Rede Mix - Mix network

Rede de mix de descriptografia simples. As mensagens são criptografadas em uma sequência de chaves públicas. Cada nó mix remove uma camada de criptografia usando sua própria chave privada. O nó embaralha a ordem da mensagem e transmite o resultado para o próximo nó.

Redes mix são protocolos de roteamento que criam comunicações difíceis de rastrear usando uma cadeia de servidores proxy conhecidos como mixes que recebem mensagens de vários remetentes, embaralham-nas e as enviam de volta em ordem aleatória para o próximo destino (possivelmente outra combinação nó). Isso quebra o link entre a origem da solicitação e o destino, tornando mais difícil para os bisbilhoteiros rastrearem as comunicações ponta a ponta. Além disso, as mixagens conhecem apenas o nó de onde recebeu a mensagem imediatamente e o destino imediato para o qual as mensagens embaralhadas serão enviadas, tornando a rede resistente a nós de mixagem maliciosos.

Cada mensagem é criptografada para cada proxy usando criptografia de chave pública ; a criptografia resultante é em camadas como uma boneca russa (exceto que cada "boneca" é do mesmo tamanho) com a mensagem como a camada mais interna. Cada servidor proxy remove sua própria camada de criptografia para revelar para onde enviar a mensagem em seguida. Se todos os servidores proxy, exceto um, forem comprometidos pelo rastreador, a rastreabilidade ainda pode ser obtida contra alguns adversários mais fracos.

O conceito de redes mix foi descrito pela primeira vez por David Chaum em 1981. Os aplicativos baseados neste conceito incluem repostadores anônimos (como Mixmaster ), roteamento cebola , roteamento alho e roteamento baseado em chave (incluindo Tor , I2P e Freenet ) .

Como funciona

O participante A prepara uma mensagem para ser entregue ao participante B anexando um valor aleatório R à mensagem, selando-a com a chave pública do destinatário , anexando o endereço de B e, em seguida, selando o resultado com a chave pública do mix . M abre com sua chave privada, agora ele sabe o endereço de B e envia para B. ${\ displaystyle K_ {b}}$ ${\ displaystyle K_ {m}}$ ${\ displaystyle K_ {b} (mensagem, R)}$

Formato de mensagem

${\ displaystyle K_ {m} (R1, K_ {b} (R0, mensagem), B) \ longrightarrow (K_ {b} (R0, mensagem), B)}$

Para fazer isso, o remetente pega a chave pública do mix ( ) e a usa para criptografar um envelope contendo uma string aleatória ( ), um envelope aninhado endereçado ao destinatário e o endereço de e-mail do destinatário ( B ). Este envelope aninhado é criptografado com a chave pública do destinatário ( ) e contém outra string aleatória ( R0 ), junto com o corpo da mensagem que está sendo enviada. Após o recebimento do envelope criptografado de nível superior, o mix usa sua chave secreta para abri-lo. Dentro, ele encontra o endereço do destinatário ( B ) e uma mensagem criptografada com destino a B . A string aleatória ( ) é descartada. ${\ displaystyle K_ {m}}$ ${\ displaystyle R1}$ ${\ displaystyle K_ {b}}$ ${\ displaystyle R1}$

${\ displaystyle R0}$ é necessário na mensagem para evitar que um invasor adivinhe as mensagens. Supõe-se que o invasor pode observar todas as mensagens de entrada e saída. Se a string aleatória não for usada (ou seja, somente for enviada para ) e um invasor tiver uma boa suposição de que a mensagem foi enviada, ele pode testar se retém, por meio do qual pode aprender o conteúdo da mensagem. Ao anexar a string aleatória, o invasor é impedido de realizar esse tipo de ataque; mesmo que adivinhe a mensagem correta (ou seja, é verdadeira), ele não saberá se estiver certo, pois não conhece o valor secreto . Praticamente, funciona como um sal . ${\ displaystyle (K_ {b} (mensagem))}$ ${\ displaystyle B}$ ${\ mensagem displaystyle '}$ ${\ displaystyle K_ {b} (mensagem ') = K_ {b} (mensagem)}$ ${\ displaystyle R0}$ ${\ displaystyle message '= mensagem}$ ${\ displaystyle R0}$ ${\ displaystyle R0}$

Endereços de retorno

O que é necessário agora é uma forma de B para responder a um , enquanto mantém a identidade de um segredo de B .

