Red mixta

Protocolo de enrutamiento

Red mixta de descifrado simple. Los mensajes se cifran con una secuencia de claves públicas. Cada nodo mixto elimina una capa de cifrado utilizando su propia clave privada. El nodo baraja el orden de los mensajes y transmite el resultado al siguiente nodo.

Las redes mixtas ^[1] son ​​protocolos de enrutamiento que crean comunicaciones difíciles de rastrear mediante una cadena de servidores proxy conocidos como mixes ^[2] que reciben mensajes de varios remitentes, los mezclan y los envían de vuelta en orden aleatorio al siguiente destino (posiblemente otro nodo mix). Esto rompe el vínculo entre la fuente de la solicitud y el destino, lo que dificulta que los espías rastreen las comunicaciones de extremo a extremo. Además, los mixes solo conocen el nodo del que recibió inmediatamente el mensaje y el destino inmediato al que enviar los mensajes mezclados, lo que hace que la red sea resistente a los nodos mix maliciosos. ^{[3] [4]}

Cada mensaje se cifra en cada servidor proxy mediante criptografía de clave pública ; el cifrado resultante se organiza en capas como una muñeca rusa (excepto que cada "muñeca" es del mismo tamaño) con el mensaje como la capa más interna. Cada servidor proxy elimina su propia capa de cifrado para revelar dónde enviar el mensaje a continuación. Si todos los servidores proxy menos uno se ven comprometidos por el rastreador, aún se puede lograr la imposibilidad de rastrearlos contra algunos adversarios más débiles.

El concepto de redes mixtas fue descrito por primera vez por David Chaum en 1981. ^[5] Las aplicaciones que se basan en este concepto incluyen remailers anónimos (como Mixmaster ), enrutamiento de cebolla , enrutamiento de ajo y enrutamiento basado en claves (incluidos Tor , I2P y Freenet ).

Historia

David Chaum publicó el concepto de Mix Networks en 1979 en su artículo: "Untraceable electronic mail, return directions, and digital pseudonyms". El artículo fue para su trabajo de tesis de maestría, poco después de que se introdujera por primera vez en el campo de la criptografía a través del trabajo de Martin Hellman , Whitfield Diffie y Ralph Merkle sobre criptografía de clave pública . Si bien la criptografía de clave pública encriptaba la seguridad de la información, Chaum creía que existían vulnerabilidades de privacidad personal en los metadatos encontrados en las comunicaciones. Algunas vulnerabilidades que permitían el compromiso de la privacidad personal incluían la hora de los mensajes enviados y recibidos, el tamaño de los mensajes y la dirección del remitente original. [ ^2] Cita el artículo de Martin Hellman y Whitfield "New Directions in Cryptography" (1976) en su trabajo.

Movimiento Cypherpunk (años 1990)

Innovadores como Ian Goldberg y Adam Back hicieron enormes contribuciones a la tecnología mixnet. Esta era fue testigo de avances significativos en los métodos criptográficos, que fueron importantes para la implementación práctica de las mixnets. Las mixnets comenzaron a atraer la atención en los círculos académicos, lo que llevó a más investigaciones para mejorar su eficiencia y seguridad. Sin embargo, la aplicación práctica generalizada todavía era limitada, y las mixnets se mantuvieron en gran medida en etapas experimentales. Se desarrolló un software "cypherpunk remailer" para facilitar a las personas el envío de correos electrónicos anónimos mediante mixnets. ^[6]

Década de 2000: crecientes aplicaciones prácticas

En la década de 2000, la creciente preocupación por la privacidad en Internet puso de relieve la importancia de las redes mixtas (mixnets). Esta era estuvo marcada por la aparición de Tor (The Onion Router) a mediados de la década de 2000. Aunque Tor no era una implementación directa de una mixnet, se inspiró en gran medida en las ideas fundacionales de David Chaum, en particular utilizando una forma de enrutamiento de cebolla similar a los conceptos de mixnet. Este período también fue testigo del surgimiento de otros sistemas que incorporaron los principios de mixnet en diversos grados, todos ellos destinados a mejorar la comunicación segura y anónima.

Década de 2010: modernización

A principios de la década de 2010, se produjo un cambio significativo en la escalabilidad y la eficiencia de las redes mixtas, impulsado por la introducción de nuevos protocolos y algoritmos que ayudaron a superar algunos de los principales desafíos que habían dificultado anteriormente la implementación generalizada de las redes mixtas. La relevancia de las redes mixtas aumentó, especialmente después de 2013, tras las revelaciones de Edward Snowden sobre los extensos programas de vigilancia global. En este período, se volvió a prestar atención a las redes mixtas como herramientas vitales para proteger la privacidad.

