Olomon (anonimlik tarmog'i) - Crowds (anonymity network)

Olomon uchun taklif qilingan anonimlik tarmog'i anonim veb-sahifalarni ko'rish. Crowds anonimlik protokolining asosiy g'oyasi har bir foydalanuvchi aloqalarini shu kabi foydalanuvchilar guruhiga tasodifiy yo'naltirish orqali yashirishdir. Shuning uchun ham hamkorlik qilayotgan guruh a'zolari ham, oxirgi qabul qilgich ham paketning qaysi guruhda paydo bo'lganligiga ishonch hosil qila olmaydi. Olomon tomonidan loyihalashtirilgan Maykl K. Reyter va Aviel D. Rubin. U ichki tajovuzkorlardan va buzilgan qabul qiluvchilardan himoya qiladi, ammo global tajovuzkorga yoki mahalliy tinglovchiga qarshi maxfiylikni ta'minlamaydi ("Olomon: Veb-operatsiyalar uchun anonimlik" ga qarang). Olomon himoyasizdir salafiy hujum; Bu haqda Reiter va Rubinning maqolalarida muhokama qilingan va Metyu K. Rayt, Mayka Adler va Brayan Nil Levinning "Oldingi hujum: Anonim aloqa tizimlariga tahdid tahlili" da yanada kengaytirilgan. Olomon kompyuterlar olomoniga aralashgan foydalanuvchilar tushunchasini taqdim etdi.^[1]

Olomon qanday ishlaydi

Har bir foydalanuvchi boshqa foydalanuvchilar qatoriga qo'shilib, a'zolikni boshqarish uchun javob beradigan yagona server bo'lgan blenderda ro'yxatdan o'tadi. Agar foydalanuvchi ro'yxatdan o'tganda, olomonning boshqa barcha a'zolari xabardor qilinadi. Blender shuningdek kalitlarni tarqatish uchun javobgardir, chunki u simmetrik tugmachalarni virtual yo'llar bo'ylab yo'naltirilgan paketlarga mos ravishda shifrlash va parol hal qilish uchun ishlatiladigan alohida juft jondolarga tarqatadi.^[2]
Har bir foydalanuvchi o'z mashinasida jondo bilan ifodalanadi, bu foydalanuvchi kompyuterida ishlaydigan dastur.
Har bir jondo so'rovni yakuniy serverga yuboradi yoki tasodifiy tanlangan jondoga yuboradi (ehtimol o'zi ham). Jondoning boshqa vazifalari - cookie-fayllar, sarlavha maydonlarini aniqlash kabi shaxsiy ma'lumotlarni o'chirib tashlash.
Jondo so'rovni avvalgi jondo tomonidan boshlanganmi yoki undan oldin bo'lganmi, ayta olmaydi.
Talab qiling va javob bering, ehtimolliklar algoritmi yordamida tuzilgan xuddi shu virtual yo'llarga amal qiling. Yangi qo'shilgan a'zolar uchun maxfiylikni ta'minlash uchun virtual yo'llar muntazam ravishda buzilib, qayta tiklanadi.

Ta'riflar

Olomon quyidagi atamalardan foydalanadi va ularga ta'rif beradi:

Yuboruvchi: Xabar tashabbuskori
Qabul qiluvchi: Xabarning oxirgi qabul qiluvchisi
Ehtimol aybsizlik: Tajovuzkor har qanday tugun xabarni boshlaganiga 50% dan ortiq ishonchni bajara olmaydi (tugun xabarni boshlagan bo'lishi ehtimoli teng ko'rinadi - har bir foydalanuvchi, ehtimol, aybsizdir.)
Mahalliy eshitish vositasi: Tugunlarning istalgan tomoni uchun barcha kiruvchi va chiquvchi xabarlarni kuzatishi mumkin bo'lgan tajovuzkor
Buzuq tugun: Tugun, agar u xabarni jo'natuvchini aniqlash uchun yo'naltirish natijasida olingan ma'lumotlarni ishlatsa, buzilgan
${ displaystyle C}$: Buzuq tugunlarning soni
${ displaystyle N}$: Tugun soni ( ${ displaystyle N-C}$ yaxshi tugunlar soni)
${ displaystyle p_ {f}}$: Ekspeditsiya ehtimoli

