длинна цепочек в tor и анонимность

Что-то я не совсем понимаю. Раскажите в двух словах пожалуйста где ошибка в моих рассуждениях, если она есть конечно.

Допустим есть цепочка в котрой компрометированы (ведут логи и делятся ими) два сервера – первый и последний. Человек зашел на некий ресурс и оставил там айпишник последнего сервера. Ну дальше как его найти? Промежуточный сервер не вел логи/отказался их выдать и ищущий не знает куда за интересующей его инфой ему следовало бы обратится. Разве что слать запросы по всем торовым сервакам в надежде что найдет тот самый первый сервер который как окажется тоже вел логи и в искомый момент выслеживаемый через него коннектился на тот самый промежуточный сервер что отказался давать логи... А если промежуточных серверов больше одного и все они не вели логи то тогда и запросы рассылать бессмысленно. Потому как тот самый первый компрометированый сервер посылал одному промежуточному серваку, а последний компрометированый получал от другого.

В Вашей модели — сервера ведут логи, но чтобы эта модель работала нужно чтобы "взломанными" было значительное число серверов. Иначе нет смысла затевать все это, ведь подразумевается что результат большей часть запросов на предоставление логов должен быть положительным. Пример: зачем ставить тысячи серверов, платить за сетевые, энергетические, и человеческие ресурсы, чтобы в нужный момент расчитывая на логи, обнаружить что нужный пользователь промежуточными выбрал сервера из другой тысячи (на текущий момент) серверов не умеющих фиксировать необходимые для отслеживания данные. Ведь Вы правильно сказали даже если будут писать первый и последний, то результат без промежуточных, в Вашей модели будет нулевой.

Ваша модель работает если предположить что Tor это большой honeypot, но тогда не используйте Tor вообще, не мучайте себя и сеть построением длинных цепей.

Более практичные модели угроз, где считается что основное ядро сети служит именно делу анонимности, предполагают что противник отслеживает при помощи внедренных серверов не цепочку пользователя, а корреляцию его трафика. В этой модели при большей вероятности успешной аттаки, требуется меньшее число ресурсов. И увеличением длины цепочки, можно только ускорить положительный исход такого рода атак.

Очень спорно, расскажите как повысится анонимность, если в цепочке первым и последним будут находиться узлы противника.

Оспаривались не слова Гостя о том, что при отслеживании только цепочек клиента, один не подконтрольный узел в цепочке спасет пользователя. Если атакующий действительно, занимается лишь записями о том куда и откуда прошла cell и ее параметры, то увеличение да — поможет. Спорно что противник будет этим заниматься или заниматься исключительно этим. Cкорей он использует эти записи как дополнительную возможность, при использовании основными — других методов отслеживания пользователей. Поэтому спорным будет в реальных условиях спасение анонимности, через использование в цепочке хотя бы одного нескомпрометированного сервера, особенно если он/они будут промежуточными.

несуществующую, по причине не экономичности, модель угрозы.

Вышеописанная ситуация с "фирменной" VPN для тысячи сотрудников не требует практически никаких затрат (ну разве что на центральое хранилище логов на несколько терабайт) и требует только политической воли руководства – то есть всего нескольких человек. Сотруднки могут даже и не подозревать, что именно они поставили на свои домашние компьютеры.

А вот когда начнётся практика торговли логами, тут уж и обычные пользователи захотят получать прибыль! (не все, конечно, но соотношение будет не в пользу порядочных, увы)

Что-то мне подсказывает что руководство, которое:
а) заинтересовано в выявлении пользователей Tor
б) способно волевым решением обязать сотрудников выполнить и хранить тайну об этом (если скрывать от самих сотрудников назначение утилиты, трудно будет требовать неразглашения. и рано или поздно информация всплывет)
Способно осуществить отслеживание пользователей без привлечения и использования переделанных серверов Tor, с меньшим кругом допущеных лиц и в строгой соответсвии с уровнем допуска.

Главное ответить на вопрос, кому это выгодно? Давайте тогда очертим примерные характеристики такой мощной корпорации/организации, которой есть дело до Tor? И причины по которым есть до нее дело.

Продажи логов инсайдером
в большей степени местный сюжет, не находите? :) Далее по обычным пользователям, к примеру в США очень трепетно закон относится к любой фиксируемой информации, и не важно что операторы узлов не провайдеры, на них тоже распространяются законы — что можно фиксировать и распространять, а чего нельзя из транслируемого чужого трафика.

2 Лыжи_асфальт

"Спорно что противник будет этим заниматься или заниматься исключительно этим. Cкорей он использует эти записи как дополнительную возможность, при использовании основными — других методов отслеживания пользователей."

