id: Гость   вход   регистрация
текущее время 21:46 11/10/2024
Владелец: unknown (создано 09/06/2010 12:16), редакция от 11/06/2010 12:58 (автор: unknown) Печать
Категории: анонимность
создать
просмотр
редакции
ссылки

7 Заключение


Анонимные коммуникации, несмотря на то, что они впервые были предложены свыше 25 лет назад, стали чрезвычайно активной областью исследования с 2000 года. Также чрезвычайно существенно, что системы на основе таких исследований были развёрнуты и использовались для защиты приватности тысяч людей такие системы как Freedom, Tor, JAP и Mixminion.


Исследования в области анонимных коммуникаций также созрели до стадии, когда новые системы должны в обязательном порядке брать во внимание существующую литературу и гарантировать, что они не являются уязвимыми в рамках известных атак и моделей. Цель этой раздела представить дорожную карту наиболее важных системных концепций и ключевых наработок в этой области.


Как и во многих зрелых областях, новые проекты неизбежно смешивают и сочетают элементы, уже существовавшие в старых системах для лучшего сочетания со своим окружением. Проекты, приспособленные для peer-to-peer систем и телефонии — это первый такой пример. Эти системы являются также первым примером проявления внимания исследователей к тому как должны смешиваться и сочетаться идеи: анонимные системы являются хрупкими и даже простая модификация может привести к атакам анализа трафика.


Концепция анонимности в коммуникационных сетях является хорошо понимаемой проблемой. Определения и меры, показывающие свойства анонимности коммуникаций, доступны и используются в оценке систем. Несмотря на все усилия в области безопасности, верхний предел анонимности, которую может обеспечить система, задаётся атакой чёрного ящика: независимо от того, насколько хороша анонимная система, эффективная атака может быть выполнена при долговременном наблюдении на границах анонимной сети коммуникаций. В результате мы делаем утверждение, что использование анонимных коммуникаций может обеспечивать безопасность только тактически (на кратковременый период), а не стратегически, на долгое время.


Модели доверия в ранних анонимных системах коммуникации опирались на один центральный сервер. Эта модель доказанно слабая против принуждения, атак в обслуживании, анализа трафика, проводимого локальной прослушивающей стороной или злонамеренного центрального узла. Централизованные модели доверия вышли из использования в предпочтении к моделям, где доверие распространялось через множество серверов. Доверие ко множеству неизвестных случайных узлов само по себе также представляет серьёзные ограничения, в частности против атакующих, способных ввести большое число коррумпированных узлов в систему (Сибилл-атака [71]). Альтернативой является доверие к узлам, основанное на определённом знании о них и их связях. Как мы отмечали, исследователи ещё только начинают изучать смысл маршрутизации, основанной на доверии [73, 116, 181].


Решения для приложений с высокой задержкой, таких как электронная почта, получили значительное развитие с момента предложения первых схем. Свобода от требований по задержке позволяет создавать безопасные решения, предоставляющие достаточно высокий уровеь сопротивления к атакам и высокий уровень анонимности.


С другой стороны требования низкой задержки серьёзно ограничивают анонимность, которая может быть предоставлена против могущественных противников. Разработанные к настоящему времени решения уязвимы против активных атакующих, которые имеют доступ к двум сторонам коммуникации. В частности вариабельность HTTP-трафика делает сложным маскировку корреляций между входом и выходом на границах сети при использовании атаки чёрного ящика. Можно применять подходы с использованием каскадов с жёстким контролем над тем, кто и как использует канал [114, 158] или использовать свободную маршрутизацию и рост сети (вместе с некоторыми другими ухищрениями, такими как сторожевые узлы) так что для противника будет сложно наблюдать оба конца коммуникации цепочки с существенной вероятностью [63]. Доверие и достоверность могут также играть роль в определении сопротивляемости оконечным корреляционным атакам.


Существует связь в исследованиях по вопросам анонимных коммуникаций и цензуроустойчивости, как решения одних проблем, которые были применены к другим. Необходимо больше исследований для определения, является ли анонимность лучшей тактикой для распространения контента, который может быть подвергнут цензуре, или она вносит такие затраты, которые приводят к ещё большему ограничению распространения контента. Это также связано с вопросами пользовательских свойств, ростом и производительностью, которые усложняют решения по проектированию и развёртыванию сетей.


Наконец, анонимные коммуникации могут быть субъектами широкого спектра атак. Наиболее популярные модели атакующего — это глобальный атакующий (с доступом ко всем коммуникационным линиям, пассивным или активным); и атакующий, способный контролировать только малую часть сети. Предыдущий имеет особый смысл против сравнительно небольших сетей, где доступны контрмеры, основанные на высоких задержках. Против больших сетей с малой задержкой эта модель является слишком сильной (глобальной) и потенциально слишком слабой (если узлы не могут осуществлять никаких активных атак). В последнем случае более разумно подразумевать, что атакующий способен отслеживать только подмножество сети, но может запускать и атаки из некоторой части сети, за которой наблюдает. Анонимные сети наиболее уязвимы против атак, включающих анализ трафика, флудинг, принуждение и атаки на криптографические протоколы (такие как атаки маркировки).


Знание о том, как атаковать системы анонимных коммуникаций растёт также быстро, если даже не быстрее, чем наша способность проектировать безопасные системы. Чем больше систем разворачивается, тем больше раскрывается атак, использующих окружение исполнения или текущее использование анонимных систем. Доказательство дизайна анонимности является нетривиальной проблемой, но мы лишь коснулись поверхностного уровня разработки, разворачивания и проблем эксплуатации анонимных систем.


Назад | Оглавление | Дальше


 
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3