Читать книгу Общая теория анонимных коммуникаций - - Страница 12

Скрытые системы представляют собой общий и обширный класс сетевых коммуникаций способных поддерживать анонимность субъектов и безопасность передаваемых объектов. В определённой степени таковые системы могут быть нацелены на безопасность передаваемых объектов в степени большей, отодвигая анонимность на второй план, либо наоборот, делая систему анонимной, но полноценно не заботясь о безопасности объекта после получения точкой назначения. Но так или иначе, в любом из представленных случаев таковые системы полноценно никогда не исключают свои второстепенные качества, что даёт возможность определённых комбинаций. При данных композициях сочетаются свойства и безопасности, и анонимности, что делает таковые системы полными. Полные скрытые системы, в свою очередь, являются решением основной проблематики данной работы.

3.1. АНОНИМНЫЕ СЕТИ

Скрытые, тёмные, анонимные сети – есть сети, соединяющие и объединяющие маршрутизацию вместе с шифрованием. Маршрутизация обеспечивает критерий анонимности, направленный на субъекта, субъектов или их связь, шифрование – критерий конфиденциальности, с опциональной целостностью и аутентификацией, направленный на объект. Без маршрутизации легко определяются отправитель/получатель, без шифрования легко определяется передаваемое сообщение и/или его состояние по ходу факта передачи [4, с.912]. Таким образом, только в совокупности этих двух свойств сеть может являться или оставаться скрытой [29] [30].

В современном мире большинство скрытых сетей представляют оверлейные соединения, иными словами соединения, которые основаны на уже существующей сети (например, сети Интернет). Но так или иначе, это не говорит, что скрытые сети не могут существовать сами по себе и быть однородной структурой, т.к. первоначальная архитектура может быть изначально нацелена на анонимность и безопасность, как например, это описано в проекте NETSUKUKU [31]. Именно по историческим причинам, современные скрытые сети имеют оверлейные уровни безопасности.

Любая анонимная сеть основывается либо на одноранговой (ризоморфной), либо на гибридной (комбинированной) архитектуре сети, исключая при этом многоранговую (иерархическую). Последняя архитектура является прямым отрицанием анонимности, направленным на её подавление посредством концентрации линий связи. Гибридная же архитектура совмещает в себе некоторые свойства многоранговой и одноранговой архитектур для большей эффективности в передаче информации, жертвуя при этом некоторыми моделями угроз.

По скорости и способу распространения информации выделяют два вида анонимных сетей – с низкими и высокими задержками [32]. Системы с низкими задержками ставят в качестве базовой необходимости скорость, эффективность транспортирования информации между истинными её субъектами, при этом уровень анонимности таковых сетей недостаточен для противопоставления атакам со стороны внешних глобальных наблюдателей (как доказательство фактора существования сильной анонимности). Системы с высокими задержками ставят в качестве базовой необходимости высокий уровень анонимности, в том числе и направленный на противодействие глобальным наблюдателям, но при этом скорость передачи становится в таковых сетях самым главным недостатком. Из вышеописанного следует классическая проблема проектирования безопасных систем – выбор компромисса между производительностью и безопасностью. В качестве примеров систем с низкими задержками выделяют Tor, I2P, Tarzan и т.д., а с высокими задержками – Mixminion, Herbivore, Dissent и т. п.

Маршрутизация в анонимных сетях не является примитивной и ставит эффективность распространения объектов опциональным параметром (низкие / высокие задержки), потому как главной целью становится создание запутывающего алгоритма (анонимизатора), который приводил бы к трудоёмкости анализа истинного пути от точки отправления до точки назначения. Производительность, эффективность «чистой» маршрутизации теряется, заменяясь особенностью алгоритма. В таких условиях, сами скрытые сети становятся медленными и сложными в применении (в том числе и с низкими задержками), что также частично или полноценно отодвигает их прикладное и повседневное использование в настоящее время.

