情報セキュリティの分野で著名な研究者による記事の一部をご紹介します。私たち(「 ロシアのopenPGP 」の参加者)は現在翻訳中です。 著者の中には、 ウィリースシロ ( コンピューターおよび情報セキュリティ研究センターの共同ディレクター)がいます。
以下の記事「 タイミング攻撃に対抗する低レイテンシの匿名化システム構築の原則 」の「はじめに」は、ネットワークの匿名性に関心のあるすべての人を対象としています。 アクセシブルな言語の著者は、現時点で最も人気のある匿名化ネットワーク「 Tor 」に重点を置いて、アノニマイザーの基本とそれらに対する攻撃の可能性を明らかにします。
はじめに
匿名通信システムは、Chaumの設立作業で最初に導入されました(Chaum 1981)。 一番下の行は、混合ノード(混合ノード)と呼ばれる一連の転送ノードを介してメッセージを送信することで匿名性が達成されることです。 各混合ノードは2つの主要なタスクを実行します。 1つはメッセージのビット単位のリンク不能性を提供することであり、2つ目はメッセージフローを混合することです。
攻撃者が監視対象のメッセージをノードの出口でその内容によって識別することを防ぐために、すべての着信メッセージは同じサイズに縮小され(ショートメッセージにはランダムデータが追加され)、暗号化されます。 これは、「ビット単位の識別不能性を確保するため」です。
メッセージフローを混合することで、攻撃者がメッセージがノードに入った時刻と出た時刻を一致させ、どの発信メッセージが目的のメッセージに対応するかを理解できないようにします。 ノードは着信メッセージをしばらく蓄積し、シャッフルし、ランダムに送信します。
インターネットを介した匿名通信システムは、次の2つのカテゴリに分類できます。
- 高遅延システム
- 低遅延システム
たとえば、電子メール(電子メール)は大きな遅延のあるシステムです。なぜなら、 メッセージの配信には時間がかかる場合があります。 リアルタイムの対話(またはこれに近い)が必要な場合は、低レイテンシのシステムを使用する必要があります。 SSHおよびインスタントメッセンジャーは、低遅延システムの例です。 両方のカテゴリのシステムでのメッセージのトレーサビリティは、送信者と受信者間の送信ノードのチェーン、およびメッセージデータを隠す暗号化というChaumのアイデアの実装によって実現されます。 チェーン内の各ノードは、メッセージを受信した先祖と、メッセージを送信する後継者のみを知っています。
大きな遅延のあるシステムは、単一のメッセージの送信に特化しており、接続の維持に小さな遅延のあるシステムに特化しています。 つまり、遅延が大きいシステムでは、各メッセージに新しいパスが作成され、新しいメッセージは新しいパスになります。 また、低遅延のシステムでは、パケットストリーム全体を転送するためにしばらくの間1つのパスが使用されていました。
低レイテンシのシステムには別の重要な違いがあります。 メッセージ配信時間の厳しい要件を満たすには、メッセージの蓄積と混合の段階を放棄する必要があります。 したがって、このようなシステムは、トラフィック分析攻撃、特にタイミング攻撃に対してより脆弱です。 単純なタイミング攻撃は、パケットがネットワークを通過するのにかかる時間を計算することになります。 より複雑なタイミング攻撃には、被害者が使用する接続の特徴の分析が含まれる場合があります-トラフィックパターン1を識別します。
タイミング攻撃は、すべてのホストがさまざまな遅延を引き起こすという事実を悪用します。 遅延時間を知ると、ノードに入るフローとノードから出るフローの間の接続について推測することができます。 つまり、どのアウトバウンドストリームが監視対象のインバウンドストリームと一致するかを推測します。 攻撃者はしばらくの間ノード間の接続を観察し、すべてのノードのトラフィックパターンを比較し、同様のパターンを持つノードを特定できます。これらのノードはチェーンを形成する可能性があります。 攻撃者は、統計的手法を使用して、ストリームの送信者と受信者に関する情報を取得し、ストリームのパス全体を明らかにすることもできます。 この攻撃から保護するには、すべてのフローの時間的特性を区別できないようにする必要があります。 ただし、これにはかなりの数のミキシング操作2と大量のカバートラフィック3が必要になるため、遅延時間が長くなります。 匿名性と遅延の適切なバランスを見つけることは簡単なことではありません。
前述の攻撃を成功させるには、ネットワークを通過するすべてのフローを監視できるグローバルオブザーバが必要です。 Torなどの低遅延匿名化ネットワークは、グローバルオブザーバーを含まないより弱い脅威モデルにうまく抵抗できると考えられています。 この弱いモデルでは、攻撃者は接続の一部しか見ることができません。 インターネットなどの大規模な公共ネットワークについて話す場合、この仮定は、グローバルなオブザーバーの不在を前提として、信頼できます。
