Сеть с защитой от глобального наблюдателя
Сейчас активно развиваются I2P и Tor — сети, жертвующие защитой от глобального наблюдателя в обмен на маленькое время отклика. То есть анонимность растет с ростом количества трафика, а время отклика всегда маленькое.
А какие есть сети, ориентирующиеся прежде всего на высокую степень анонимности? То есть чтобы с ростом количества трафика росла скорость, а степень анонимности всегда была достаточно высокой и зависела только от топологии сети (кол-ва пользователей, связей между ними и т.д.), а не от времени.
И если такого нет, то почему? Вроде бы тот же Tor вполне возможно адаптировать под такие требования (например, заставить сервера ждать определенного кол-ва запросов перед тем, как отправлять их дальше и добавить padding чтобы пакеты не идентифицировались по размеру), только вот ждать страниц придется дольше. Понятно, что Tor просто не сможет привлекать пользователей, если скорость будет совсем плохая, но нет ли сетей с другими целями, вроде пересылки email? И насчет FreeNet: для этого проекта приоритетнее скорость или анонимность?
комментариев: 9796 документов: 488 редакций: 5664
Ну вот хоть какое-то взаимопонимание позиций. У меня крутилась в голове идея — предложить проект плагинов к Tor.
Даже не плагинов (разработчики скорее сразу эту идею зарубят и я на их месте так же бы поступил), а даже не знаю какое модное английское словечко для этой концепции придумать — ну что-то вроде паралелльных сервисов.
Чтобы не пихать в код самого Tora все чудеса анонимизации — римэйлеры, файлообмен, анонимные деньги, гипотетический протокол защиты от глобнаба и прочее, кому что в голову взбредёт и даже плагинами с самим кодом Torа никак не взаимодействовать — чтобы не тащить уязвимости, не делать монстрский проект-комбайн и не выходить за рамки unix-way, нужно от Tora взять только две вещи: псевдодецентрализованную аутентификацию через DA и маскировку трафика под Tor протокол.
То есть для каждого Tor-узла предусмотреть в конфиге поле — дополнительные параллельные сервисы. Клиент скачает и увидит, что такие-то узлы поддерживают не только Tor, но на них запущен к примеру mixminion (или любой другой анонимный протокол) — вот с ним можно и работать другой программой. Трафик должен маскироваться под Tor, а сам Tor сервер должен не разносить паралелльные сервисы по портам, а чтобы затруднить наблюдение выделять нужное при расшифровке пакетов из общего SSL-подобного потока и отдавать на обработку параллельному сервису.
Приоритет — сколько пропускной способности отдать под обычный Tor, сколько под дополнительные сервисы — пусть решают владельцы Tor-узлов Параллельные сервисы — это отдельные программы, которые не будут включаться в код Tor, его разработчиками не будут поддерживаться и должны быть от него максимально изолированными.
Теперь, если хотим добиться какого-то конструктивного результата, пишем коллективным разумом красивый proposal и лоббируем эту идею в roadmap проекта. Это намного проще, чем придумать протокол и шансов на принятие выше. Минусы — просто подкинуть идею разработикам на обсуждение — отвергнут неглядя (некогда им), а красивый и формализованный proposal, на который мы можем убить кучу времени — могут тоже завернуть, но зато хоть обоснованно рассмотрят и покритикуют.
Это не научный подход, а инженерный — для решения одной текущей задачи, часто узконаправленной, временной или оперативной. Чуть более фундаментальные и комплексные вещи так уже не делают, но подход конечно может быть использован на начальном этапе в узком коллективе знающих друг друга людей. Примерно так со слов Шнайера создавался шифр Twofish (только начальный этап разработки).
комментариев: 9796 документов: 488 редакций: 5664
1) Вы хотите ввести задержки? Сеть с полной защитой от глобального наблюдателя должна использовать накопление пулов данных с многочасовыми задержками. Иначе никак. Опровергните специалистов, если сомневаетесь.
2) Хотите ввести полностью покрывающий трафик? Мало того, что это практически нереализуемо и в итоге сеть будет пропускать слишком мало полезных данных, идеального покрывания не получится. Из-за интерактивной природы протоколов всё-равно будут задержки, неравномерности, которые будут выскакивать.
Глобнаб может проводить не только пассивные, но и активные атаки — задержать трафик пользователя, посмотреть где задержится трафик на выходе из сети и получит подтверждение с вероятностью, близкой к 90%, как при обычных активных атаках на пересечение в Tor.
