Регистрация02.08 // PIR-Tor: концепт-проект доказуемо-безопасного перевода сети Tor на p2p-архитектуру
Ключевая проблема архитектуры сети Tor состоит в том, что он требует от пользователей поддержания глобальных сведений о состоянии системы, что потребует затрат по мере роста системы. Было предложено множество решений на основе p2p-сетей для преодоления опасения по поводу масштабируемости сети Tor, но они обеспечивали только эвристическую безопасность. Фактически, сообщество исследователей в области безопасности было достаточно успешно в преодолении защиты передовых систем, как путём пассивных, так и активных атак.
Исследования новых примитивов в области масштабируемых анонимных коммуникаций, сфокусированные на обеспечении гарантий доказуемой безопасности, представили Prateek Mittal, Nikita Borisov (Кафедра электротехники и компьютерного проектирования университета Иллинойса в Урбана-Шампейн при частичной поддержке национального научного фонда США) и Carmela Troncoso, Alfredo Rial (Католический университет Лёвен, группа по изучению вопросов компьютерной безопасности и промышленной криптографии, Бельгия, совместно с междисциплинарным институтом широкополосных технологий в рамках программы поддержки BCRYPT и программы межуниверситетского взаимодействия, финансируемой правительством Бельгии, а также фламандским исследовательским научным фондом).
Работа этих исследователей называется 
Scalable Anonymous Communication with Provable Security и принята к программе Hotsec'10, 5'th Usenix Workshop on Hot Topics in Security, проходящей совместно с 19th USENIX Security Symposium с 10 августа 2010 года в Вашингтоне.
В первую очередь исследователи сосредоточились на безопасных p2p-анонимных коммуникациях, основанных на взаимной политике соседних узлов. Во-вторых, они представили PIR-Tor, масштабируемую клиент-серверную архитектуру для анонимных коммуникаций, основанную на приватном получении информации (Private Information Retrieval).
В эру всепроникающей слежки наша онлайновая активность записывается, накапливается и анализируется. Анонимные коммуникации — это базовые технологии увеличения приватности, которые скрывают идентичность связывающихся участников от третьей стороны или идентичность пользователя от удалённой стороны. Сеть Tor на данный момент развёрнута для обслуживания сотен тысяч пользователей. Tor используется для защиты приватности журналистов, диссидентов, добровольных организаторов утечек данных о злоупотреблениях, силами охраны правопорядка и даже посольствами государств.
Ключевая проблема архитектуры Tor — необходимость поддерживать глобальные данные о состоянии системы для того, чтобы выбирать узлы случайным образом. По мере роста сети поддержание глобального отображения системы станет затратным. McLachlan и др. показали, что в ближайшем будущем сеть Tor будет использовать на порядок больше трафика для поддержания этого глобального отображения, на котором строятся анонимные коммуникации.
Существующие даже самые передовые анонимные p2p-системы, обеспечивающие лишь эвристическую безопасность, легко взламываются как пассивными, так и активными атаками. Более того, эти системы слишком сложны и их применимость возможна только в сетях со структурированной топологией. Авторы приводят краткий обзор атак на анонимные p2p-системы на примере дизайна MorphMix, сетей с безопасными операциями запроса DHT. Все они дают существенную утечку информации об инициаторе и сторонах соединения.
Первое предложение авторов — это создание p2p-анонимных коммуникаций на основе взаимной политики соседних узлов, которая работает даже в неструктурированных топологиях. Ключевой момент состоит в обходе таблиц отпечатков соседних узлов в топологии, т.е. если враждебный узел X попытается исключить честный узел Y из своей таблицы отпечатков, то честный узел Y также исключит злонамеренный узел X из своей таблицы отпечатков. Авторы формально доказывают, что взаимная политика соседних узлов не даёт никаких преимуществ противнику. Также они показывают механизмы для защиты самой этой политики, как в неструктурированных, так и в структурированных топологиях.
Во-вторых, PIR-Tor может выдерживать значительную долю скомпрометированных узлов в сети. Вместо опрашивания центральных директорий достаточно опросить небольшое число случайных узлов. Это является ключом к масштабируемости архитектуры, а использование PIR-техник защитит клиентов против пассивных атак от злонамеренных серверов.