Uma solução é A formar um endereço de retorno não rastreável onde é seu próprio endereço real, é uma chave única pública escolhida apenas para a ocasião atual e é uma chave que também atuará como uma string aleatória para fins de selagem. Então, A pode enviar esse endereço de retorno para B como parte de uma mensagem enviada pelas técnicas já descritas. ${\ displaystyle K_ {m} (S1, A), K_ {x}}$ ${\ displaystyle A}$ ${\ displaystyle K_ {x}}$ ${\ displaystyle S1}$

B envia para M e M o transforma em . ${\ displaystyle K_ {m} (S1, A), K_ {x} (S0, resposta)}$ ${\ displaystyle A, S1 (K_ {x} (S0, resposta))}$

Essa combinação usa a sequência de bits que encontra após descriptografar a parte do endereço como uma chave para criptografar novamente a parte da mensagem . Apenas o destinatário, A , pode descriptografar a saída resultante porque A criou e . A chave adicional garante que o mix não possa ver o conteúdo da mensagem de resposta. ${\ displaystyle S1}$ ${\ displaystyle K_ {m} (S1, A)}$ ${\ displaystyle K_ {x} (S0, resposta)}$ ${\ displaystyle S1}$ ${\ displaystyle K_ {x}}$ ${\ displaystyle K_ {x}}$

O seguinte indica como B usa esse endereço de retorno não rastreável para formar uma resposta a A , por meio de um novo tipo de combinação:

A mensagem de A B : ${\ displaystyle \ longrightarrow}$

${\ displaystyle K_ {m} (R1, K_ {b} (R0, mensagem, K_ {m} (S1, A), K_ {x}), B) \ longrightarrow K_ {b} (R0, mensagem, K_ { m} (S1, A), K_ {x})}$

Mensagem de resposta de B A : ${\ displaystyle \ longrightarrow}$

${\ displaystyle K_ {m} (S1, A), K_ {x} (S0, resposta) \ longrightarrow A, S1 (K_ {x} (S0, resposta))}$

Onde: = chave pública de B , = chave pública do mix. ${\ displaystyle K_ {b}}$ ${\ displaystyle K_ {m}}$

Um destino pode responder a uma fonte sem sacrificar o anonimato da fonte. A mensagem de resposta compartilha todos os benefícios de desempenho e segurança com as mensagens anônimas da origem ao destino.

Vulnerabilidades

Embora as redes mixadas forneçam segurança mesmo que um adversário seja capaz de visualizar todo o caminho, a mixagem não é absolutamente perfeita. Os adversários podem fornecer ataques de correlação de longo prazo e rastrear o remetente e o receptor dos pacotes.

Modelo de ameaça

Um adversário pode executar um ataque passivo monitorando o tráfego de entrada e saída da rede mix. A análise dos tempos de chegada entre vários pacotes pode revelar informações. Como nenhuma alteração é feita ativamente nos pacotes, um ataque como esse é difícil de detectar. No pior caso de um ataque, assumimos que todos os links da rede são observáveis pelo adversário e as estratégias e infraestrutura da rede mix são conhecidas.

Um pacote em um link de entrada não pode ser correlacionado a um pacote no link de saída com base nas informações sobre a hora em que o pacote foi recebido, o tamanho do pacote ou o conteúdo do pacote. A correlação de pacotes com base no tempo do pacote é evitada por lotes e a correlação com base no conteúdo e o tamanho do pacote é evitada por criptografia e preenchimento de pacote, respectivamente.

Os intervalos entre pacotes, ou seja, a diferença de tempo entre a observação de dois pacotes consecutivos em dois links de rede, são usados para inferir se os links possuem a mesma conexão. A criptografia e o preenchimento não afetam o intervalo entre pacotes relacionado ao mesmo fluxo de IP. As sequências de intervalo entre pacotes variam muito entre as conexões, por exemplo, na navegação na web, o tráfego ocorre em rajadas. Esse fato pode ser usado para identificar uma conexão.

Ataque ativo

Ataques ativos podem ser executados injetando rajadas de pacotes que contêm assinaturas de tempo exclusivas no fluxo de destino. O invasor pode realizar ataques para tentar identificar esses pacotes em outros links de rede. O invasor pode não conseguir criar novos pacotes devido ao conhecimento necessário de chaves simétricas em todas as combinações subsequentes. Os pacotes de repetição também não podem ser usados, pois são facilmente evitáveis por meio de hashing e cache.