Запутывающий алгоритм определяется дополнительной нагрузкой к нагрузке распространения / транспортирования информации относительно базового алгоритма маршрутизации. В отличие от основной нагрузки базового алгоритма, стремящегося наиболее быстро и/или доказуемо передать информацию от одной точки к другой (или ко множеству других), дополнительная нагрузка сводится, в той или иной мере, к отрицанию базовой, ухудшая её скорость и/или корректность доставки с целью сопутствующего ухудшения внешнего и/или внутреннего анализа: либо связей между точками, либо непосредственно их активности.

Рисунок 13. Внешние и внутренние наблюдатели (атакующие) в критериях запутывающего алгоритма маршрутизации

В задачах такого типа маршрутизации лежат модели угроз, в которых учитываются возможности атакующих. Главным антагонистом в подобных условиях становится государство, как внешний, глобальный наблюдатель, способный просматривать в широком масштабе распространение объектов по сети. В таком случае алгоритм маршрутизации должен уметь запутывать внешнего противника, не предоставлять возможности выявлять закономерности отправления, получения, запросов и ответов участниками анонимной сети. Другими, и не менее серьёзными противниками, являются внутренние атакующие, когда сами её же участники становятся отрицанием системы, её разложением. Предполагается, что внешние наблюдатели, помимо анализа трафика сети, способны также блокировать работающие узлы в системе, тем самым рассматривая их уникальные комбинации и паттерны поведения. Внутренние же наблюдатели способны наполнять сеть кооперируемыми узлами и совершать помимо маршрутизации также дополнительные действия, как отправление и получение информации. Наблюдатели без дополнительных функций называются пассивными атакующими, в противном случае – активными. В таких реалиях алгоритм маршрутизации должен отстранять буквально каждого субъекта (отправителя, получателя и промежуточного) от полноценного анализа принимаемой и отправляемой информации.

Таблица 1. Пассивные / Активные и Внутренние / Внешние нападения как множества векторов направленных на анонимные сети

В своей совокупности, в синтезе, сговоре внешних и внутренних атакующих, способны проявляться атаки, которые ранее были бы невозможности по отдельности. Абстрагировано, основные методы нападений, как множества, можно изобразить в виде Таблицы 1. При этом, из определения активных атак выясняется, что таковые являются надмножеством пассивных, то есть A ∈ C и B ∈ D. Также внешние атаки условно можно разделить на две составляющие, два подмножества: {B₁, B₂} и {D₁, D₂}, где множество {B₂, D₂} является представлением внешних атак с глобальным наблюдателем, а {B₁, D₁} следовательно без него = {B \ B₂, D \ D₂}.

Анонимные сети могут обладать разными моделями угроз в зависимости от способа своего применения, а также в зависимости от своих бюджетных или технических ограничений. На основе этого формируется три вида анонимности:

1. Анонимность связи между отправителем и получателем. Представляет слабую модель угроз, потому как даёт возможность наблюдателям фиксировать факты отправления и получения информации истинными субъектами сети. Подобные системы несут малые накладные расходы, и, как следствие, могут применяться в довольно обширном множестве реализаций. Примером таковых сетей являются Tor, I2P, Mixminion.

2. Анонимность отправителя или получателя. Данная сеть имеет усреднённую модель угроз, в том плане, что таковая скрывает только факт отправления или только факт получения информации одним из субъектов (либо отправителем, либо получателем). Подобные системы могут быть хорошо применимы лишь в частных реализациях, как противопоставление анонимности по отношению ко второму субъекту, где не требуется защита отправителя (допустим при обращении к скрытому сервису через ботнет) или получателя (допустим при обращении к сервису в открытом Интернет-пространстве).

Примером таковых сетей может являться сеть, где отправитель транспортирует полностью зашифрованное сообщение всем участникам сети, расшифровать которое может только тот, у кого есть приватный ключ ориентированный на данное сообщение (если здесь конечно используется асимметричная криптография). Теоретически все могут узнать отправителя информации, но узнать получателя и есть ли он вообще крайне проблематично, потому как в теории получателем может оказаться каждый, т.к. каждый получает эти сообщения.