В модели угрозы анонимных систем с низкой задержкой не предусмотрено сопротивление глобальному наблюдателю. Рассматривается ограниченный наблюдатель, который контролирует f узлов. Даже в сети с большим числом узлов могущественный противник, такой как правительства или крупные организации, потенциально может ввести большое число узлов в сеть, например развернув ботнет. Ботнеты размером 20000 узлов представляют реальную угрозу анонимным системам.
В протоколе взаимных политик соседних узлов пути создаются путём случайного обхода. Инициатор сначала устанавливает цепочку со случайным соседним узлом (отпечатком) A, а затем запрашивает у A его таблицу отпечатков. Затем инициатор выбирает случайный узел B через таблицу отпечатков A и расширяет свою цепочку до B через A. Путём повторения этих шагов устанавливается цепочка необходимой длины. Если узел попытается склонить случайных обход к злонамеренным узлам, то его вероятность самому быть выбранным в качестве промежуточного узла уменьшается, вплоть до сведения эффекта атаки к нулю.
При наличии дополнительных ограничений злонамеренные узлы самоизолируются в небольших участках топологии. Кроме того, политика взаимного исключения удивительно эффективна против активных атак на случайный обход, не увеличивая угрозу пассивных атак. Исследователи смоделировали этот механизм с помощью цепочек Маркова и вывели вероятности соответствующих событий.
В неструктурированных топологиях соседская политика может быть использована совместно с социальными сетями. Предусматривается совместное использование доверенного сервера с таймслотами, который хранит сведения о соседях, но за счёт использования методов слепой подписи не может анализировать эту информацию. За счёт поддержки соседской политики этим сервером, злонамеренный узел X не может сказать узлу Y, что тот включён в сертификат X, поскольку тот не включил Y в свои данные в процессе случайного обхода. По мере увеличения роста числа подписей n в каждый таймслот, поддержание такой статистики и работа с ней станет затратной. Для увеличения масштабируемости предлагается, что сперва все узлы пошлют хэш от своих таблиц маршрутизации доверенному серверу. Затем сервер построит дерево хэшей Меркла над этими сообщениями и подпишет корень дерева. Наконец, сервер пошлёт подпись корня дерева помимо log n хэшей для каждого узла, что позволит узлам доказывать, что они являются частью таблицы отпечатков дерева Меркла, подписанного доверенным сервером. Вычислительные расходы на это будут только n log n хэш-операций на каждый таймслот, а расход трафика только O(nlogn), в отличие от O(n2) в текущей архитектуре Tor. Случайный обход в социальных сетях также устойчив к Сибилл-атакам.
Если в сетях с неструктурированной топологией всё ещё требуется доверенный центральный сервер (хотя такие сети и перспективны с точки зрения противодействия атакам перехвата трафика), то в сетях со структурированной топологией авторы предлагают другой протокол. При этом подразумевается наличие инфраструктуры открытого ключа (PKI), которая используется для проверки назначенных идентификаторов Tor-узлам, но в отличие от существующего на данный момент обычного дизайна сети Tor, не требуется никакого онлайнового взаимодействия с доверенной стороной.
Основная идея в том, чтобы сопоставить каждому узлу сертификат, подписанный его отпечатками. Этот сертификат содержит список отпечатков узлов. Ключевое свойство, которое требуется применить к этому сертификату, состоит в том, что узел должен иметь возможность создавать только единственный сертификат за таймслот, который является глобально проверяемым. Глобальная проверяемость должна гарантировать, что соседние узлы могут проверить этот сертификат и принять решение о его включении в свою собственную таблицу отпечатков и каждый узел в сети также должен иметь возможность проверить сертификат для безопасного процесса случайного обхода. Единственный проверяемый сертификат в таймслоте гарантирует, что узел X не может сказать узлу Y, что тот включен в сертификат X путём предоставления другого сертификата, который не включает Y в процессе случайного обхода.
Для уникальности сертификатов в таймслотах применяется методика проверки дистанции. Для проверки уникальности узлы вычисляют среднюю дистанцию между оптимальными отпечатками, основанными на структуре топологии отпечатков, перечисленных в сертификате. Если дистанция больше порогового значения, то сертификат отбрасывается.
