при постройке пути. Как и в вышерассмотренных peer-to-peer анонимных системах, безопасность структурированной peer-to-peer анонимных систем, становится ускользающей. В [140] Миттэл и Борисов изучили AP3 [107] и Salsa [145] и нашли, что обе системы имеют значительную утечку поисковых запросов, связанных с обнаружением и выбором маршрутизирующих узлов, утечку, способную компрометировать безопасность выбора маршрута перед противником, имеющим значительно меньшую долю
сети чем предполагалось ранее. В случае Salsa они показали интересный компромисс между механизмами предотвращения активных атак и пассивных наблюдений за запросами. Больше избыточности помогает защищаться от активных атак, но даёт больше утечки информации.
Назад | Оглавление | Дальше