最近、MurdochとDanezisは、グローバルオブザーバーを使用せずに低遅延システムで成功した攻撃の例を示しました。 この攻撃は、2004年にDanezisによって提案されたトラフィック分析に基づいています。攻撃では、Torによって提供される匿名性は、ネットワークの一部のみを見るか、1つのTorノードを所有する攻撃者によって侵害される可能性があります。 Torの開発者が以前のバージョンにあったミキシング操作を削除し、着信スレッドキューがラウンドロビン方式4モードで処理されるため、攻撃が機能します。 攻撃者によって制御されるTorノードは、他のネットワークノードとの接続を作成するため、特定の時間にそれらを通過するトラフィックの量を間接的に推定できます。 見積もりは、これらの接続で送受信されるフローの遅延の差に基づいています。
という事実に基づいて
- 各Torノードを通過するトラフィックの量、つまりTorノードの負荷は、このノードで確立されたすべての接続の負荷の合計です
- 攻撃者は、各瞬間におけるすべてのノードのこれらの合計負荷を推定することができました
攻撃者は、フローパスについてかなりよく推測できます。
著者は、攻撃が低遅延のすべての匿名ネットワークに適用可能であることに注目しています。 この注目度の高いステートメントは、多くの匿名システムを低遅延で作成するために使用される脅威モデルの不整合を示唆しています。
私たちの貢献
Murdoch&Danezis 2005攻撃を低遅延で他の匿名ネットワークでテストしました。 Tarzan(Freedman&Morris 2002)とMorphMix(Rennhard&Plattner 2002)はTorのようには機能しません。 特に、それらはピアツーピアアーキテクチャに従い、Torは専用サーバーを使用します。 また、Tarzanはミキシング操作をいくつか使用し、Torにはないトラフィックをカバーします。 また、MorphMixでは、中間ノードは、ストリームを開始するクライアントがパス全体を設定するTorとは異なり、送信ストリームのパスの一部を個別に選択できます。
分析は2つの方向に進みました。 最初に、システムで発生する遅延に注目して、ノードを通過するトラフィックの量の推定に実際に使用できることを確認しました。 次に、さまざまなアーキテクチャの攻撃効率を分析しました。 この調査の結果により、このような攻撃に耐えることができる低遅延の匿名ネットワークを作成する原則を特定することができました。
文書構造
2番目のセクションでは、3つの匿名化ネットワーク(Tor、Tarzan、Morphmix 5)を分析し、それらが互いにどのように異なるかを示します。 セクション3では、MurdochとDanezis(Murdoch&Danezis 2005)によって記述されたTorへの攻撃を検討します。 著者は、この攻撃は低遅延のすべての匿名ネットワークに影響すると主張していることに注意してください。 セクション4では、この主張にMorphmixで反論します。 5番目のセクションでは、遅延が小さいシステムを構築するためのいくつかのルールを導き出します。 最後に、6番目のセクションで結論を出します。
翻訳者注
1つのトラフィックパターン
タイミング攻撃のコンテキストでは、これは「トラフィック量対時間」グラフ上のアクティビティの「バースト」の特徴的な形態であり、ネットワーク上のユーザーまたはアクティビティのタイプを区別することができます。
2ストリームの混合
ストリームの混合には多くのオプションがあります(混合、混合)。 たとえば、現在のTorでは、ミキシングがない場合、状況は次のとおりです。サーバーXにn個のチェーンが入り、同じ数が出てきました。 どの種類のユーザーが属しているかは明確ではありませんが、トラフィック、バースト、およびその他の間接的な兆候の量に基づいて仮説を立てることができます。
混合する場合(単純な例として)、サーバーXからサーバーYへのすべてのチェーンを再び暗号化して、共通の暗号化されたチャネルにチェーンすることができます。 個々のチェーンはユーザーからサーバーに移動し、サーバー間で継続的なストリームが存在します。
Torネットワークの出口にはまだ別のチェーンが表示されるため、これはあまり効果的ではありません。
3カバートラフィック
他のノードが実際のトラフィックと区別できるため、特別なマークが付いた送信ノードによって生成された偽のトラフィック
4ラウンドロビンファッション
円の中で最も単純なRRは、各ストリームから1パケットのデータを処理します(すべてのフローの優先度が等しいと想定されます)。 したがって、すべてのデータストリームの「平等」が達成されます。
5 TarzanとMorphmixは、Torが始まった当時のコンセプトとして存在していました。 現在、これらのネットワークは実際には使用されていません。