Ананімныя сеткі: Розніца паміж версіямі

З Вікіпедыі, свабоднай энцыклапедыі
Інтэрактыўны прагляд гісторыі
[недагледжаная версія][недагледжаная версія]
← Папярэдняя праўкаНаступная праўка →
Змесціва выдалена Змесціва дададзена
ВізуальнаВікіразметка
др аўтаматычны перанос катэгорыі
Радок 4: Радок 4:


== Дэцэнтралізаваныя ананімныя сеткі ==
== Дэцэнтралізаваныя ананімныя сеткі ==
У [[Дэцэнтралізацыя|дэцэнтралізаванай]] сетцы любая машына можа ўсталяваць [[Сеткавае злучэнне|злучэнне]] з іншай, а таксама даслаць ёй запыт на прадастаўленне рэсурсаў. Кожная машына апрацоўвае запыты ад іншых у якасці [[Сервер, апаратнае забеспячэнне|сервера]], дасылаючы і прымаючы запыты, а таксама выконваючы іншыя дапаможныя і адміністрацыйныя функцыі. Любы ўдзельнік такой сеткі не абавязаны гарантаваць сталага [[Сеткавае злучэнне|злучэння]] і можа адлучыцца ў любы момант часу. Але па дасягненні пэўнага памеру сеціва ў ім адначасова пачынаюць існаваць мноства сервераў з аднолькавымі функцыямі.
У [[Дэцэнтралізацыя|дэцэнтралізаванай]] сетцы любая машына можа ўсталяваць [[Сеткавае злучэнне|злучэнне]] з іншай, а таксама даслаць ёй запыт на прадастаўленне рэсурсаў. Кожная машына апрацоўвае запыты ад іншых у якасці [[Сервер, апаратнае забеспячэнне|сервера]], дасылаючы і прымаючы запыты, а таксама выконваючы іншыя дапаможныя і адміністрацыйныя функцыі. Любы ўдзельнік такой сеткі не абавязаны гарантаваць сталага [[Сеткавае злучэнне|злучэння]] і можа адлучыцца ў любы момант часу. Але па дасягненні пэўнага памеру сеціва ў ім адначасова пачынаюць існаваць мноства сервераў з аднолькавымі функцыямі. Socks Пратакол з'яўляецца самым сучасным на сённяшні дзень. Ён гарантуе ананімнасць, ня перадаючы інфармацыі пра рэальны адрасе кліента. Падчас злучэння, у вэб-серверы будзе адлюстроўвацца IP самага Socks, але сервер не ўбачыць, што выкарыстоўваецца проксі.<ref>[https://advanced.name/ru/articles/31 Віды проксі, класіфікацыя і апісанне proxy-сервераў.]</ref>


=== ANts P2P ===
=== ANts P2P ===

Версія ад 17:38, 29 верасня 2019

Ананімнае сецівакамп'ютарныя сеткі, створаныя для дасягнення ананімнасці ў інтэрнэце, якія працуюць па-над глабальным сецівам. Спецыфіка такіх сетак палягае ў тым, што распрацоўнікі вымушаны ійсці на кампраміc паміж ступенню абароны і лёгкасцю карыстання сістэмай, яе «празрыстасцю» для карыстальніка. Таксама важны аспект захавання ананімнасці і канфідэнцыйнасці з умовай уздзеяння метадаў сацыяльнай інжынерыі ці якога-небудзь прымусу да аператара сервера. Шматузроўневае шыфраванне і размеркаваны характар ананімных сетак ліквідуе адзіны пункт адмовы і адзіны вектар атак, дазваляючы зрабіць перахоп трафіку ці нават узлом часткі вузлоў сеткі не фатальнай падзеяй. За ананімнасць карыстальнік расплачваецца павелічэннем часу водгуку, зніжэннем хуткасці, а таксама большымі аб'ёмамі сеціўнага трафіка.

