Смешанная сеть

Эта статья нуждается в дополнительных цитатах для проверки . Пожалуйста, помогите улучшить эту статью , добавив ссылки на надежные источники . Неиспользованный материал может быть оспорен и удален. Найдите источники:   «Mix network» – новости   · газеты   · книги   · ученые   · JSTOR ( апрель 2022 г. ) ( Узнайте, как и когда удалить это сообщение )

Смешайте сети ^[1] — это протоколы маршрутизации , которые создают трудно отслеживаемые соединения, используя цепочку прокси-серверов, известную как миксы. ^[2] которые принимают сообщения от нескольких отправителей, перемешивают их и отправляют обратно в случайном порядке к следующему пункту назначения (возможно, к другому узлу смешивания). Это разрывает связь между источником запроса и местом назначения, из-за чего перехватчикам становится сложнее отслеживать сквозные коммуникации. Более того, миксы знают только узел, от которого они немедленно получили сообщение, и непосредственный пункт назначения для отправки перетасованных сообщений, что делает сеть устойчивой к вредоносным узлам микса. ^{[3] [4]}

Каждое сообщение шифруется для каждого прокси-сервера с использованием криптографии с открытым ключом ; результирующее шифрование является многоуровневым, как русская кукла (за исключением того, что каждая «кукла» имеет одинаковый размер), причем сообщение является самым внутренним слоем. Каждый прокси-сервер снимает свой собственный уровень шифрования, чтобы определить, куда отправить сообщение дальше. Если все прокси-серверы, кроме одного, скомпрометированы трассировщиком, невозможность отслеживания все равно может быть достигнута против некоторых более слабых противников.

Концепция смешанных сетей была впервые описана Дэвидом Чаумом в 1981 году. ^[5] Приложения, основанные на этой концепции, включают анонимные ремейлеры (такие как Mixmaster ), луковую маршрутизацию , чесночную маршрутизацию и маршрутизацию на основе ключей (включая Tor , I2P и Freenet ).

Дэвид Чаум опубликовал концепцию Mix Networks в 1979 году в своей статье: «Неотслеживаемая электронная почта, обратные адреса и цифровые псевдонимы» . Статья была написана для его магистерской диссертации вскоре после того, как он впервые познакомился с областью криптографии благодаря работам по с открытым ключом , Мартина Хеллмана криптографии Уитфилда Диффи и Ральфа Меркла . Хотя криптография с открытым ключом шифровала безопасность информации, Чаум полагал, что в метаданных, обнаруженных в сообщениях, есть уязвимости личной конфиденциальности. Некоторые уязвимости, которые позволили поставить под угрозу личную конфиденциальность, включали время отправки и получения сообщений, размер сообщений и адрес исходного отправителя. ^[2] В своей работе он цитирует статью Мартина Хеллмана и Уитфилда «Новые направления в криптографии» (1976).

Такие новаторы, как Ян Голдберг и Адам Бэк, внесли огромный вклад в технологию микснетов. В эту эпоху произошел значительный прогресс в криптографических методах, которые были важны для практической реализации микснетов. Миксети начали привлекать внимание в академических кругах, что привело к увеличению количества исследований по повышению их эффективности и безопасности. Однако широкое практическое применение по-прежнему было ограничено, и микснеты оставались в основном на экспериментальной стадии. Программное обеспечение «шифропанк-ремейлер» было разработано, чтобы людям было проще отправлять анонимные электронные письма через микснеты. ^[6]

В 2000-х годах растущая обеспокоенность по поводу конфиденциальности в Интернете подчеркнула важность смешанных сетей (микснетов). Эта эпоха ознаменовалась появлением Tor (Луковый маршрутизатор) примерно в середине 2000-х годов. Хотя Tor не был простой реализацией микснета, он во многом опирался на основополагающие идеи Дэвида Чаума, в частности, используя форму луковой маршрутизации, близкую к концепциям микснетов. Этот период также стал свидетелем появления других систем, которые в различной степени включали в себя принципы смешанных сетей, и все они были направлены на повышение безопасного и анонимного общения.

В 2010-е годы произошел значительный сдвиг в сторону повышения масштабируемости и эффективности микснетов. Это изменение было вызвано введением новых протоколов и алгоритмов, которые помогли преодолеть некоторые основные проблемы, которые ранее препятствовали широкому развертыванию микснетов. Актуальность микснетов резко возросла, особенно после 2013 года, после Эдварда Сноудена разоблачений об обширных программах глобального наблюдения. В этот период вновь стали уделять внимание микснетам как важнейшим инструментам защиты конфиденциальности.

Предстоящее появление квантовых вычислений окажет большое влияние на микснеты. ^{[ нужна ссылка ]} С одной стороны, это создает новые проблемы, поскольку квантовые компьютеры очень мощны и могут взломать некоторые из нынешних методов безопасности, используемых в смешанных сетях. С другой стороны, это также предлагает возможности сделать микснеты лучше и сильнее. В связи с этим очень важно разрабатывать новые методы безопасности, способные противостоять квантовым вычислениям. Это поможет гарантировать, что микснеты смогут продолжать обеспечивать надежную конфиденциальность и безопасность, даже несмотря на то, что технологии меняются и развиваются.