3) Есть протоколы типа "обедающих криптографов", где каждый "подбрасывает монету" в итоге получаем броадкаст, непонятно кем созданный. Но из-за броадкаста пропускная способность такой сети ничтожна, плюс каждый пользователь может анонимно сорвать броадкаст, передавая неверные данные и саботировать работу сети. Улучшенные варианты и аналоги этого протокола есть, но очень сложны и всё равно непрактичны (забавные громоздкие теоретические игрушки со сложной математикой).
А теперь все соберутся в форуме и решат задачу, которую теоретики не могли решить лет тридцать?
Против моего собственного предложения по поводу сателлит-сервисов:
1) К Tor'у придётся прикручивать парсер пакетов — расшифровывать и разбирать какой пакет отправлять в Tor, а какой направить на сателлит-сервис (например будет такое название). Это может дать лишние уязвимости и перегрузку. Разработчики давно против введения дополнительный полей в пакетах. Можно конечно ввести поле только в первом инициализирующем пакете сессии. А другие аутентифицировать от него по упрощённой схеме. Но они отвергали другие предложения с дополнительными полями из-за того, что нарушается число пакетов и объём трафика, проходящий по цепочкам. Поэтому их легче разделять даже неглобальному наблюдателю. Т.е. всё равно придётся корячить протокол Tor под каждый сателлит-сервис.
2) Разрабы Тора продвигали свой проект, а кто-то будет выезжать на готовой популярности? Ну как-бы ничего плохого нет, но возможны разные неприятные коллизии. Допустим, резко станет популярным сервис файлообмена. Многим же нужен музон и кино. И большинство нод переключат квоту трафика на файлообмен, забив на оригинальный Tor и оставив ему 1% трафика, зато пользуясь предоставленной им инфраструктурой аутнтификации.
3) Проблемы репутации. Уязвимость в сателлит-сервисе будет бросать тень на сам проект Tor, хотя они не связаны полностью. В итоге могут создать какой-нибудь левый глючный сателлит-сервис, который станет популярным, а потом пугать — это ваш Tor дырявый. Объяснить рядовому пользователю проблемы этого зоопарка будет сложно.
4) Юридические проблемы. У проекта Tor есть определённая позиция по всем этим проблемам, а если его узлы будут параллельно обслуживать другие сети, то к Torу могут быть требования, например от копирайтеров — отключить файлообмен. Причём могут не разобравшись требовать отключить весь Tor. Хорошо сетям типа Freedom — там всё изолировано от инета, но здесь наоборот.
Скорее всего есть и более серьёзные возражения.
Опять же, был бы благодарен за ссылки.
Вот стремление к идеалу часто приводит к отбрасыванию просто улучшающих, пусть и незначительно, решений. Ну вот почему обязательно "полностью"? Ну да, криптография ещё молода. В устоявшихся же отраслях не брезгуют шевелиться ради улучшения и на доли процента. Кроме того, теория возможна только в некоторой парадигме, которая может оказаться искусственной. Например, учитывалась ли в теории возможность шейпинга траффика? Или если не всем поровну, то и никому?
Что значит "ничтожна"? Если больше скорости набора на клавиатуре – уже хорошо. Ну и см. выше.
Ну, не "догонят", так хоть "согреются" :) Или как, если не можешь играть на чемпионате мира, то лучше лежать и смотреть по телевизору, как это делают другие, думая, что от этого научишься лучше, чем те, что во дворе мяч гоняют?
комментариев: 9796 документов: 488 редакций: 5664
И получаем полную виртуализацию. Где находятся онионы никто не знает, также как и не сможем определить — не висят ли они на одном виртуальном хосте по сто штук пачка. К тому же для onion нужно просто завернуть трафик в Tor — это вам никто не мешает сделать и сейчас. Анонимная сеть внутри анонимной сети.
Над остальным можно было бы думать, но скорее на уровне мечтаний, фантазий и домыслов.
комментариев: 9796 документов: 488 редакций: 5664
Ну да я иронически предложил осуществить бред на практике, спасибо, что развили и поддержали шутку :)
А может она хочет, но ей "прозрачно намекают". Но нам то не намекают! "Что мешает тебе выдумать порох непромокаемый" © Или мы тут уже настолько обленились, что даже мixminion типа портировать не захотим/не сможем?
А чем плох Мixminion over Tor?
комментариев: 9796 документов: 488 редакций: 5664
Т.е. неидеально глобальный глобнаб? Формализуйте модель противника и определитесь, чего вы хотите.
комментариев: 9796 документов: 488 редакций: 5664
Да если что-то где-то не изобрели, во всём виноваты ОНИ. Если бы не ОНИ, то ВСЕ ОСТАЛЬНЫЕ уже бы столько полезного наизобретали, а вот ОНИ не дают.
Подумайте сами на досуге, почему по крайней мере в чистом виде, без кучи дполнительных костылей (которые возможно не спасут) он в таком виде бесполезен.