Першай адносна паспяховай ананімнай сеткай быў камерцыйны сервіс Freedom, які функцыянаваў з 1998 да 2001 года. Камппанія ZKS усталявала асобныя серверы, з якімі кліенты злучаліся праз крыптаграфічны пратакол. Вузел, на які прыходзілі пакеты ад карыстальніка Freedom, не мог ідэнтыфікаваць сапраўднага адпраўніка. Сама сетка функцыянавала на ўзроўні пратаколу IP. У гэты ж час пачалі актыўно развівацца іншыя праекты.[1]

Дэцэнтралізаваныя ананімныя сеткі

У дэцэнтралізаванай сетцы любая машына можа ўсталяваць злучэнне з іншай, а таксама даслаць ёй запыт на прадастаўленне рэсурсаў. Кожная машына апрацоўвае запыты ад іншых у якасці сервера, дасылаючы і прымаючы запыты, а таксама выконваючы іншыя дапаможныя і адміністрацыйныя функцыі. Любы ўдзельнік такой сеткі не абавязаны гарантаваць сталага злучэння і можа адлучыцца ў любы момант часу. Але па дасягненні пэўнага памеру сеціва ў ім адначасова пачынаюць існаваць мноства сервераў з аднолькавымі функцыямі. Socks Пратакол з'яўляецца самым сучасным на сённяшні дзень. Ён гарантуе ананімнасць, ня перадаючы інфармацыі пра рэальны адрасе кліента. Падчас злучэння, у вэб-серверы будзе адлюстроўвацца IP самага Socks, але сервер не ўбачыць, што выкарыстоўваецца проксі.[2]

ANts P2P

Асноўны артыкул: en:ANts P2P

ANts P2P[3]файлаабменная сетка, якая ананімізуе ўвесь струмень даных, ужываючы сістэму маршрутызацыі, у якой, у адрозненні ад BitTorrent, удзельнікі абменьваюцца трафікам не наўпрост, а праз некалькі вузлоў. Кожнаму ўдзельніку вядомы толькі IP-адрас яго непасрэднага суседа. Такім чынам, адпраўнік не ведае, куды ідзе яго файл, а атрымальнік не ведае, адкуль ён прыйшоў. Для большай бяспекі даныя паміж асобнымі адпраўнікамі і атрымальнікамі шыфруюцца сіметрычным алгарытмам AES.[4]

Bitmessage

Асноўны артыкул: Bitmessage

Bitmessage - дэцэнтралізаваня P2P сістэма абмену электроннымі паведамленнямі з адкрытым крынічным кодам, якая дазваляе карыстальніку Bitmessage дасылаць шыфраваныя паведамленні іншым карыстальнікам сістэмы, як альтэрнатыва email. Bitmessage пабудавана на архітэктуры падобнай на сеціва Bitcoin, аднак адаптаванай для задачы перасылкі паведамленняў, а не грашовых транзакцый. Сеціва зазнала рэзкі ўспляск папулярнасці пасля разгалошанняў Эдварда Сноўдена аб сістэме сакрэтнага сачэння за інтэрнэт-карыстальнікамі PRISM.[5]

Filetopia

Асноўны артыкул: en:Filetopia

Filetopia[6] — шматфункцыйная файлаабменная праграма, галоўнай рысай якой з'яўляецца высокі ўзровень прыватнасці і бяспекі. Падтрымліваецца зашыфраваны чат, паўнавартасны інтэрнэт-пэйджар, работа з форумам. Дзякуючы тэхналогіі MS Agent пасля ўсталявання адпаведнага галасавога рухавічка магчыма паведасленне голасам атрыманых паведамленняў. З Мэтай паляпшэння ступені абароненасці Filetopia хавае IP-адрас карыстальніка, абараняючы яго тым самым ад магчымых хакерскіх атак. У якасці алгарытму стварэння адкрытага ключа ўжываецца эліптычныя крывыя, а паведамленні і файлы шыфруюцца адным з дзясятка самастойны абіральных карыстальнікам алгарытмаў.