Fenda artificial

Grandes lacunas podem ser criadas no fluxo de destino, se o invasor deixar cair grandes volumes de pacotes consecutivos no fluxo. Por exemplo, uma simulação é executada enviando 3.000 pacotes para o fluxo de destino, onde o invasor descarta os pacotes 1 segundo após o início do fluxo. À medida que o número de pacotes consecutivos descartados aumenta, a eficácia da queda defensiva diminui significativamente. A introdução de uma grande lacuna quase sempre cria um recurso reconhecível.

Explosões artificiais

O invasor pode criar rajadas artificiais. Isso é feito criando uma assinatura de pacotes artificiais, mantendo-os em um link por um determinado período de tempo e, em seguida, liberando-os todos de uma vez. A queda defensiva não fornece defesa neste cenário e o atacante pode identificar o fluxo alvo. Existem outras medidas de defesa que podem ser tomadas para evitar este ataque. Uma dessas soluções pode ser algoritmos de preenchimento adaptativo. Quanto mais os pacotes estão atrasados, mais fácil é identificar o comportamento e, portanto, melhor defesa pode ser observada.

Outros ataques de análise de tempo

Um invasor também pode examinar outros ataques de temporização além de intervalos entre pacotes. O invasor pode modificar ativamente os fluxos de pacotes para observar as mudanças causadas no comportamento da rede. Os pacotes podem ser corrompidos para forçar a retransmissão de pacotes TCP, cujo comportamento é facilmente observável para revelar informações.

Ataque adormecido

Presumindo que um adversário pode ver as mensagens sendo enviadas e recebidas em mixagens de limite, mas não pode ver o funcionamento interno dessas mixagens ou o que é enviado pelas mesmas. Se o adversário deixou suas próprias mensagens nas respectivas mixagens e ele recebeu uma das duas, poderá determinar a mensagem enviada e o remetente correspondente. O adversário deve colocar suas mensagens (componente ativo) no mix a qualquer momento e as mensagens devem permanecer lá antes de uma mensagem ser enviada. Normalmente, este não é um ataque ativo. Adversários mais fracos podem usar esse ataque em combinação com outros ataques para causar mais problemas.

As redes combinadas obtêm segurança alterando a ordem das mensagens que recebem para evitar a criação de uma relação significativa entre as mensagens de entrada e de saída. As misturas criam interferência entre as mensagens. A interferência impõe limites à taxa de vazamento de informações para um observador da mistura. Em uma mistura de tamanho n, um adversário que observa a entrada e a saída da mistura tem uma incerteza de ordem n ao determinar uma correspondência. Um ataque adormecido pode tirar vantagem disso. Em uma rede em camadas de mixagens de limite com um dorminhoco em cada mixagem, há uma camada que recebe entradas dos remetentes e uma segunda camada de mixagens que encaminha as mensagens ao destino final. A partir disso, o invasor pode descobrir que a mensagem recebida não pode ter vindo do remetente para nenhuma mistura da camada 1 que não foi disparada. Há uma probabilidade maior de combinar as mensagens enviadas e recebidas com esses dormentes, portanto, a comunicação não é completamente anônima. As mixagens também podem ser puramente temporizadas: eles randomizam a ordem das mensagens recebidas em um determinado intervalo e anexam algumas delas às mixagens, encaminhando-as no final do intervalo, apesar do que foi recebido naquele intervalo. As mensagens disponíveis para mixagem interferirão, mas se nenhuma mensagem estiver disponível, não haverá interferência nas mensagens recebidas.

História

David Chaum publicou o conceito de Mix Networks em 1979 em seu artigo: "Correio eletrônico não rastreável, endereços de retorno e pseudônimos digitais" . O artigo foi para seu trabalho de tese de mestrado, logo após ele ter sido apresentado ao campo da criptografia por meio do trabalho de criptografia de chave pública , Martin Hellman , Whitfield Diffie e Ralph Merkle . Enquanto a criptografia de chave pública criptografava a segurança da informação, Chaum acreditava que havia vulnerabilidades de privacidade pessoal nos metadados encontrados nas comunicações. Algumas vulnerabilidades que permitiram o comprometimento da privacidade pessoal incluíam o tempo de envio e recebimento das mensagens, o tamanho das mensagens e o endereço do remetente original. Ele cita o artigo de Martin Hellman e Whitfield "New Directions in Cryptography" (1976) em seu trabalho.

Languages

In other projects