Asosiy dizayn

Olomon har bir tugunni xabarning tashabbuskori bo'lishi ehtimoli teng ko'rinishga keltirib, ishlaydi. Aytganimizdek, har bir tugun a ishga tushirish orqali tarmoqqa qo'shiladi jondo ("Jon Dou" dan), bu boshqa foydalanuvchilarga so'rovlarni yuboradigan va qabul qiladigan kichik jarayon. Jondo ishga tushirilgach, tarmoqdagi barcha tugunlarga yangi tugunning kirishi to'g'risida xabar beriladi va uni ekspeditor sifatida tanlay boshlaydi. Haqiqatan ham xabar yuborish uchun tugun tarmoqdagi barcha tugunlardan tasodifiy (bir xil ehtimollik bilan) tanlaydi va ularga xabarni yuboradi. Xabarni olgandan so'ng tugun noaniq tanga aylantiradi (ehtimol bilan) ${ displaystyle p_ {f}> { frac {1} {2}}}$ ) va agar u qo'nsa, uni boshqa tasodifiy tugunga yo'naltiradi, aks holda uni oxirgi manzilga yo'naltiradi. Boshqa tugunga yo'naltirishda har bir tugun avvalgisini yozadi va shu bilan tunnel quriladi, bu jo'natuvchi va qabul qiluvchi o'rtasidagi aloqa uchun ishlatiladi.

Har bir mashinadagi algoritm

OnReceive (tugun P, xabar M)

Flip tanlangan tanga ( ${ displaystyle Pr (Heads) = p_ {f}}$ $Pr (Heads) = p_ {f}$ )
1. Agar Boshlar Keyin Bir xil tasodifiy tugunni tanlang va ularga yo'naltiring
2. Boshqa Belgilangan joyga yo'naltiring
Tunnel qurilishi uchun P yozing

Xavfsizlik tahlili

Biz ta'riflagan Crowds mexanizmlarini hisobga olgan holda, tajovuzkor veb-operatsiyalarni yuboruvchilar va qabul qiluvchilar to'g'risida qanday ma'lumotlarni bilib olishi mumkinligi haqidagi savolni ko'rib chiqamiz.

Mahalliy eshitish vositasi

Eslatib o'tamiz, oxirgi serverga oxirgi so'rovdan tashqari, yo'lga yo'naltirilgan har bir xabar shifrlangan. Shunday qilib, eshitish vositasi foydalanuvchi kompyuteridan kelib chiqadigan har qanday xabarni ko'rishga qodir bo'lsa-da, faqat foydalanuvchi jondo foydalanuvchining so'rovini o'zi yuborgan taqdirda, u oxirgi serverga yuborilgan xabarni ko'radi. 1 / n, bu erda n - yo'l yaratilgan vaqtdagi olomonning kattaligi. Shunday qilib, biz eshitish vositasi qabul qiluvchining shaxsini bilib olish ehtimoli olomon kattaligiga qarab kamayadi. Bundan tashqari, foydalanuvchining jondo-si oxir-oqibat so'rovni taqdim qilmasa, mahalliy tinglovchi faqat oxirgi serverning shifrlangan manzilini ko'radi, bu biz qabul qiluvchining noma'lumligini (norasmiy) shubhadan tashqarida bo'lishini taklif qilamiz. (Shubhasiz - hech bir foydalanuvchi shubhali emas boshqa).

Jondolar hamkorlik qilmoqda

Olomon ichida ishlaydigan buzilgan jondolar to'plamini ko'rib chiqing. Har bir jondo o'zi orqali o'tadigan yo'lda tekis matnli trafikni kuzatishi mumkinligi sababli, har qanday bunday trafik, shu jumladan oxirgi server manzili ushbu tajovuzkorga ta'sir qiladi va biz bu erda ko'rib chiqadigan savol, tajovuzkor yo'lni kim boshlaganligini aniqlay oladimi. Hamkorlarning maqsadi - bu yo'lni boshlagan a'zoni aniqlashdir. Endi biz hamkorlarning ularning to'g'ridan-to'g'ri o'tmishdoshi aslida yo'l tashabbuskori ekanligiga qanchalik ishonch hosil qilishlarini tahlil qilamiz:

Ruxsat bering H_k, k> = 1, yo'lda birinchi hamkasb k-pozitsiyani egallagan hodisani bildiradi, bu erda tashabbuskor o'zi 0-pozitsiyani egallaydi (va ehtimol boshqalar).
Belgilang H_{k +} = H_k yoki H_{k + 1} yoki H_{k + 2} yoki. . . .
Ruxsat bering Men yo'lda birinchi hamkasb darhol yo'l boshlovchisi tomonidan yo'lga chiqadigan hodisani belgilang.

