匿名ネットワークとタイミング攻撃：Tor

はじめに | Tor | ターザンとMorphMix | 低コスト攻撃 | TarzanおよびMorphmixに対する低コスト攻撃 | 安全なシステム構築の原則（結論）



すばらしい記事の翻訳の第2部である、 タイミング攻撃に対抗する低レイテンシの匿名化システム構築の原則を紹介します。 この章は、現時点で最も人気のある匿名化ネットワークTorに完全に専念しています。



はじめにを読んでください。

---

Tor

Onion Routingの第2世代であるTorは、伝送チェーンチェーンに基づく低遅延の匿名通信システム^*です。 これは、Onion Routingの改良バージョンです。 オニオンルーティング（OR）は、インターネットの閲覧、インスタントメッセージング、SSHなどのタスクのための匿名通信システムです。 ORの欠陥と制限を回避するために、Tor開発者はいくつかの新しい機能をそれに含めました。 それらの一部を次に示します。完全転送秘密、輻輳制御、ディレクトリサービス、整合性チェックイン、構成可能な終了ポリシー、ランデブーポイント、および非表示サービス。 削除されたもの：混合^*およびトラフィック量ごとのストリームアラインメント⁶ 。



Torには、Torクライアント、Torサーバー（ノード）、およびストリームの受信者の3つのメインプロセス参加者がいます。 論理的には、Torクライアントは、匿名で受信者に連絡したい送信者です。 ORでは、Onion Proxyと呼ばれていました。 Torサーバーは転送ノード（ORのOnion Router）です。 Torクライアントの指示に従って、次のノードにストリームを送信します。 ORと同様に、レシーバーの前のチェーンの最後のノードは、出口ノードと呼ばれます。 受信者はTorネットワークの一部である必要はありません。 出力ノードは、オープンワールド（受信者）とTorネットワーク間の伝送リンクとして機能します。



ORと同様に、Torクライアントはチェーンに含めるTorサーバーを選択します（Torのパスはチェーンと呼ばれます）。 ORでは、1つの回線を1つのTCP接続のみに使用できます。Torは1つの回線で多くのTCP接続を許可します。 チェーンは事前定義されています。 Torクライアントの主な機能は、チェーンを設定し、クライアントとすべての中間ノード間で共有キーを確立することです。 キーは、後でクライアントが受信者へのネットワークパケットの送信を開始するとき、またはその逆の場合に必要になります。 Torでは、チェーンサイズは3ノットに固定されています。



クライアントが匿名で受信者にデータを送信する場合、たとえばユーザーがWebサイトを開く場合、パケットストリームは固定サイズの512バイトのセグメントに分割されます。 次に、事前定義された共有セッションキーを使用して、セグメントが暗号化レイヤーにラップされます。各転送ノード（Torサーバー）には独自のレイヤーがあります。 これは、Torサーバーがそのレイヤーを展開するときに、チェーン内の先行ノードと次のノードのみを認識するように行われます。 ミキシングを提供するORとは異なり、ノードに入るTorパケット（それぞれ512バイト）は、「先着順」モードで単純に並んで処理され、送信されます。







図1. Torアーキテクチャ

Tor脅威モデル

攻撃者の目標は、送信者と受信者の両方を確立することです。 他のすべての現実の低遅延匿名化ネットワークと同様に、Torはグローバルなオブザーバーから保護できません。 しかし、彼は攻撃者との対決に成功しました。

• ネットワークノード間のトラフィックの一部を観察できます。
• トラフィックを作成、変更、削除、または遅延できます。
• 複数の独自の送信ノードを作成できます。
• いくつかの伝送ノードを危険にさらす（キャプチャする）ことができます。

トラフィックを使用する攻撃は、トラフィック確認攻撃とトラフィック分析攻撃の2つのカテゴリに分類できます。 各カテゴリでは、攻撃はアクティブとパッシブに分類されます。



トラフィック確認攻撃とは、攻撃者が送信者と受信者の間の接続についてすでに想定しており、トラフィックパターン^*を使用して推測を確認する攻撃です。 攻撃者がアリスがボブと通信していることを疑っており、これを確認したいとします。 受動的攻撃の例は、攻撃者が

• 提案された接続の両端-アリス側とボブ側の両方でトラフィックを監視します。
• そして、送信/受信の時間または両端のパケットサイズを測定することにより、彼は仮定を確認します。

攻撃者がより積極的に行動し、トラフィックに特徴的な機能を観察するだけでなく導入するだけでなく、トラフィックにマークを付ける（たとえば、人為的な遅延の作成やその他の特性の変更）-これはアクティブな攻撃の例になります。



トラフィック分析攻撃は、攻撃者がネットワークノードを決定するための攻撃であり、攻撃者はトラフィックを詳しく調べ、攻撃を適用してトラフィックを特定する必要があります。 ⁷たとえば、受動的な攻撃者は、ネットワークのエッジを観察し、パケットの出入りの時間やサイズに関する推測に基づいて、着信フローと発信フローの関係を見つけようとします。 または、より積極的に行動する-ストリームに特徴的な機能を導入し、ネットワークからの出口での識別を簡素化しようとします。

Torおよびトラフィック分析攻撃

Tor開発者は、トラフィック確認攻撃にエネルギーを浪費しないことを決定し、トラフィック分析攻撃のみに焦点を合わせました。 グローバルオブザーバはTor脅威モデルに含まれていないため、一部のトラフィック分析攻撃は考慮されない場合があります。 Torがトラフィック分析攻撃にどのように抵抗するかについての詳細は、DingledineとMathewsonにあります（Dingledine et al。2004）。 また、（Dingledine et al。2004）は、この記事の範囲を超えた他の攻撃、たとえばディレクトリサービスやランデブーポイントへの攻撃を調査しました。

---

翻訳者注



⁶トラフィック量によるフローの調整



たとえば、ユーザーが1秒あたり5つの急激なトラフィックバーストを作成したとします。 負荷時にフローが割り当てられないように、空のパケットからのトラフィックは他のフローに混合されます。





⁷トラフィック認証攻撃は、トラフィック分析攻撃の特殊なケースです。





^* 「低レイテンシの匿名通信システム」、「トラフィックミキシング」、および「トラフィックパターン」とは何ですか。概要を参照してください。