Freenet

Асноўны артыкул: Freenet

Freenet[7] — гэта дэцэнтралізаваная і цалкам ананімная аднарангавая сетка, якая працуе па-над інтэрнэтам, уключаючы вялікую колькасць роўнапраўных камп'ютараў і дазваляе публікаваць любыя матэрыялы без магчымасці выйсці на аўтара. Канфідэнцыйнасць звестак гарантуецца строгай крыптаграфіяй: каб атрымаць файл, у запыце патрамуецца паведаміць асацыяваны з ім ключ. Ролю такога ключа выконвае хэш-код файла ці DSA-ключ, што стварае таксама механізм праверкі цэласнасці. У цяперашні час Freenet пачынае выкарыстоўваць прынцып сетак Onion Routing.[8]

GNUnet

Асноўны артыкул: GNUnet

GNUnet[9] — гэта праграмны пакет для бяспечнага P2P-злучэння, які не мае патрэбы ў серверах. Сэрвіс рэалізаваны па-над сеткавым узроўнем дазваляе абменьвацца файламі ананімна і без якой-небудзь сеткавай цэнзуры. Ананімнасть забяспечваецца за кошт таго, што сыходзячыя ад вузла сеткі паведасленні неадрозныя ад чужых паведасленняў, у перадачы якіх удзельнічае вузел. Усе вузлы дзеюць як маршрутызатары, злучэнні паміж якімі шыфруюцца, а ўзровень ужывання прапускной здольнасці канала падтрымліваецца сталым. GNUnet ужывае простую, заснаваную на лішках эканамічную мадэль для выдаткоўвання рэсурсаў: вузлы, якія больш даюць сеціву, узнагароджваюцца лепшым абслугоўваннем. Праект GNUnet узнік у 2001 годзе і быў натхнёны цэлым шэрагам тэхнічных ідэй, прызваных забяспечыць бяспечны файлаабмен у пірынгавых сетках. Асноўныя тэхнічныя пытанні працы GNUnet падрабязна апісаны ў шэрагу навуковых публікацый.[10] Сярод іх — палепшанае кадаванне змесціва ECRS і новы ананімны пратакол маршрутызацыі gap. Іх адметнасці дазваляюць заахвочваць у GNUnet актыўных удзельнікаў. В перыяды высокай загрузкі сеціва прыярытэт атрымліваюць тыя ўдзельнікі, якія зрабілі большы ўнёсак у мінулым. Акрамя таго, GNUnet пашыральная і дазваляе лёгка ствараць новыя праграмы peer-to-peer на яе аснове ці выкарыстоўваць альтэрнатыўныя сеткавыя транспарты для перадачы даных.

Gnutella

Асноўны артыкул: Gnutella

Gnutella[11] — першая цалкам дэцэнтралізаваная файлаабменная сетка, створаная ў 1999 годзе. Пры далучэнні кліент атрымлівае ад вузла, з якім яму сталася злучыцца, спіс з пяці актыўных вузлоў, якім дасылаецца запыт на пошук рэсурсу па ключавым слове. Вузлы шукаюць у сябе адпаведныя запыту рэсурсы і, калі не знаходзяць іх, перасылаюць запыт актыўным вузлам уверх па «дрэве», пакуль не знойдзецца рэсурс ці не будзе перавышана максімальная каолькасць крокаў. Такі пошук завецца размнажэннем запытаў (query flooding). Аднак, падобная рэалізацыя вядзе да экспанентнага росту колькасці запытаў, і на верхніх узроўнях «дрэва» можа прывесці да адмовы абслугоўвання, што неаднаразова назіралась на практыцы. Таму распрацоўшчыкі ўдасканалілі алгарытм і ўвялі правілы, у адпаведнасці з якімі запыты могуць перасылаць уверх па «дрэве» толькі вызначаныя (ultrapeers), а астатнія (leaves) могуць толькі рабіць запыты. Таксама была ўведзена сістэма кэшуючых вузлоў. Запыты ў сеціве Gnutella перасылаюцца па TCP ці UDP, а капіяванне файлаў ажыццяўляецца праз пратакол HTTP. У апошні час з'явіліся пашырэнні для кліентскіх праграм, якія дазваляюць капіяваць па UDP і рабіць XML-запыты метаінфармацыі аб файлах. Недахопы пратаколу Gnutella ініцыявалі распрацоўку прынцыпова новых алгарытмаў пошуку маршрутаў і рэсурсаў, што прывяло да стварэння групы пратаколаў DHT і, у прыватнасці, Kademlia, які шырока ўжываецца ў найбольш буйных сетках.[12]