PIR-Tor
Защита анонимных коммуникаций в peer-to-peer сетях чрезвычайно сложное дело. Для гарантии случайного выбора узлов в качестве переотправителей коммуникации в проектах безопасных систем делается предположение, что идентификаторы узлов распределены равномерно и случайно в пространстве идентификаторов, а доля злонамеренных узлов не выше 20%. Сегодня сеть Tor имеет всего-лишь около 2500 узлов и если их сейчас перевести на peer-to-peer архитектуру, то для противника будет несложно внедрить 500 узлов для пересечения 20%-ного порога. Новая предполагаемая архитектура способна выдерживать компрометацию такого же количества узлов, как и в текущей сети Tor, но позволяет значительно увеличить сеть.
Пользователям не нужно будет больше получать полный список узлов сети от центральных серверов директорий. Достаточно знать только несколько узлов, чтобы построить случайную цепочку. Однако знание только нескольких узлов сети делается пользователя уязвимым к атакам на получения пассивных отпечатков маршрута от злонамеренной директории, даже в модели "честный-но-любопытный", что является текущей моделью угрозы для Tor, также как и для его расширений. Следует отметить, что злонамеренные серверы представляют собой реальную угрозу: ранее сервер директорий Tor уже был взломан.
В PIR-Tor используется модель приватного получения информации для решения проблемы масштабируемости Tor. Центральные серверы содержат базы данных IP-адресов доступных Tor-маршрутизаторов, а клиенты получают отдельные данные по узлам путём такого запроса, повторяя его столько раз, сколько им требуется для построения цепочки. Это уменьшает расходы на трафик при передаче всего списка. В тоже время этот протокол сохраняет приватность пользователя против враждебных серверов директорий. За счёт применения PIR-протокола результат такого выбора также безопасен, как если бы клиент скачал весь список и выбрал узлы самостоятельно. При этом требуется минимальное внесение изменений в существующую архитектуру Tor, а в дополнение система получает гарантии доказуемой безопасности.
В сети Tor клиенты не выбирают узлы полностью случайно, а в соответствии со значительными ограничениями. Например, первый узел должен быть сторожевым (стабильным в смысле значительного нахождения по времени в онлайне), а последний узел должен быть исходящим. В PIR-Tor информация о каждой политике и аптайме маршрутизатора также включается в базу данных, однако это замедляет приватный поиск. Для этого серверы директорий планируется разделить на три типа: только для исходящих, промежуточных и входящих узлов. Поскольку многие серверы включены сразу в несколько этих категорий, то потребуются дополнительные запросы. Предусмотрено оптимизированное представление сторожевых узлов и учёт пропускной способности.
Симуляция производительности Tor-сети проводилась при использовании схемы приватного получения информации Кушевитца-Островского, основанной на гомоморфном шифровании Гольдвассера-Миккали с размером ключа 1024 бита. PIR-протокол является информационно-теоретически стойким и позволяет множеству серверов хранить копию базы данных, так что клиент может запрашивать все из них для получения информации. Это безопасно, пока t из l серверов не сотрудничают в злонамеренном сговоре.
По данным симуляции время на получение одного IP-адреса Tor-маршрутизатора слабо возрастает в зависимости от количества узлов, миллисекунды:
| Nodes | 1500 | 2500 | 5000 | 10000 | 15000 | 20000 |
| CPIR | 2.3 | 2.9 | 4.2 | 6.0 | 7.2 | 7.9 |
Источник: ESAT/COSIC, IBBT-K.U.Leuven
комментариев: 9796 документов: 488 редакций: 5664
Да, авторы почему-то не отметили, что в текущей версии Tor статистика DA тоже зеркалируется на большинстве Tor-маршрутизаторов в пределах таймслота (промежутка времени действия).