Yozib oling H₁ => Men, lekin aksincha I => H₁ Bu to'g'ri emas, chunki boshlang'ich jondo yo'lda bir necha marta paydo bo'lishi mumkin. Yo'l quyidagicha tuzilgan holat bo'lishi mumkin:

tashabbuskor jondo (0 - pozitsiya) ----> jondo (1 - pozitsiya) ---->

tashabbuskor jondo (2-pozitsiya) ----> hamkorlikdagi jondo (3-pozitsiya)

Yo'lda birinchi hamkasb uchinchi holatda ekanligini unutmang.

4. Ushbu yozuvni hisobga olgan holda, hamkorlar endi quyidagilarni belgilashga umid qilmoqdalar:

P (I | H₁₊) - hamkasbning yo'lda ekanligini hisobga olsak, yo'l tashabbuskori birinchi hamkasbning bevosita o'tmishdoshi bo'lish ehtimoli qanday?

Ta'rif:
Yo'l tashabbuskori, ehtimol P (I | H) bo'lgan aybsizlikka ega₁₊)<=1\2.

Yo'l tashabbuskori uchun aybsizlikni keltirib chiqarish uchun bizning tizimimizda ma'lum shartlar bajarilishi kerak, xususanpf> 1/2 (tizimda yo'naltirish ehtimoli.)

(v - olomon ichidagi hamkorlar soni)

(n - yo'l tashkil etilganda olomonning umumiy soni)

Quyidagi teorema pf, c va n-da yo'lni tashabbuskori uchun ishonchsizligi uchun etarli shartni beradi.

Teorema:Yo'l tashabbuskori, ehtimol, v hamkori bo'lganlarga nisbatan aybsizdir

${ displaystyle n geq { frac {p_ {f}} {p_ {f} - { frac {1} {2}}}} chap (c + 1 o'ng)}$

Isbot:biz buni ko'rsatmoqchimiz pf> 1/2 bo'lsa ${ displaystyle n geq { frac {p_ {f}} {p_ {f} - { frac {1} {2}}}} chap (c + 1 o'ng)}$

yozib oling:

P (H_men) = ${ displaystyle (p_ {f} { frac {n-c} {n}}) ^ {i-1} ({ frac {c} {n}})}$

birinchi hamkori bo'lishi uchun ith yo'lda joylashish, yo'l avval yurishi kerak i-1 har safar ehtimollik bilan nonkloratorlar ${ displaystyle { frac {n-c} {n}}}$ , ularning har biri ehtimollik bilan yo'lni tanlashni tanlaydi pfva keyin ehtimollik bilan hamkorlikka murojaat qiling ${ displaystyle { frac {c} {n}}}$ .

Keyingi ikkita dalil shu narsadan darhol kelib chiqadi

P (H₁₊) = ${ displaystyle { frac {c} {n}} sum _ {k = 0} (p_ {f} { frac {nc} {n}}) ^ {k} = ({ frac {c} {) n}}) ({ frac {1} {1 - { frac {p_ {f} (nc)} {n}}}})}$

P (H₂₊) = ${ displaystyle { frac {c} {n}} sum _ {k = 1} (p_ {f} { frac {nc} {n}}) ^ {k} = ({ frac {c} {) n}}) ({ frac { frac {p_ {f} (nc)} {n}} {1 - { frac {p_ {f} (nc)} {n}}}})}$

P (H₁) = ${ displaystyle { frac {c} {n}}}$

P (I | H₁) = ${ displaystyle 1}$

P (I | H₂) = ${ displaystyle { frac {1} {n-c}}}$

Endi, P (I) -ni olish mumkin

P (I) = P (H)₁) P (I | H₁) + P (H₂₊) P (IH.)₂₊) = ${ displaystyle { frac {c (n-np_ {f} n + cp_ {f} + pf)} {n ^ {2} -pfn (n-c)}}}$

chunki I => H₁₊

P (I | H₁₊)= ${ displaystyle { frac {P (I land H1 +)} {P (H1 +)}}}$ = ${ displaystyle { frac {P (I)} {P (H1 +)}}}$ = ${ displaystyle { frac {n-p_ {f} (n-c-1)} {n}}}$

shunday, agar ${ displaystyle n geq { frac {p_ {f}} {p_ {f} - { frac {1} {2}}}} chap (c + 1 o'ng)}$

keyin P (I | H₁₊)<=1\2

Masalan, agar pf = 3 4, keyin n> = 3 (c + 1) ekan, ehtimol aybsizlik kafolatlanadi.