La inminente llegada de la computación cuántica tendrá un gran impacto en las mixnets. ^{[ cita requerida ]} Por un lado, trae consigo nuevos desafíos, porque las computadoras cuánticas son muy potentes y podrían romper algunos de los métodos de seguridad actuales que se utilizan en las mixnets. Por otro lado, también ofrece oportunidades para mejorar y fortalecer las mixnets. Debido a esto, es realmente importante desarrollar nuevos métodos de seguridad que puedan hacer frente a la computación cuántica. Esto ayudará a garantizar que las mixnets puedan seguir ofreciendo una privacidad y seguridad sólidas incluso a medida que la tecnología cambia y crece.

Cómo funciona

El participante A prepara un mensaje para entregarlo al participante B agregando un valor aleatorio R al mensaje, sellándolo con la clave pública del destinatario , agregando la dirección de B y luego sellando el resultado con la clave pública de la mezcla . M lo abre con su clave privada, ahora conoce la dirección de B y lo envía a B. ${\displaystyle K_{b}}$ ${\displaystyle K_{m}}$ ${\displaystyle K_{b}(message,R)}$

Formato del mensaje

${\displaystyle K_{m}(R1,K_{b}(R0,message),B)\longrightarrow (K_{b}(R0,message),B)}$

Para lograr esto, el remitente toma la clave pública del mix ( ), y la usa para cifrar un sobre que contiene una cadena aleatoria ( ), un sobre anidado dirigido al destinatario y la dirección de correo electrónico del destinatario ( B ). Este sobre anidado se cifra con la clave pública del destinatario ( ), y contiene otra cadena aleatoria ( R0 ), junto con el cuerpo del mensaje que se envía. Al recibir el sobre cifrado de nivel superior, el mix usa su clave secreta para abrirlo. Dentro, encuentra la dirección del destinatario ( B ) y un mensaje cifrado destinado a B . La cadena aleatoria ( ) se descarta. ${\displaystyle K_{m}}$ ${\displaystyle R1}$ ${\displaystyle K_{b}}$ ${\displaystyle R1}$

${\displaystyle R0}$es necesario en el mensaje para evitar que un atacante adivine los mensajes. Se supone que el atacante puede observar todos los mensajes entrantes y salientes. Si no se utiliza la cadena aleatoria (es decir, solo se envía a ) y un atacante tiene una buena suposición de que se envió el mensaje, puede probar si se cumple, con lo que puede conocer el contenido del mensaje. Al agregar la cadena aleatoria , se evita que el atacante realice este tipo de ataque; incluso si adivinara el mensaje correcto (es decir, es verdadero), no sabrá si está en lo cierto ya que no conoce el valor secreto . Prácticamente, funciona como una sal . ${\displaystyle (K_{b}(message))}$ ${\displaystyle B}$ ${\displaystyle message'}$ ${\displaystyle K_{b}(message')=K_{b}(message)}$ ${\displaystyle R0}$ ${\displaystyle message'=message}$ ${\displaystyle R0}$ ${\displaystyle R0}$

Direcciones de retorno

Lo que se necesita ahora es una manera para que B responda a A y al mismo tiempo mantenga en secreto la identidad de A para B.

Una solución es que A cree una dirección de retorno imposible de rastrear , donde es su propia dirección real, es una clave pública de un solo uso elegida solo para la ocasión actual y es una clave que también actuará como una cadena aleatoria con fines de sellado. Luego, A puede enviar esta dirección de retorno a B como parte de un mensaje enviado mediante las técnicas ya descritas. ${\displaystyle K_{m}(S1,A),K_{x}}$ ${\displaystyle A}$ ${\displaystyle K_{x}}$ ${\displaystyle S1}$

B envía a M, y M lo transforma en . ${\displaystyle K_{m}(S1,A),K_{x}(S0,response)}$ ${\displaystyle A,S1(K_{x}(S0,response))}$

Esta combinación utiliza la cadena de bits que encuentra después de descifrar la parte de la dirección como clave para volver a cifrar la parte del mensaje . Solo el destinatario, A , puede descifrar la salida resultante porque A creó tanto y . La clave adicional garantiza que la combinación no pueda ver el contenido del mensaje de respuesta. ${\displaystyle S1}$ ${\displaystyle K_{m}(S1,A)}$ ${\displaystyle K_{x}(S0,response)}$ ${\displaystyle S1}$ ${\displaystyle K_{x}}$ ${\displaystyle K_{x}}$