Участник А готовит сообщение для доставки участнику Б , добавляя к сообщению случайное значение R и запечатывая его открытым ключом адресата. ${\displaystyle K_{b}}$, добавляя адрес B, а затем запечатывая результат открытым ключом микса. ${\displaystyle K_{m}}$. М открывает его своим секретным ключом, теперь он знает адрес Б и отправляет ${\displaystyle K_{b}(message,R)}$ к Б.

${\displaystyle K_{m}(R1,K_{b}(R0,message),B)\longrightarrow (K_{b}(R0,message),B)}$

Для этого отправитель берет открытый ключ микса ( ${\displaystyle K_{m}}$) и использует его для шифрования конверта, содержащего случайную строку ( ${\displaystyle R1}$), вложенный конверт, адресованный получателю, и адрес электронной почты получателя ( B ). Этот вложенный конверт зашифрован открытым ключом получателя ( ${\displaystyle K_{b}}$) и содержит еще одну случайную строку ( R0 ) вместе с телом отправляемого сообщения. После получения зашифрованного конверта верхнего уровня микс использует свой секретный ключ, чтобы открыть его. Внутри он находит адрес получателя ( B ) и зашифрованное сообщение, предназначенное для B . Случайная строка ( ${\displaystyle R1}$) отбрасывается.

${\displaystyle R0}$ необходим в сообщении для того, чтобы злоумышленник не смог угадать сообщения. Предполагается, что злоумышленник может наблюдать за всеми входящими и исходящими сообщениями. Если случайная строка не используется (т.е. только ${\displaystyle (K_{b}(message))}$ отправляется в ${\displaystyle B}$), и злоумышленник вполне догадывается, что сообщение ${\displaystyle message'}$ был послан, он может проверить, ${\displaystyle K_{b}(message')=K_{b}(message)}$ удерживается, благодаря чему он может узнать содержание сообщения. Добавляя случайную строку ${\displaystyle R0}$ злоумышленник не может выполнить такого рода атаку; даже если он угадает правильное сообщение (т.е. ${\displaystyle message'=message}$ верно) он не узнает, прав ли он, так как не знает тайного значения ${\displaystyle R0}$. Практически, ${\displaystyle R0}$ действует как соль .

Что сейчас необходимо, так это способ для B ответить A сохраняя при этом личность A в секрете от B. ,

Решение состоит в том, чтобы А сформировал неотслеживаемый обратный адрес. ${\displaystyle K_{m}(S1,A),K_{x}}$ где ${\displaystyle A}$ это его собственный реальный адрес, ${\displaystyle K_{x}}$ является открытым одноразовым ключом, выбранным только для текущего случая, и ${\displaystyle S1}$ — это ключ, который также будет действовать как случайная строка для целей запечатывания. Затем A может отправить этот обратный адрес B как часть сообщения, отправленного с помощью уже описанных методов.

Б отправляет ${\displaystyle K_{m}(S1,A),K_{x}(S0,response)}$ в M, а M преобразует его в ${\displaystyle A,S1(K_{x}(S0,response))}$.

В этом миксе используется строка битов ${\displaystyle S1}$ что он находит после расшифровки части адреса ${\displaystyle K_{m}(S1,A)}$ в качестве ключа для повторного шифрования части сообщения ${\displaystyle K_{x}(S0,response)}$. Только адресат A может расшифровать полученный результат, поскольку A создал оба ${\displaystyle S1}$ и ${\displaystyle K_{x}}$. Дополнительный ключ ${\displaystyle K_{x}}$ гарантирует, что микс не сможет увидеть содержимое ответного сообщения.

Ниже показано, как B использует этот неотслеживаемый обратный адрес для формирования ответа A посредством нового типа смеси:

Сообщение от А ${\displaystyle \longrightarrow }$ Б :

${\displaystyle K_{m}(R1,K_{b}(R0,message,K_{m}(S1,A),K_{x}),B)\longrightarrow K_{b}(R0,message,K_{m}(S1,A),K_{x})}$

Ответное сообщение от Б. ${\displaystyle \longrightarrow }$А :

${\displaystyle K_{m}(S1,A),K_{x}(S0,response)\longrightarrow A,S1(K_{x}(S0,response))}$

Где: ${\displaystyle K_{b}}$ = , открытый ключ B ${\displaystyle K_{m}}$ = открытый ключ микса.

Адресат может ответить источнику, не жертвуя анонимностью источника. Ответное сообщение разделяет все преимущества производительности и безопасности с анонимными сообщениями от источника к месту назначения.