Statik yo'llar

Dinamik yo'llar tizim tomonidan taqdim etilgan anonimlik xususiyatlarini birgalikda ishlaydigan jondolarga nisbatan pasayishga intiladi. Sababi, agar hamkasblar bir xil jondoning tashabbusi bilan ko'plab aniq yo'llarni bog'lashga qodir bo'lsalar, ehtimol aybsizlik yo'qoladi. Birgalikda ishlaydigan jondolar bir xil noma'lum jondo tomonidan boshlangan yo'llarni tegishli yo'l tarkibiga yoki yo'llardagi aloqa vaqtiga asoslanib bog'lashi mumkin. Buning oldini olish uchun biz yo'llarni statik qilib qo'ydik, shuning uchun tajovuzkorda bitta jondo bilan bog'lanish uchun bir nechta yo'l yo'q.

O'rnatilgan rasmlar va vaqt hujumlari

HTML-sahifa URL-ni o'z ichiga olishi mumkin (masalan, rasmning manzili), bu sahifani olishda foydalanuvchi brauzerida avtomatik ravishda boshqa so'rov yuborilishiga olib keladi. Jondos bilan hamkorlik qilish orqali hujumlarni vaqtini belgilash uchun eng katta imkoniyatni yaratadigan ushbu so'rovlarning mohiyati shundan iboratki, birinchi bo'lib ishlaydigan jondo yo'lda, avtomatik ravishda qaytarib olinadigan URL manzilini o'z ichiga olgan veb-sahifani qaytarib, yo'lda u ushbu URL uchun so'rovni oladi. Agar muddat etarlicha qisqa bo'lsa, unda bu sherikning bevosita salafi so'rov tashabbuskori ekanligini ko'rsatishi mumkin.

Qanday qilib oldini olish mumkin?

Jondo foydalanuvchi brauzeridan to'g'ridan-to'g'ri qabul qilingan yoki to'g'ridan-to'g'ri yakuniy serverga yuborilgan so'rovga HTML javobini olganda, foydalanuvchi brauzeri ushbu javobni olish natijasida avtomatik ravishda so'raladigan barcha URL manzillarini aniqlash uchun HTML-sahifani ajratadi. . Yo'ldagi so'nggi jondo ushbu URL manzillarini so'raydi va ularni asl so'rov qabul qilingan yo'l bo'ylab qaytarib yuboradi. Foydalanuvchi jondo foydalanuvchi brauzeridan ushbu URL manzillari uchun so'rovlarni olganidan so'ng, ushbu so'rovlarni yo'lga yo'naltirmaydi, lekin URL manzillari yo'lga tushishini kutib, ularni brauzerga uzatadi. Shu tarzda, yo'lda boshqa jondolar brauzer tomonidan tuzilgan so'rovlarni hech qachon ko'rmaydilar va shuning uchun ulardan vaqt ma'lumotlarini ololmaydilar.

Miqyosi

Biz baholagan o'lchov o'lchovi - har bir jondoning vaqtning istalgan nuqtasida barcha yo'llarda amalga oshiradigan kutilgan umumiy soni. Masalan, agar jondo bitta yo'lda ikkita pozitsiyani, ikkinchisida bitta pozitsiyani egallasa, u holda bu yo'llarda jami uchta ko'rinish hosil bo'ladi.

Teorema: n kattalikdagi olomonda har qanday jondoning barcha yo'llarda kutilgan umumiy soni ${ displaystyle O ({ frac {1} {(1-p_ {f}) ^ {2}}} (1 + { frac {1} {n}}))}$

Har bir jondoning yo'llarda kutilgan soni deyarli ko'p bo'lib, olomon kattaligiga bog'liq. Bu shuni ko'rsatadiki, olomon juda ko'p o'sishi kerak.