Понимаете, я в отличие от второго Гостя, рассматривал немного другой случай – не случай внедрившейся в тор единой мощной организации/спецслужбы, а случай наличия по тем или иным причинам (отладка, места не жалко, чтобы были, принято так, на всякий пожарный и т.п.) на множестве серверов независимого ведения логов, к которым уже в дальнейшем могут получить доступ те кто ищет конкретного человека. Не глобальный наблюдатель, а просто достаточно мощная организация которая может попробовать добратся поочередно до всех серверов цепочки. И уже исходя из предположения такой возможности задавал вопросы.

(отладка, места не жалко, чтобы были, принято так, на всякий пожарный и т.п.)

Логи всех событий они или есть или их нет, в Tor отдаленно напоминающее идентификацию цепочек вероятно и можно получить, но только при уровне логирования debug.

В Вашем случае получается, нашлось достаточное количество добровольцев логирующих практически все, без особой надежды потом это все разобрать (записи о событиях не ссылаются друг на друга. при активной нагрузке — она такая всегда на нормальном узле, взаимосвязь между расширением и созданием цепочки уловить не возможно, следовательно узнать на какой id цепочки и с какого изменился в заголовке cell через логи практически невозможно). Это не считая все-таки колосального обьема информации (больше напоминающего мусор, если искать только процесс рождения и смерти цепочек) в этом режиме.

И еще какое-то количество изменивших код, ради момена, когда можно будет поделиться логами с запрашивающим (предположим все чисто по закону, и они делятся с властями, чтобы их не обвинили в пособничестве террористам и прочее).

Вторые наверняка перепутали Tor с чем-то еще, и исчезнут после обычного абуза (если экзиты) или устанут архивировать на черный день созданные ими логи. Первые после отладки если вдруг забудут выключить, заметят явно лишние логи опять таки по их размеру, и вернутся в обычный режим логирования.

Тема логирования черезвычайно преувеличена, сам Tor для этого не создавался, но конечно если найдется мощный противник желающий все и всех зафиксировать, он сможет предпринять попытки. Вопрос надолго ли его хватит при транслировании на своих ресурсах обычный сетевой трафик пользователей. Tor продвигается не как противозаконное средство, следовательно и основная масса трафика проходящего через него, не представляет для криминала/большого_брата(второй имеет другие рычаги нежели отслеживание цепочек) особого интереса.

если скрывать от самих сотрудников назначение утилиты, трудно будет требовать неразглашения

Ну почему же. "Наша комания, в целях защиты от промышленного шионажа и сохранения своих сотрудников от излишнего внмания со стороны конкурентов использует анонимизирующюю сеть. Для облегчения работы службы безопасности ведётся запись логов. Эта информация для внутреннего пользования, которую вы обещали не разглашать, подписывая с нами трудовое соглашене"

Tor продвигается не как противозаконное средство

...что совсем не мешает использовать его в этих целях.

А провигается Tor, в том числе, как средство пособничества диссидентам и прочим "борцам с режмом", каковые этим самым режимом считаются преступниками.

Вобщем, моё мнение осталось прежним: говорить, что удлиннение цепочек бессмысленно – очень сильное утверждение, которое заслуживает дополнительного изучения. Хотя, повторюсь, говорить так полезно, поскольку защищает сеть от перегрузки. ;)

Вобщем, моё мнение осталось прежним: говорить, что удлиннение цепочек бессмысленно – очень сильное утверждение, которое заслуживает дополнительного изучения.

Было бы замечительно если бы Вы провели это исследование. Даже если не рассматривать спорность или не спорность большего числа звеньев, сама предсказуемость в их количестве может поспособствовать успешности других видов атак. Авторы Tor всячески приветствуют исследования в области размерности цепочки. Одновременно можно было бы доказать всем и нам в том числе, что 3-и не оптимальное число, если это действительно так. Конечно в исследовании помимо доказательства увеличения защищенности от "пишущих" узлов, нужно будет учесть в целом безопасность пользователей с учетом и других угроз, известных и описанных на сегодняшний день.

Tor продвигается не как противозаконное средство

Плакаль ))
Ещё про журналистов-диссидентов из стран с тоталитарном режимом расскажите!
И про то, что PGP используется народом для защиты переписки стиля "Привет, Вася, как дела? Пойдём пить пиво!".
На форуме уже внятно писали, что есть такая вещь, которую сложно подделать, имя ей – мотивация. Если исключить специалистов по ИБ, занятых в этой области по роду деятельности (ну работа у них такая!), а также защиту коммерческих секретов (имеет отношение к PGP, анонимность фирмам не нужна), то получим, что весь "стафф" используется по его прямому назначению, нравится ли это кому-либо или нет. Этот факт столь очевиден, что не ясно как можно думать иначе. Даже люди, которые не плохо разбираются в IT на предложение "давай, ставь gpg" отзываются исключительно как "зачем?" и "оно мне не нужно". Чтобы не быть голословным, возьмём переписку "гиков", вот что видим:

Trim your signature
Keep the signature lines at the bottom of your mail to a reasonable length. PGP signatures, and those automatic address cards are merely annoying and are stripped out. Legal disclaimers and advisories are very annoying, and inappropriate to public mailing lists.

http://openbsd.org/mail.html
ну не жалуют они PGP-подписи и не хотят их видеть – атака на подмену письма им видится малореалистичной (и на самом деле таковой является). Более того, остаётся не ясным что можно существенного в данном случае натворить на подмене письма – по-видимому, ничего.
P. S.: на правах флуда.