Хотя смешанные сети обеспечивают безопасность, даже если злоумышленник может видеть весь путь, смешивание не является абсолютно идеальным. Злоумышленники могут проводить долгосрочные корреляционные атаки и отслеживать отправителя и получателя пакетов. ^[7]

Злоумышленник может выполнить пассивную атаку, отслеживая входящий и исходящий трафик смешанной сети. Анализ времени прибытия между несколькими пакетами может выявить информацию. Поскольку в пакеты активно не вносятся изменения, подобную атаку трудно обнаружить. В худшем случае атаки мы предполагаем, что все звенья сети доступны для наблюдения злоумышленнику, а стратегии и инфраструктура смешанной сети известны. ^[2]

Пакет на входном канале нельзя сопоставить с пакетом на выходном канале на основе информации о времени получения пакета, размере пакета или содержимом пакета. Корреляция пакетов на основе синхронизации пакетов предотвращается путем пакетной обработки, а корреляция на основе содержимого и размера пакета предотвращается с помощью шифрования и заполнения пакетов соответственно.

Межпакетные интервалы, то есть разница во времени между наблюдением двух последовательных пакетов в двух сетевых каналах, используются для определения того, передают ли каналы одно и то же соединение. Шифрование и заполнение не влияют на интервал между пакетами, относящийся к одному и тому же IP-потоку. Последовательность межпакетных интервалов сильно различается в зависимости от соединения, например, при просмотре веб-страниц трафик происходит пакетами. Этот факт можно использовать для выявления связи.

Активные атаки могут осуществляться путем введения в целевой поток пакетов, содержащих уникальные временные характеристики. Злоумышленник может выполнять атаки, пытаясь идентифицировать эти пакеты в других сетевых каналах. Злоумышленник может оказаться не в состоянии создавать новые пакеты из-за необходимого знания симметричных ключей во всех последующих миксах. Пакеты воспроизведения также нельзя использовать, поскольку их легко предотвратить с помощью хеширования и кэширования. ^[2]

В целевом потоке могут возникнуть большие пробелы, если злоумышленник отбрасывает в потоке большие объемы последовательных пакетов. Например, запускается симуляция отправки 3000 пакетов в целевой поток, где злоумышленник отбрасывает пакеты через 1 секунду после начала потока. По мере увеличения количества последовательных отброшенных пакетов эффективность защитного отбрасывания значительно снижается. Введение большого зазора почти всегда создает узнаваемый элемент.

Злоумышленник может создавать искусственные всплески. Это делается путем создания подписи из искусственных пакетов, удерживая их на канале в течение определенного периода времени, а затем освобождая их все одновременно. Защитное отбрасывание в этом сценарии не обеспечивает защиты, и злоумышленник может определить целевой поток. Есть и другие меры защиты, которые можно принять, чтобы предотвратить это нападение. Одним из таких решений могут быть адаптивные алгоритмы заполнения. Чем больше пакеты задерживаются, тем легче определить поведение и, следовательно, можно наблюдать лучшую защиту.

Злоумышленник также может рассмотреть другие атаки по времени, помимо межпакетных интервалов. Злоумышленник может активно изменять потоки пакетов, чтобы наблюдать за изменениями в поведении сети. Пакеты могут быть повреждены, чтобы вызвать повторную передачу TCP-пакетов, поведение которых легко проследить и выявить информацию. ^[8]

Предположим, злоумышленник может видеть сообщения, отправляемые и получаемые в пороговых миксах, но он не может видеть внутреннюю работу этих миксов или то, что они отправляют. Если злоумышленник оставил свои собственные сообщения в соответствующих миксах и получил одно из двух, он может определить отправленное сообщение и соответствующего отправителя. Злоумышленник должен поместить свои сообщения (активный компонент) в микс в любой момент времени, и сообщения должны оставаться там до отправки сообщения. Обычно это не активная атака. Более слабые злоумышленники могут использовать эту атаку в сочетании с другими атаками, чтобы вызвать больше проблем.

Смешанные сети обеспечивают безопасность путем изменения порядка получаемых ими сообщений, чтобы избежать создания значительной связи между входящими и исходящими сообщениями. Миксы создают помехи между сообщениями. Помехи накладывают ограничения на скорость утечки информации наблюдателю микса. В миксе размера n злоумышленник, наблюдающий за входными и выходными данными микса, имеет неопределенность порядка n при определении совпадения. Этим может воспользоваться спящая атака. В многоуровневой сети пороговых миксов со спящим в каждом миксе есть уровень, получающий входные данные от отправителей, и второй уровень миксов, которые пересылают сообщения в конечный пункт назначения. Благодаря этому злоумышленник может узнать, что полученное сообщение не могло прийти от отправителя в какой-либо микс уровня 1, который не сработал. Существует более высокая вероятность совпадения отправленных и полученных сообщений с этими спящими, поэтому общение не является полностью анонимным. Миксы также могут быть чисто синхронизированными: они рандомизируют порядок сообщений, полученных в определенном интервале, и присоединяют некоторые из них к миксам, пересылая их в конце интервала, несмотря на то, что было получено в этом интервале. Сообщения, доступные для смешивания, будут мешать, но если доступных сообщений нет, помех для полученных сообщений не будет. ^[9]