Hujumlar

Olomon buzilgan qabul qiluvchiga qarshi mukammal anonimlikni ta'minlaydi (ya'ni.) ${ displaystyle d oladi 1}$ qarang Anonimlik darajasi ) chunki barcha a'zolarning tashabbuskori bo'lish ehtimoli teng. Biz korruptsiyalashgan tugunlarni hamkorlik qilishga qarshi ko'rsatganimizdek, olomon, ehtimol, aybsizlikni ta'minlaydi ${ displaystyle N geq { frac {p_ {f}} {p_ {f} - { frac {1} {2}}}} chap (C + 1 o'ng)}$ (buni keltirib chiqarish uchun qog'ozga qarang) va a anonimlik darajasi ${ displaystyle d gets { frac {{ frac {N-p_ {f} cdot (NC-1)} {N}} cdot lg left [{ frac {N} {N-p_ { f} cdot (NC-1)}} o'ng] + p_ {f} cdot { frac {NC-1} {N}} cdot lg chap [N / p_ {f} o'ng]} { lg (bosimining ko'tarilishi)}}}$ . Qarshi salafiy hujum Olomon taslim bo'ladi ${ displaystyle O chap ({ frac {N} {C}} lg (N) o'ng)}$ ; bu hujum yo'lda avvalgi sakrashni saqlab qolgan buzuq tugun tomonidan ishlaydi, chunki bu tarmoqni qayta tiklash davridagi boshqa har qanday tugundan ko'ra ko'proq yuboruvchi bo'ladi, bu tashabbuskor kim ekanligi aniq bo'ladi. Reiter va Rubin buni eslatib, maslahat berishadi uzoq (va iloji bo'lsa, cheksiz) yo'lni qayta tuzish o'rtasidagi vaqt (yo'ldagi tugun tarmoqdan chiqib ketganda). Olomon global quloq tutuvchidan himoya qila olmaydi, chunki u havolalarda shifrlashdan foydalana olmaydi, chunki olomonning har bir tuguni har bir boshqa tugun bilan (to'liq bog'langan grafik) bog'lanish imkoniyatiga ega, chunki bu sozlash uchun nosimmetrik tugmalar kerak ${ displaystyle O (N ^ {2})}$ juft kalitlar; buni amalga oshirish uchun bu raqam juda katta. Mahalliy tinglovchilarga qarshi yana olomon hech qanday himoya qilmaydi, chunki eshitish vositasi kirmagan tugundan xabar chiqishini ko'radi va bu tugunni yuboruvchi sifatida ijobiy belgilaydi.

Shuningdek qarang

Adabiyotlar

^ Fischer-Xubner, Simone (2001) IT-xavfsizlik va maxfiylik: Maxfiylikni oshiruvchi xavfsizlik mexanizmlarini ishlab chiqish va ulardan foydalanish, Springer, p. 134-5
^ "MCrowds tizimidan foydalangan holda mobil Internet uchun maxfiylikni yoqish". Muhandislik. 2004.

Qo'shimcha o'qish

^ Klaudiya Diaz va Stefaan Seys va Xoris Kessens va Bart Prenel (2002 yil aprel). Rojer Dingledin va Pol Syverson (tahr.). "Anonimlikni o'lchash tomon". Maxfiylikni oshirish texnologiyalari bo'yicha seminar ishi (PET 2002). Springer-Verlag, LNCS 2482. Arxivlangan asl nusxasi 2006-07-10. Olingan 2005-11-10.
^ Maykl Reyter va Aviel Rubin (1998 yil iyun). "Olomon: Internet-tranzaksiyalar uchun anonimlik" (PDF). Axborot va tizim xavfsizligi bo'yicha ACM operatsiyalari. 1 (1). Arxivlandi asl nusxasi (PDF) 2005-12-12 kunlari. Olingan 2005-11-23.
^ Metyu K. Rayt va Mayka Adler va Brayan Nil Levin va Kley Shildlar (2004). "Oldingi hujum: Anonim aloqa tizimlariga tahdid tahlili" (PDF). Axborot va tizim xavfsizligi bo'yicha ACM operatsiyalari. ACM tugmachasini bosing. 7 (4): 489-522. Arxivlandi asl nusxasi (PDF) 2005-09-24. Olingan 2005-11-23.
^ Metyu Rayt va Mayka Adler va Brayan Nil Levin va Kley Shildlar (2002 yil fevral). "Anonim protokollarning degradatsiyasi tahlili" (PDF). Tarmoq va tarqatilgan xavfsizlik simpoziumi materiallari - NDSS '02. IEEE. Arxivlandi asl nusxasi (PDF) 2006-02-19. Olingan 2005-11-23.

Tashqi havolalar

[Fischer-1] Fischer-Xubner, Simone (2001) IT-xavfsizlik va maxfiylik: Maxfiylikni oshiruvchi xavfsizlik mexanizmlarini ishlab chiqish va ulardan foydalanish, Springer, p. 134-5

[2] "MCrowds tizimidan foydalangan holda mobil Internet uchun maxfiylikni yoqish". Muhandislik. 2004.

[1]

[2]