12.08 // Проект Rangzen обеспечит уклонение от отключения властями каналов связи и электричества

Бюро по вопросам гражданских прав и свобод государственного департамента США выделило грант на совместные исследования Кафедре компьютерных наук университета Беркли и центру исследований информационных технологий в интересах общества по вопросу создания системы анонимной приватной связи, способной работать в экстремальных условиях, таких как гражданские волнения, введение чрезвычайного положения, активность повстанцев, военные действия.

Проект также будет поддерживаться группой института Беркли по вопросам технологий и инфраструктуры для горячих точек и инициативой по вопросам данных и демократии.

В условиях смены репрессивного политического режима, власти нередко переходят от тотальной цензуры интернета к полному выключению всех каналов коммуникаций, включая сотовую и наземную связь для граждан, а в некоторых случаях и к отключению электричества. В этих условиях встаёт задача обеспечения системой связи отрядов повстанцев, ключевых активистов, журналистов, а также просто граждан, не желающих оставаться в информационной блокаде.

В целом, информационные сети несогласных должны удовлетворять следующим требованиям:

• Устойчивость к полному отключению коммуникаций. Должно быть крайне затруднительно отключить каждый элемент сети, чтобы полностью заблокировать её работу.
• Устойчивость к мониторингу и выслеживанию пользователей. Как те, кто использует сети, так и отправляемые ими сообщения должны оставаться в секрете.
• Возможность собрать сеть из безобидно выглядящих компонентов.
• Приемлемый уровень масштабирования.

Традиционно кандидатами на эту роль рассматривались беспроводные меш-сети. Но иследователи обратили внимание, что сами по себе они мало подходят для этих целей. Меш-сети позволяют работать каждой точке в режиме роутера и клиента и различаются по способам построения и управления: с планируемым или естественным ростом, централизованные и децентрализованные, со статичной и мобильной топологией. В большинстве традиционных меш-сетей известна проблема быстрого падения пропускной способности до нуля по мере масштабирования. Проблема связана с тем, что сети рассчитаны на маршрутизацию TCP трафика, который концептуально плохо подходит для такой связи: с каждым хопом возрастает число коллизий пакетов и эффективность падает. Поэтому первым моментом стало определение метода связи, устойчивого к задержкам.

Сами сети несогласных могут быть атакованы не только правительственными силами, но и внедрёнными агентами-инсайдерами среди самих несогласных. Поэтому вопрос о выборе топологии остаётся критическим: так любая централизованная и планируемая топология даёт единую точку отказа даже для властей, оснащённых самыми примитивными средствами радиотехнической разведки или небольшим штатом внедрённых агентов.

Авторы понимают, что сами по себе технологии не могут служить основой политических изменений, они играют мультипликативную, а не аддитивную роль, усиливая возможности в осуществлении как позитивных, так и негативных намерений, поэтому сам факт цензуры и подавления властями коммуникаций рассматривают за рамками технической проблемы. В связи с этим для обеспечения безопасности пользователей им необходимо быть готовыми заранее выстроить отношения доверия и корректно перенести их в сети связи несогласных, кроме того важно уменьшить угрозу пользователям таких сетей, собирая их на основе безобидного оборудования и обеспечивая им анонимность.

Проекты, основанные на использовании нестандартного оборудования, подвергают риску их владельцев в случае пеленгации, обысков и конфискации. Сам факт обнаружения нелицензионного оборудования может служить составом обвинения и приводить к арестам. Даже если оборудование не запрещено, его использование не должно привлекать внимания властей, иначе такие активисты окажутся под давлением, принуждающем их к информаторству (стукачеству) и сотрудничеству. Например, использование больших заметных WiFi-антенн на крышах не запрещено, но легко обнаруживается доносчиками. Таким образом, для сетей несогласных могут быть использованы лишь обычные смартфоны и беспроводные сети внутри домов.

