28.10 // Концепция построения цепочек в Tor-сети в зависимости от доверия к узлам


Большинство из теоретических моделей и множество из практических воплощений анонимных систем основаны на нереалистичном предположении, что доверяемые и недоверяемые узлы в сети расположены случайным и равномерным образом. Но если противник может контролировать значительную часть узлов то даже увеличение сети не приведёт к росту анонимности.

Исследователи Арон Джонсон, Пол Сайверсон (Исследовательская Лаборатория ВМФ США), Роджер Динглдайн, Ник Мэтьюсон (The Tor Project) предложили неравномерную модель выбора узлов в луковичной маршрутизации (OR). Они приводят обоснования того, что даже при компрометации существенной части сети, модель выбора маршрута, построенная на доверии, лучше справляется с защитой анонимности пользователей чем случайный выбор узлов. При этом также лучше происходит защита и от сговора операторов узлов между собой или третьей стороной.

Сами по себе пользователи не могут узнать, какой узел скомпрометирован. Но что, если рассмотреть такие организации как ВМФ США, которые создали OR, и которые могут запускать, обслуживать, защищать и контролировать узлы для собственных целей, имея для этого все необходимые ресурсы? Конечно они могут создать свою собственную анонимную сеть, но она будет обеспечивать анонимность только отдельным пользователям, но не всей организации в целом, так как будет связана с данной организацией. Другой вариант — это когда организация развернёт свою подсеть внутри анонимной сети и будет отдавать ей предпочтение в использовании. Так она защитится от атак корреляции входа-выхода, но подвергнет себя другим атакам. Предпочтение использования данной подсети раскроет саму подсеть, а трафик исходящий из данной подсети будет опять связан с данной организацией. Попытки сохранения подсети в секрете малоэффективны из-за наличия характерных паттернов использования и утечек сведений изнутри. Авторы утверждают, что в своём алгоритме они смогли справиться и с этой проблемой.

В P2P-сетях Дейнезис и Клэйтон показывали атаки профилирования узлов на основании того, что пользователю доступны сведения лишь о части узлов, что сказывается на характеристиках его трафика. В качестве меры решения этой проблемы в сети Tor пользователи получают полную статистику, содержащую сведения о всех узлах. Это порождает проблемы в масштабировании, но поскольку Tor не является P2P-сетью, то количество клиентов много больше количества узлов. Некоторое разграничение в модели равномерного выбора было связано с введением сторожевых узлов, доверие к которым строится только на основании пропускной способности и времени работы в сети. Оказалось, что зная количество узлов сети, проще выбрать оптимальную стратегию построения цепочек.

Используя downhill-оптимизацию, авторы смогли добиться решения следующего компромисса: чем больше доверенных узлов в выборе путей, тем меньше вероятность раскрытия, но тем больше связываемость путей с конкретными пользователями. Их метод позволяет эффективно выбирать доверяемые цепочки при условии того, что о факте использования такого метода выбора знает противник.

Авторы сравнили метод оптимизированного ("Downhill"), доверяемого (случайный неоптимизированный выбор с предпочтением доверенных узлов) и полностью случайного (равномерно из всего множества узлов) построения путей и получили следующие результаты математического ожидания вероятностей раскрытия при разном типе выбора (вычисления проводились на небольшом количестве условных пользователей — 1000):

1) Небольшое количество доверяемых и недоверяемых узлов, например когда пользователь имеет информацию о небольшом числе хороших и плохих узлов и мало что знает про остальные.

Количество узлов 5100010
Вероятность компрометации узлов0.010.10.9
Оптимальный порог доверия0.010.10.9

ОптимизированныйДоверяемыйСлучайныйНижний порог
0.02740.25190.10880.01

2) Небольшое количество доверяемых, среднее полудоверяемых и большое число недоверяемых, например, когда противник достаточно сильный, но у пользователя и его друзей есть некоторое количество узлов.

Количество узлов 5501000
Вероятность компрометации узлов0.0010.050.5
Оптимальный порог доверия0.050.5-

ОптимизированныйДоверяемыйСлучайныйНижний порог
0.05500.17510.47630.01

3) Сравнимо большое количество доверяемых, полудоверяемых и недоверяемых узлов, например, когда пользователь назначает доверие по географии регионов.

Количество узлов 350350350
Вероятность компрометации узлов0.10.50.9
Оптимальный порог доверия0.10.9-

ОптимизированныйДоверяемыйСлучайныйНижний порог
0.10210.10270.50000.1

Интересно, что в первом случае неоптимизированный метод выбора доверяемых узлов даёт существенно худшие результаты, чем полностью случайный. В третьем случае оптимизация показывает незначительные преимущества перед неоптимизированным выбором доверямых узлов.
Но, как показывают результаты авторов, применённый ими метод оптимизации в целом даёт лучшие результаты во всех случаях (минимальное значение величины ожидания вероятности раскрытия) и даёт в среднем от четырёхкратного до максимум восьмикратного преимущества.

Однако, это учитывает лишь построение однократного соединения. При сохранении оптимальной анонимности во множественных соединениях усложняются как сами алгоритмы, так и их оценки, однако исследователи остаются оптимистичными.

В новом дизайне сети возникают и новые нерешённые проблемы — как будут влиять друг на друга в плане анонимности пользователи, придерживающиеся разных стратегий? Как быть с противником, манипулирующим доверием? Как оптимизировать модель одновременно против нескольких разных противников, когда раскрытие анонимности перед одними может быть менее желательно, чем перед другими? Как быть с нестатичным злоумышленником — блуждающим взломщиком узлов?

Тем не менее, вариант будущего анонимных сетей, включающий в себя оптимизацию компромисса выбора между доверяемыми и случайными посторонними узлами, позволяет решить ряд проблем, в частности, привлечь к участию в сети не только пользователей с разными интересами, но и сделать перспективным внедрение групп узлов от крупных организаций (как для самих этих организаций, так и для рядовых пользователей), которые могут представлять интересы противоборствующих сторон.

Исследование проводилось при финансовой поддержке ONR (Центр военно-морских исследований), NSF (Национальный научный фонд), DARPA (Агентство перспективных оборонных исследований).

Работа была представлена на 18-ой конференции ACM по безопасности компьютеров и систем связи[link1]

Источник: The Free Haven Project[link2]

Ссылки
[link1] http://www.sigsac.org/ccs/CCS2011/

[link2] http://freehaven.net/~arma/anonymity-trust-ccs2011.pdf