匿名ネットワークとタイミング攻撃：TarzanとMorphMix

はじめに | Tor | ターザンとMorphMix | 低コスト攻撃 | TarzanおよびMorphmixに対する低コスト攻撃 | 安全なシステム構築の原則（結論）

ターザン

Tarzanは別の低遅延匿名化システムです。 また、Chaumのアイデアに基づいており、他と同様に、Webアプリケーションとインスタントメッセンジャーを使用する際に匿名性を確保するために作成されました。 Torとは異なり、Tarzanはピアツーピアアーキテクチャに基づいています。 各Tarzanノードは、クライアントまたは転送ノードのいずれかです。 これにより、入力ノードと出力ノード間のトラフィック分析のタイミング攻撃が排除されます。 実際、いつでも誰でもネットワークに参加したり、ネットワークから離脱したりすることができ、どのノードもフローの潜在的なイニシエーター（クライアント）になることができます。 （Harchol-Balter、Leighton＆Lewin 1999）で説明されているものと同様のゴシップベースのメカニズムに基づくプロトコルは、ネットワーク上のノードに関する情報を広めるために使用されます。 ピアツーピアアーキテクチャにより、攻撃者は必要なだけターザンノードをポーズできます。 したがって、Tarzanは、悪意のあるノードを選択する可能性を減らすメカニズムを提供します。 このメカニズムには、IPアドレスのハッシュに基づくノードの分類が含まれます。



匿名ストリームの最終受信者は、ターザンノードである必要はありません。外部へのアクセスは、PNATを使用して実行されます（以下を参照）。 Tarzanの著者は、自分のネットワークがグローバルなオブザーバーに耐えることができると主張しています。 これは、「模倣トラフィック」と呼ばれる一種のカバートラフィックのおかげで達成されます。 偽のトラフィックがネットワークに過負荷をかけないように、各Tarzanノードは他のいくつかのノードのみと偽の接続を確立します。



仕組みは次のとおりです。ノードがネットワークに接続すると、他のすべてのTarzanノードのリストを受信した後、それらの一部を選択してトラフィックをシミュレートします（シミュレーターのリストを作成します）。 これらの選択されたノードの1つは、匿名接続が必要なときに、次の転送ノードとして後で使用されます。



たとえば、Tarzanノードaは、 srv Webサーバーへの匿名接続を確立したいと考えています。 同時に、ノードaは、トンネル長をl + 1に等しくすることを望みます。ここで、 lはトンネル内のノードの数です。 次に、次のアクションを実行します。

1. aは 、シミュレーターから最初の送信ノードn1を選択します
   
   
2. aはn1にシミュレータl _n1のリストを要求します
   
   
3. aはリストl _n1から2番目の送信ノードn2を選択します
   
   
4. aは、そのシミュレーターl _n2のリストについてn2を照会します。 要求はn1を通過しますが、 n1は何を送信しているかを知りません。
   
   
5. aはリストl _n2から3番目のギアノードn3を選択します
   
   
6. したがって、aは、ノードがl個になるまでトンネルを増やします
   
   
7. 最終的に、はネットワーク内のすべてのノードの中から最後のノードをランダムに選択します。 Torのこの最後のノードは出口ノードと呼ばれ、ターザンではPNATと呼ばれます 。

結果はこのパスです： a- > n1- > n2- > ...- > nl- > PNAT- > svr

PNATは、 nlノードのシミュレーターからだけでなく、すべてのノードから選択されることが重要です。 図2は、Tarzanネットワークと作成されたトンネルを示しています。 この例では、各Tarzanノードに6つのシミュレーターがあります。





図2.シミュレータベースのTarzanアーキテクチャ

MorphMix ^*

MorphMix（Rennhard＆Plattner 2002、Rennhard＆Plattner 2004）は、もう1つの低遅延匿名通信システムです。 MorphMixは、ピアツーピアアーキテクチャに従います。 Torと同様に、MorphMixは転送ノードの固定長チェーンとレイヤーごとの暗号化を使用します（各ノードは独自のレイヤーのみを展開できます）。 Torのように、MorphMixにはカバートラフィックがありません-それは効果がないと考えられています。