Gnutella2

Асноўны артыкул: Gnutella2

Gnutella2[13] — створаны ў 2002 г. прынцыпова новы пратакол і першыя яго кліенты, якія маюць зваротную сумяшчальнасць з кліентамі Gnutella. У адпаведнасці з ім частка вузлоў становіцца канцэнтратарамі, астатнія — звычайнымі вузламі (leaves). Кожны звычайны вузел мае злучэнне з адным-двума канцэнтратарамі, якія звязаны з сотнямі звычайных вузлоў і дзесяткамі іншых канцэнтратараў. Кожны вузел перыядычна перасылае канцэнтратару спіс ідэнтыфікатараў ключавых слоў, па якім можна знайсці публікаваныя дадзеным вузлом рэсурсы. Ідэнтыфікатары захоўваюцца ў агульнай табліцы на канцэнтратары. Калі вузлу патрэбна знайсці рэсурс, ён пасылае запыт па ключавому слову свайму канцэнтратару, які альбо знаходзіць рэсурс у сваёй табліцы і вяртае id вузла, які валодае рэсурсам, альбо вяртае спіс іншых канцэнтратараў, якія вузел зноў запытвае па чарзе ў выпадковым парадку. Такі пошук завецца пошукам з дапамогай метада блуканняў (random walk). Адметнай асаблівасцю сеткі Gnutella2 з'яўляецца магчымасць распаўсюджвання інфармацыі аб файле ў сетцы без капіявання самаго файла, што вельмі карысна з пункту гледжання адсочвання вірусаў. Для перадавальных пакетаў у сетцы распрацаваны ўласны фармат, гнутка рэалізуючы магчымасць нарошчваць функцыянальнасць сеціва праз даданне дадатковай службовай інфармацыі. Запыты і спісы id ключавых слоў перасылаюцца на канцэнтратары па UDP.[14]

Invisible Internet Project (I2P)

Асноўны артыкул: I2P

I2P[15]форк праекту Freenet, распачаты ў 2003 годзе з мэтай забяспечыць ананімны доступ да абароненых рэсурсаў, сярод якіх блогі (Syndie), IRC (ircProxy), электронная пошта (Susimail), сэрвісы перадачы файлаў і суполак навін, шлюзы Freenet і Mnet. Будучы заснаванай на SSU (Secure Semireliable UDP), мае функцыі аўтэнтыфікацыі і кіравання плыняй, I2P прапануе сеткавы мост — т. з. I2PTunnel — забяспечвае перадачу TCP-пакетаў праз сеціва I2P, і такім чынам — сродак стварэння абароненых тунэляў ла любых TCP-сервісаў, у доступе да якіх можа ўзнікнуць патрэба. Падчас абмену данымі праз I2P адбываецца іх шматузроўневае шыфраванне (скрознае, часночнае, тунэльнае і транспартнага ўзроўня), а таксама крыптаграфічная аўтэнтыфікацыя канцавых вузлоў. Вузлы сеткі I2P прадстаўлены ідэнтыфікатарамі, якія не маюць лагічнай адпаведнасці з іх рэальнымі IP-адрасамі. Кліентскае праграмнае забеспячэнне функцыянуе як маршрутызатар, які запісвае ў табліцу звесткі вузлоў для перадачы ўваходнага і выходнага трафіку. Перадавальны пакет праходзіць часовыя аднабаковыя ланцугі: маршрутызатары выходнага трафіку, збудаваныя на вузле-адпраўніку, і маршрутызатары уваходнага трафіку, збудаваныя вузлом-адрасатам. Такія тунэлі перабудоўваюцца кожныя 10 хвілін. Кіруючы даўжынёй ланцугу маршрутызатараў у кліенцкім ПЗ, карыстальнік абірае для сябк патрэбныя суадносіны паміж ступенню ананімнасці, латэнтнасцю і прапускной здольнасцю сеткі. Перададаванае паведамленне праходзіць такі шлях, які адпавядае мадэлям пагрозы адпраўніка і атрымальніка.[16]

