低コストの攻撃を成功させるには、2つの基本的な条件を満たしている必要があります。 まず、悪意のあるノードは他のすべてのネットワークノードを知っている必要があります。 これがなければ、問題の攻撃は不可能です。 第二に、発生する遅延は、ノードによって送信されるトラフィックの量を特徴付ける必要があります。
研究の結果に基づいて、次の結論を出しました。 低コストの攻撃は、次の2つの方法のいずれかで排除できます。
- すべてのネットワークノードに関する情報を取得できないようにする。
- 個々のフローの特性が平準化されるように、カバートラフィックを追加します。
これらの手法のいずれかを採用することにより、低遅延で安全なシステムを構築し、低コストの攻撃に耐えることができます。
2番目の方法を使用すると、Murdoch&Danezis 2005が作業に依存するすべてが崩壊することに注意してください。 ただし、彼らが指摘したように、カバーするトラフィックの適切な量を決定することは難しい作業です。 いずれにしても、最初の方法を使用して攻撃を防ぐことができます。
さらなる議論
2番目の方法を使用すると、ネットワークが提供する匿名性が大幅に向上する可能性がありますが、低レイテンシのシステムに適用するのは困難です。
これは、システムの基本要件である遅延を最小限に抑えるためです。 遅延を許容可能なレベルに減らすと、伝送ユニットが着信ストリームと発信ストリームを区別したり区別したりすることはできません。 これにより、攻撃者はシステムによって作成された匿名性を最終的に破る手がかりを得ることができます。 ただし、匿名化トンネルで複数の送信ノードを使用すると、攻撃が大幅に複雑になり、攻撃者がネットワークのすべてのノードまたはノード間のすべての通信を制御できる必要があります。 つまり 「グローバルなオブザーバー」になること。
匿名化システムを開発する
- グローバルなオブザーバーに耐えることができる
- 遅延を許容可能なレベルに最小化しながら
Torのようなシステムは、上記の攻撃者に耐えることができると主張しています。 しかし、彼らはグローバルなオブザーバーなしで実行できる攻撃オプションを提供しませんでした。 時間の制約を遵守し、トラフィックをカバーすることを拒否する努力の中で、Torは、使用される弱い脅威モデルに適合する低コストの攻撃に対して脆弱になりました。 このモデルを拡張する必要があります。
私たちの調査では、この攻撃は、ノードが他のすべてのネットワークノードのリストを取得できる低レイテンシのシステムに適用できることが示されました。 それ以外の場合、この条件が満たされない場合、弱い脅威モデルは受け入れられます。
したがって、匿名化システムの開発に弱い脅威モデルを使用する場合は、これを考慮する必要があります。 各ノードは、隣接ノードのみのリストを取得できますが、ネットワーク内のすべてのノードのリストは取得できません。
上記に基づいて、匿名化システムでは、専用サーバーよりもピアツーピアアーキテクチャを使用する方が適切であると結論付けます。 これは、ピアツーピアネットワークには多数のノードがあるためです。 攻撃者がすべてのネットワークノードのリストを取得できたとしても、おそらく次のように時代遅れになります。 すべてのノードを短時間で検出することは困難です。
おわりに
この記事では、低コストのトラフィック分析攻撃と呼ばれる匿名の低遅延通信ネットワークに対する攻撃の1つを調査しました。 この攻撃は、開発システムが弱い脅威モデルに基づいていたTorのようなシステムの影響を受けるため、非常に重要です。 どのケースで攻撃が機能しないかを示しました。 また、このような攻撃に耐えるためにシステムが持たなければならないいくつかの重要な特性を特定しました。