Lo siguiente indica cómo B utiliza esta dirección de retorno imposible de rastrear para formar una respuesta a A , a través de un nuevo tipo de mezcla:

El mensaje de A B : ${\displaystyle \longrightarrow }$

${\displaystyle K_{m}(R1,K_{b}(R0,message,K_{m}(S1,A),K_{x}),B)\longrightarrow K_{b}(R0,message,K_{m}(S1,A),K_{x})}$

Mensaje de respuesta de B A : ${\displaystyle \longrightarrow }$

${\displaystyle K_{m}(S1,A),K_{x}(S0,response)\longrightarrow A,S1(K_{x}(S0,response))}$

Dónde: = clave pública de B , = clave pública de la mezcla. ${\displaystyle K_{b}}$ ${\displaystyle K_{m}}$

Un destino puede responder a una fuente sin sacrificar el anonimato de la fuente. El mensaje de respuesta comparte todos los beneficios de rendimiento y seguridad con los mensajes anónimos de la fuente al destino.

Vulnerabilidades

Aunque las redes mixtas brindan seguridad incluso si un adversario puede ver la ruta completa, la combinación no es absolutamente perfecta. Los adversarios pueden realizar ataques de correlación a largo plazo y rastrear al remitente y al receptor de los paquetes. ^[7]

Modelo de amenaza

Un adversario puede realizar un ataque pasivo monitoreando el tráfico que entra y sale de la red mixta. Analizar los tiempos de llegada entre múltiples paquetes puede revelar información. Dado que no se realizan cambios activos en los paquetes, un ataque como este es difícil de detectar. En el peor de los casos de ataque, asumimos que el adversario puede observar todos los enlaces de la red y que se conocen las estrategias y la infraestructura de la red mixta. ^[2]

Un paquete en un enlace de entrada no se puede correlacionar con un paquete en el enlace de salida basándose en información sobre la hora en que se recibió el paquete, el tamaño del paquete o el contenido del paquete. La correlación de paquetes basada en el tiempo de los paquetes se evita mediante el procesamiento por lotes, y la correlación basada en el contenido y el tamaño del paquete se evita mediante el cifrado y el relleno de paquetes, respectivamente.

Los intervalos entre paquetes, es decir, la diferencia de tiempo entre la observación de dos paquetes consecutivos en dos enlaces de red, se utilizan para inferir si los enlaces llevan la misma conexión. El cifrado y el relleno no afectan el intervalo entre paquetes relacionado con el mismo flujo IP. Las secuencias de intervalo entre paquetes varían mucho entre conexiones; por ejemplo, en la navegación web, el tráfico se produce en ráfagas. Este hecho se puede utilizar para identificar una conexión.

Ataque activo

Los ataques activos se pueden realizar inyectando ráfagas de paquetes que contienen firmas de tiempo únicas en el flujo objetivo. El atacante puede realizar ataques para intentar identificar estos paquetes en otros enlaces de red. Es posible que el atacante no pueda crear nuevos paquetes debido al conocimiento requerido de claves simétricas en todas las mezclas posteriores. Los paquetes de reproducción tampoco se pueden utilizar, ya que se pueden prevenir fácilmente mediante hash y almacenamiento en caché. ^[2]

Brecha artificial

Se pueden crear grandes brechas en el flujo de destino si el atacante descarta grandes volúmenes de paquetes consecutivos en el flujo. Por ejemplo, se ejecuta una simulación enviando 3000 paquetes al flujo de destino, donde el atacante descarta los paquetes 1 segundo después del inicio del flujo. A medida que aumenta la cantidad de paquetes consecutivos descartados, la eficacia de la eliminación defensiva disminuye significativamente. Introducir una gran brecha casi siempre creará una característica reconocible.

Explosiones artificiales

El atacante puede crear ráfagas artificiales. Para ello, crea una firma a partir de paquetes artificiales, reteniéndolos en un enlace durante un período de tiempo determinado y luego liberándolos todos a la vez. La eliminación defensiva no proporciona ninguna defensa en este escenario y el atacante puede identificar el flujo objetivo. Existen otras medidas de defensa que se pueden tomar para prevenir este ataque. Una de esas soluciones pueden ser los algoritmos de relleno adaptativo. Cuanto más se retrasen los paquetes, más fácil será identificar el comportamiento y, por lo tanto, se podrá observar una mejor defensa.