Самое очевидное, что если число таких узлов возрастёт с 1500 до 200000, то DA не будут справляться даже с раздачей статистики только для этих узлов. А также проведением проверок, голосований и консенсусов. А в PIR-Tor эту проблему как-бы решат. Разделение узлов статистики на входные, промежуточные и исходящие тоже снизит уязвимость к потенциально злонамеренным узлам. И наконец, протокол PIR, по которому клиенту не нужно скачивать весь список, а достаточно выбрать нужное из списка, не видя самого списка так, что узел, отдающий список не может быть нечестным: не может ни повлиять на выбор, ни увидеть, что клиент выбрал и скачал. При этом запросы при составлении цепочки идут к разным узлам, так что им труднее сговориться и составить фальшивый список.
Тенденция такова, что в последних работах на эту тему авторы вводят много сложных протоколов: электронных голосований, анонимного поиска в базах данных без подключения к ним по анонимному каналу и т.д., которые малопонятны без прочтения соответствующих работ. В то время как Tor построен на достаточно консервативных, наиболее простых и проверенных временем криптопротоколах. Хотя они может и не покрывают все потребности анонимности, но и не содержат каких-то неизученных малоочевидных дыр, которые могут выплыть при экспериментировании с новыми протоколами, как это обычно бывает.
Хотя авторы и утверждают, что стремились к простоте и доказуемой безопасности.
200к клиентов можно обслуживать даже одним сервером, если правильно оптимизировать софт, так что эти исследователи занимаются не тем, чем нужно. А прежде всего нужно думать, откуда взять эти 200к Tor узлов. Сейчас количество Tor узлов просто смешное, это полный ноль в сравнении даже с самым хиленьким ботнетом. Абсолютно любой противник с бюджетом $1000 может скомпрометировать сеть, введя в нее пару тысяч своих узлов. Этого еще не произошло потому, что никто не придумал, как извлечь доход из массовой деанонимизации пользователей Tor.
Более-менее поднять бюджет для атаки можно лишь обеспечив наличие не менее нескольких миллионов узлов в сети, что возможно только обязав ВСЕХ пользователей сети делиться своим трафиком друг с другом. Любишь кататься – люби и саночки возить. Обязательно необходимо учитывать этот трафик, и регулировать полосу каждого пользователя в соответствии с тем, сколько через него проходит чужого трафика, а для злостных читеров предусмотреть возможность бана.
Практика показывает, что на добровольном альтруизме далеко не уедешь, принудительный альтруизм – вот ключ к успеху. Именно принуждение делиться своими ресурсами – секрет успеха Torrent трекеров, у которых бывают десятки миллионов пользователей, а добровольный альтруизм – причина провала ed2k, где сейчас трудно скачать не фейк с приемлемой скоростью. Если не менять политику развития, то Tor ждет то-же самое. Количество пользователей будет расти, скорость снижаться, интерес различных ведомств будет возрастать. Я затрудняюсь сказать что произойдет раньше: массовая компрометация с повальными арестами, или массовый переход на другой, более быстрый протокол.
комментариев: 9796 документов: 488 редакций: 5664
Оценочно сейчас сетью Tor пользуются 250000 пользователей.
Нормальной теоретической базы для построения анонимных p2p-протоколов для туннелирования трафика в реалтайме нет. Эта работа — ещё один робкий шаг в этом направлении. Просто есть люди, которые наивно думают: "давайте прикрутим шифрование к торренту и будем анонимны". Но количество атак разрушающих такую анонимность столь велико, что даже теоретики не берутся их внятно смоделировать. Опять же, может и правильный, но наивный подход "давайте сделаем как можно больше узлов и все атаки сами отпадут". Это тривиально и все исследователи об этом знают. Но видимо не всё так просто.
комментариев: 11558 документов: 1036 редакций: 4118
Не то чтобы это было очень принципиально, но Ваша оценка бюджета сильно недооценена.
Это означает, что пользователи i2p могут быть легко деанонимизированы?
Я не фанат торрентов. Торрент — это ложа, и если ты не член её, тебе ничего не скачать. Быстрее найдёшь нужно по гуглу и скачаешь с файлообменного сервиса, чем будешь сутками ждать закачки с торрента (это и tpb касается), т.е. торрент — для очень замороченных на фмильмах и музыке людей, которые постоянно что-то качают, качают, качают...