Государственные противники могут проводить анализ содержимого коммуникаций и их характерных паттернов для выявления диссидентов. Хотя шифрование защищает от прослушивания, но оно не защищает от инсайдеров, а распространение ключей может выявлять идентичность пользователей. В идеале, защитой послужила бы не только анонимность, но и полная неотслеживаемость, но это труднодостижимая цель в условиях прослушивания. Компромиссным решением является популяризация использования сетей несогласных для безобидных неинкриминирующих целей и усложнения отслеживания активности пользователя в сетях за счёт анонимности, включающей в себя:

• Анонимность авторов. Невозможность связать документ с его автором.
• Анонимность читателя. Невозможность связать документ с теми, кто его прочитал.
• Анонимность документа. Узлы сети не должны знать, какие документы они хранят.
• Анонимность запросов. Узлы сети не должны знать, какие клиентские запросы они обслуживают.

Остаётся сложной проблема баланса между полной анонимностью (которая ведёт к лёгкости дискредитации сети противником, за счёт наполнения её множеством бесполезной информации и сибил-атакам) и репутационной псевдонимностью (которая очень быстро приводит к деанонимизации по мере накопления сведений о характерных паттернах псевдонима пользователя).

Решение этих задач оформляется в проект Rangzen на платформе организации De Novo Group. Название проекта происходит от тибетского слова, означающего свободу и независимость.

Авторы предлагают отойти от высокой скорости связи и пропускной способности и вводят понятие сетей, устойчивых к задержкам. Основой протокола Rangzen будет служить распределённый контент-ориентированный микроблоггинг, который может распространяться через общедоступные устройства и каналы близкой связи. Вместо пакетов данных, больше предпочтения будет отдано фрагментам сообщений, совмещённых с кодами коррекции ошибок, так что распространять собираемый в цельный файл информацию можно будет не только по беспроводным каналам, но и по носителям, наподобие флэш-дисков, с задержками до нескольких суток ("пешеходные курьерские сети"). Активисты будут собирать информацию из центра, имеющего выход в мир: например спутниковые терминалы интернета и загружать её в сеть для распространения среди участников. Участники также могут отправлять информацию из подверженного блокаде региона между собой и в остальной мир: сведения о преступлениях полиции и вооружённых сил, сообщения об арестах лидеров, координаты протестных акций.

Исследователями представлен первый протокол, который частично затрагивает принципиально нерешаемую проблему: защиту от отказа в обслуживании, сибил-атак, наводнение фальшивой информацией. Он основан на анонимном построении графов доверия, оценки мощности пересекающихся приватных множеств (возможности определения двум узлам количества совместных друзей без их раскрытия), многохоповое расширение сети. Многие части протокола не стойки против государственного противника, который может внедриться и принудить к сотрудничеству большое число участников сети, но по крайней мере они минимизируют ущерб от угроз такого рода.

В протоколе Rangzen предусмотрены фазы нахождения в состоянии готовности до блэкаута интернета (подготовка анонимизированного социального сообщества) и переход в фазу разворачивания устойчивой к задержкам сети в условиях блэкаута коммуникаций. Помимо построения компонентов протокола была проведена и расчётная симуляция его работы: отработаны стратегии внедрения правительственных агентов в граф связи граждан, инфильтрация злонамеренными дезинформирующими сообщениями правительственной пропаганды, распространение сообщений в зависимости от расстояния по числу узлов сети.

В будущем авторы планируют добавить возможность защиты на основе протокола скрытной сигнализации о работе под принуждением так, чтобы этот факт становился известен участникам, но не государственным силам. Будут предприняты меры по снижению объёма сведений из-за утечки графа связей при многохоповом распространении информации. Предполагается популяризация использования проекта для менее вызывающих сценариев: например для обмена приватными сообщениями между друзьями, для подготовки к катастрофам, для недиссидентской активности. Также будут предприняты попытки по улучшению простоты использования среди рядовых пользователей, параллельно с распространением информирующих инструкций по обеспечению безопасности.

Создание анонимных и безопасных сетей связи, устойчивых к государственному противнику, в условиях тотального блокирования коммуникаций, остаётся сложной практической и теоретической проблемой, поднимающей массу неисследованных вопросов и способствующий открытию новых областей знаний. Проект Rangzen — одна из первых попыток сделать серьёзный шаг в данном направлении. В открытый проект приглашаются для участия исследователи из разных областей, студенты, программисты, а первый релиз исходного кода планируется осуществить в 2014 году.

Источник: The Rangzen Project / De Novo Group