По поводу длины цепочки: Гость дело, кстати, вам говорит. Надо вам было в институте учить математику а не по клавишам бряцать :) Если корректно расчитать вероятность логирования всей цепочки и вероятность перехвата траффика за счёт корреляций, то ещё большой вопрос что окажется более эффектиным и в каких случаях. Я понимаю, что есть 2 эффекта, имеющих противоположное действие – остаётся только оценить их силу. Используя свою физическую интуицию, извиняюсь за выражение, предположу, что оптимальная длина цепочки с учётом указанных факторов будет зависеть от общего числа работающих нод с одной стороны и от функции распределения по выбору нод в зависимости от их пропускной способности с другой стороны. Скажем так, я бы очень удивился, что число 3 было бы оптимальным как для сети тор из 100 серверов, так и для сети тор из миллиона серверов. Вместо того, чтобы судачить, взяли бы честно и посчитали... (хотя чтобы учесть вероятности связанные с пропускной способностью надо будет постараться).
P. S.: у самого сейчас желания/времени нет на эту задачу.

Надо вам было в институте учить математику а не по клавишам бряцать :) Если корректно расчитать вероятность логирования всей цепочки и вероятность перехвата траффика за счёт корреляций, то ещё большой вопрос что окажется более эффектиным и в каких случаях.

Действительно надо было учить математику, ведь по словам гостя получается, что (m/N)^3 больше (m/N)^2 :) — если ставится вопрос о большей эффективности в атаке с логировании _всей_ цепочки. Хотя атакующий при 3-ех звеньях в цепи и возможности просматривать трафик только на первом и последнем узле, и фиксируя детально данные абсолютно всех cells (при достаточных ресурсах), сможет за счет интерактивной природы Tor достаточно достоверно определять цепочки, не имея записей с промежуточного узла. Но гость заявил что один единственный неподконтрольный узел спасает анонимность пользователя. Что явно не так, даже при большем числе звеньев, а вот чтобы установить как это на самом деле и при каком числе и порядке узлов в цепочке анонимность пользователя не пострадает от "пишущего" противника — можно пока только догадываться.

Впрочем не будем уточнять кому стоило меньше бряцать по клавишам, и если со мной все ясно, то надо и кембридж и MIT и еще множество университетов разгонять, у них математика не правильная и студенты и сотрудники пишут не правильные работы :)

Начните с простого:
Есть сеть тор, 5 узлов. 3 узла ведут логи. Орудует злобный оппонент, который ищет корреляции. Длина цепочки 3.
Поварьируйте эти параметры. Когда модель станет ясна – усложните её. Допустите, что цепочки строятся не случайно, а с учётом пропускной способности нод. Пересчитайте снова. На микросети тор яснее видны все эффекты. Когда поймёте физику задачи – перейдите к реальной сети.

по словам гостя получается, что (m/N)^3 больше (m/N)^2

Если имеюсь ввиду я, оставивший сообщение Гость (17/08/2007 07:36), то в том сообщении вообще не было никаких m и N – поясните, что вы имеете ввиду.

за счет интерактивной природы Tor достаточно достоверно определять цепочки, не имея записей с промежуточного узла

Это как раз другой тип атаки, который и облегчается с увеличением длины цепочки. Если ввести опциональные задержки при передаче ячейки (даже на небольшой промежуток времени), такая угроза будет снижена.
Я же подсчитывал только вероятность события "все построенные цепочки содержат хотя бы один нескомпрометированный узел" в предположении равновероятного выбора и без учёта того, что в цепочке все узлы должны быть различны. Конечно, это некоторым образом "сферический конь в ваккууме", но всё-таки что-то.

можно пока только догадываться

Ну так и я об этом :)

PS
"ячейка" – вполне допустимый и зафиксированный в словарях перевод слова "cell".

который и облегчается с увеличением длины цепочки.

Вот наисал и понял, что это тоже не факт, поскольку с увеличенем длины цепочки ухудшается временная корреляция прохождения ячейки через первый и последний узлы за счёт некоторой случайности, вносимой промежуточными серверами.