На альтруизме в жизни много что держится, например, этот сайт. Тоже ведь можно рассуждать торрентоподобно: кто не пишет на форум дельные посты, тот не может и читать его, а то пишут, видите ли, систематически, человек 10, а читают — сотни. Несправедливость. Ещё можно прикрутить рейтинги/кармы/допуски и прочее балабольство. В общем, я не разделяю ваш энтузиазм по поводу торрентов, хотя и согласен, что где-то это может быть уместно.
А десятки миллионов – фанаты.
Ну так вступай и качай, это стоит того. Пора бы привыкнуть, что бесплатного ничего не бывает, хочешь быстро качать качественный контент – изволь его же раздавать.
tpb – это открытая немодерируемая помойка, там хорошо раздаются top10 раздач в каждой категории, а остальное как повезет. На нормальных трекерах любая раздача качается сразу и во всю ширину вашего канала благодаря системе рейтингов, вынуждающих скачавших оставаться на раздаче. Еще раз повторю: альтруизм приносит плоды тогда, когда альтруистом быть выгодно, или им нельзя не быть.
Неуместная аналогия. Чтение постов всеми желающими ничего не стоит для тех, кто их пишет. Раздача файлов для неопределенного круга хадлявщиков стоит трафика, который всегда ограничен. Если бы автор поста на форуме платил копейку за каждое его прочтение, то полагаю, что рейтинги, карма и допуски стали бы обязательным условием существования форума.
комментариев: 9796 документов: 488 редакций: 5664
После знакомства с достаточным количеством исследований в области анонимности можно сделать по-крайне мере один вывод: ни i2p, ни FreeNet, ни GnuNet, ни множество других разработок не исследовались всерьёз научным сообществом (и вероятно не будут исследоваться, если их разработчики не поменяют свою политику разработки). Разработчики этих сетей вероятно не предоставили серьёзного теоретического обоснования своих работ, ведут их больше как хакерские проекты, поэтому и отношение к ним со стороны исследователей будет долго оставаться соответствующим.
Даже малоизвестные сети, которыми никто не пользуется, но представленные как концептуальная теоретическая разработка, получают больше внимания в научных кругах (и в большинстве случаев там находят серьёзные уязвимости).
Возможно, (всего лишь предположение) исследователи даже негласно считают (можно считать это снобизмом, предубеждением или просто экономией исследовательских ресурсов), что все практически существующие анонимные p2p-сети менее стойкие, чем даже концепт-разработки, представленные официальным научным сообществом, поэтому интереса не представляют.
Сложные криптопротоколы и анонимные системы маловероятно разработать только по принципу "just works" или на идеях наивного OpenSource, без официальной научной поддержки и грамотной организации разработки (с теоретическим обоснованием, с презентациями на конференциях, дорожными картами, proposal-учётом и прочей бюрократией, при этом ещё и прозрачной).
А теперь представим, насколько сложно будет разработать систему анонимных рейтингов (ведь цель-то создать анонимную сеть) без возможности сибилл-атак (создания множества подставных псевдонимов) и без утечки деанонимизирующей информации о пользователе (за счёт всевозможных корреляций при анализе трафика). Частично это затронуто в работе Сочетание анонимности с ответственностью. Но в итоге может получиться громоздкий протокол с системой анонимных голосований, рейтингов и пр., который трудно разработать, сделать практичным и доказать его стойкость. По крайней мере десятилетиями такие протоколы считались теоретическими игрушками.
В проекте PIR-Tor хоть как-то (и то, скорее всего не до конца) сделана попытка решить проблему накачки сети фальшивой статистикой от злонамеренных соседних узлов и проблема изоляции пользователя за счёт активного атакующего, перекрывающего доступ к честным узлам и оставляющим связь только с подконтрольными. Возможно в других "анонимных" сетях эта проблема не решена никак вообще. Как не решена она в ремейлерах первого и второго поколения, где источник статистики вообще недоверяем.
На безлимитных тарифах (что, на мой взгляд, мейнстрим) это может волновать только провайдера (а когда канал самому нужен, есть шейпинг для раздач). Скорее беспокоят копирайтные риски.
А вот это:
придумки жадных до наживы говнотрекеровладельцев.
А если предлагать пользователям выкупать логи их Tor-серфинга под угрозой найти более сговорчивых покупателей?
комментариев: 9796 документов: 488 редакций: 5664