MorphMix開発者は次の用語を使用します。

転送ノードのチェーン- 匿名トンネル

最初のノードはイニシエーターです

最後のノード- 最後のノード

最初と最後のノード間のノード- 中間ノード



イニシエーターがトンネリング用のノードを指定するTorおよびTarzanとは異なり、MorphMixでは各中間ノードがその後続ノードを選択します。 次のノードの選択が行われたことを確認するために、監視メカニズムが正直に提供されています。 任意のネットワークノードがミラーリング監視サーバーになることができます。



開始ノードaが匿名トンネルを編成したい場合、最初の中間ノードbと監視ノードwをその隣接ノードのリストから選択します。 目撃者wは、 bの後に次のトンネルノードを選択するプロセスで、3番目の信頼できるパーティとして機能します 。これをcと呼びましょう。 wにより、イニシエータaは、ノードbにキーマテリアルを公開せずに、ノードcからノードcと共有キーを確立できます。



図3（Rennhard＆Plattner 2002より）は、MorphMixでミラーリング監視を使用して次のトンネルノードを選択するプロセスがどのように発生するかを示しています。 aとbの間の接続はすでに確立されていると想定されます。





図3. MorphMixで次の（ bの後の）トンネルノードを選択するプロセス。



1. aは、彼に知られているノードから目撃者wを選択します。 次に、鍵情報の半分DH _aを生成し、現在の時間値（ nonce ₁ ）を追加し、これをすべて公開鍵w- {nonce ₁ 、DH _a } _PuKwで暗号化します。 現在の時間であるノンス_1は、 リプレイ 攻撃を防ぐために使用されることに注意してください。 s-選択するノードの数を示します（これらのノードから、トンネルの次のノードが選択されます）。 bは、キー情報DH _aに関する情報を受け取りません。 公開鍵wで暗号化されます。



2. bはメッセージを受信した後、 DH _a （暗号化されたメッセージ{nonce ₁ 、DH _a } _PuKwの一部として）を、選択されたノードとその公開鍵（ {ip _c 、PuK _c 、ip _d 、PuK _d 、ip _e 、PuK _e } ）。



3. wは2つのアクションを実行します。 最初：彼は{nonce ₁ 、DH _a } _PuKwを_解読してDH _aを取得_します。 次に、 wはトンネルc内の次のノードをランダムに選択します。 次に、 wは DH _aとノードbおよびその公開キー{ip _b 、PuK _b }に関する情報をノードcに 送信します。



4.トンネル内の次のノードになることに同意した場合、彼はメッセージ「Ok」を送信します。



5. wは、選択されたbノードのリストにnonce ₁で署名し、選択されたノードcが nonce _1の後に最初に示されます。 そしてbを送信します。



6. bはwからメッセージを受信します。 彼はトンネルの次のノードがであるべきであると学びます。 bとcの間の匿名接続のid idを生成します 。 次に、 idと新しい現在時刻nonce _2をノードcに送信_します。



7.応答として、 cはidとともにDH鍵情報の半分を生成して送信します。



8. bは 、 DH _cと、 監視者wによって署名された選択されたノードのリストを送信します。



MorphMixでは、ホストはネットワーク内の他のすべてのホストについて知る必要はありません。

---

翻訳者メモ



^*翻訳中に、MorphMixの作業の説明に矛盾が発生しました。 無料の非リテラル翻訳の助けを借りてそれらを平準化しようとしました。これは、ネットワークに関するこのコンテキストで十分なアイデアを提供しますが、100％正確であると主張することはできません。 したがって、MorphMixの動作に関する正確な情報が必要な場合は、関連ドキュメントを参照してください。