Otros ataques de análisis de tiempo

Un atacante también puede buscar otros ataques de sincronización distintos de los intervalos entre paquetes. El atacante puede modificar activamente los flujos de paquetes para observar los cambios que se producen en el comportamiento de la red. Los paquetes pueden corromperse para forzar la retransmisión de paquetes TCP, cuyo comportamiento es fácilmente observable para revelar información. ^[8]

Ataque durmiente

Supongamos que un adversario puede ver los mensajes que se envían y reciben en las mezclas de umbral, pero no puede ver el funcionamiento interno de estas mezclas ni lo que se envía a través de ellas. Si el adversario ha dejado sus propios mensajes en las respectivas mezclas y recibe una de las dos, puede determinar el mensaje enviado y el remitente correspondiente. El adversario tiene que colocar sus mensajes (componente activo) en la mezcla en cualquier momento y los mensajes deben permanecer allí antes de que se envíe un mensaje. Este no es un ataque activo por lo general. Los adversarios más débiles pueden usar este ataque en combinación con otros ataques para causar más problemas.

Las redes mixtas obtienen seguridad al cambiar el orden de los mensajes que reciben para evitar crear una relación significativa entre los mensajes entrantes y salientes. Las mezclas crean interferencias entre los mensajes. La interferencia pone límites a la tasa de fuga de información a un observador de la mezcla. En una mezcla de tamaño n, un adversario que observa la entrada y la salida de la mezcla tiene una incertidumbre de orden n para determinar una coincidencia. Un ataque durmiente puede aprovechar esto. En una red en capas de mezclas de umbral con un durmiente en cada mezcla, hay una capa que recibe entradas de los remitentes y una segunda capa de mezclas que reenvían mensajes al destino final. A partir de esto, el atacante puede aprender que el mensaje recibido no podría haber venido del remitente a ninguna mezcla de capa 1 que no se haya activado. Existe una mayor probabilidad de que coincidan los mensajes enviados y recibidos con estos durmientes, por lo que la comunicación no es completamente anónima. Las mezclas también pueden ser puramente cronometradas: aleatorizan el orden de los mensajes recibidos en un intervalo particular y adjuntan algunos de ellos con las mezclas, reenviándolos al final del intervalo a pesar de lo que se haya recibido en ese intervalo. Los mensajes que están disponibles para mezclar interferirán, pero si no hay mensajes disponibles, no hay interferencia con los mensajes recibidos. ^[9]

Referencias

1. También conocidas como "mezclas digitales"
2. Sampigethaya, Krishna; Poovendran, Radha (diciembre de 2006). "Una encuesta sobre redes mixtas y sus aplicaciones seguras". Actas del IEEE . 94 (12): 2142–2181. doi :10.1109/JPROC.2006.889687. ISSN  1558-2256. S2CID  207019876.
3. Claudio A. Ardagna; et al. (2009). "Preservación de la privacidad en redes móviles no confiables". En Bettini, Claudio; et al. (eds.). Privacidad en aplicaciones basadas en la ubicación: problemas de investigación y tendencias emergentes . Springer. pág. 88. ISBN 9783642035111.
4. Danezis, George (3 de diciembre de 2003). "Redes mixtas con rutas restringidas". En Dingledine, Roger (ed.). Tecnologías para mejorar la privacidad: tercer taller internacional, PET 2003, Dresde, Alemania, 26-28 de marzo de 2003, Documentos revisados . Vol. 3. Springer. ISBN 9783540206101.
5. Chaum, David L. (1981). "Correo electrónico no rastreable, direcciones de retorno y seudónimos digitales". Comunicaciones de la ACM . 24 (2): 84–90. doi : 10.1145/358549.358563 . S2CID  30340230.
6. Mazieres, David. "El diseño, implementación y operación de un servidor de correo electrónico con seudónimo" (PDF) .
7. Tom Ritter, "las diferencias entre el enrutamiento de cebolla y las redes mixtas", ritter.vg. Consultado el 8 de diciembre de 2016.
8. Shmatikov, Vitaly; Wang, Ming-Hsiu (2006). "Análisis de tiempos en redes mixtas de baja latencia: ataques y defensas". Seguridad informática – ESORICS 2006. Apuntes de clase en informática. Vol. 4189. págs. 18–33. CiteSeerX 10.1.1.64.8818 . doi :10.1007/11863908_2. ISBN .  978-3-540-44601-9.
9. Paul Syverson, "Los perros que duermen se acuestan sobre un lecho de cebollas, pero se despiertan cuando se mezclan", Simposio sobre tecnologías que mejoran la privacidad, consultado el 8 de diciembre de 2016.