Manolito

Асноўны артыкул: MP2P

Manolito[17] — гэта сістэма размеркавання файлаў, якая ўжывае пірынгавую сетку з новым прыватным пратаколам MP2P, які працу без цэнтральнага сервера. Асаблівасцю пратаколу з'яўляецца ўжыванне UDP замест TCP, што па заяве вытворцы, гарантуе ананімнасць. Manolito не збірае звесткі аб карыстальніках, пошуках ці файлах. Падтрымліваецца дэцэнтралізаваны спіс сяброў, інтэграваны чат, праца з файламі і брандмаўэрам.

MUTE

Асноўны артыкул: MUTE, сеціва

MUTE[18] — гэта файлаабменная сістэма з дэцэнтралізаваным пошукам і загрузкай. Для маршрутызацыі ўсіх паведамленняў, уключаючы перадачу файлаў праз сеціва сумежных злучэнняў, MUTE выкарыстоўвае алгарытмы, пазычаныя з паводзінаў мурашоў.

Networked Electronic Technician Skilled in Ultimate Killing, Utility and Kamikaze Uplinking

Асноўны артыкул: Netsukuku

Netsukuku[19] — праект італьянскай кампаніі FreakNet Medialab па стварэнню глабальнай размеркаванай сеткі, якая будзе існаваць паралельна інтэрнэту без цэнтралізацыі, каранёвых сервераў і кантролю з боку правайдэаў. Замест DNS у сеціве Netsukuku выкарыстоўваецца доменная сістема ANDNA (A Netsukuku Domain Name Architecture ), у якой кожны вузел уяўляе сабой самастойны маршрутызатар трафіку, які працуе пад GNU/Linux. Гэты пратакол вельмі эканомна спажывае рэсурсы, таму ў кожным вузле для падтрымкі камунікацыі павтрабуецца максімум 355 КБ аператыўнай памяці і мінімальная вылічальная моц, якой хопіць нават у сучасных мабільных тэлефонаў. Новы метаалгарытм QSPN (Quantum Shortest Path Netsukuku) з ужываннем фракталаў дазваляе змясціць мапу сейіва цалкам у файл памерам меньш 2 КБ. Распрацаваны таксама спецыяльны пратакол Npv7_HT для дынамічнай маршрутызацыі ўнутры сеткі з неабмежаванай колькасцю вузлоў. Netsukuku уяўляе сабой рэальную фізічную сетку, якая будзе існаваць з Інтэрнэтам паралельна, а не ў выглядзе надбудовы. Вузлы ў ёй будуць здзяйсняць злучэнні адзін з адным у абход прамых каналаў.

Nodezilla

Асноўны артыкул: en:Nodezilla

Nodezilla[20]размеркаваная і адмоваўстоная сістэма маршрутызацыі (гл. GRID), якая падтрымлівае ананімны файлаабмен, чат, перадачу струменевага відэа і захоўванне даных. Дзякуючы функцыі кэшавання З раўнаважнымі серверамі, кожны з удзельнікаў можа ствараць лакальную копію наяўных даных. Падобная мадэль забяспечвае хуткі доступ і надзейнасць, а таксама змяньшае заторы на участках сеткі. Для абароны даных ужываецца крыптаалгарытмы з лішкавым кадаваннем.

OneSwarm

Асноўны артыкул: en:OneSwarm

OneSwarm[21] — цалкам дэцэнтралізаваная пірынгавая сетка, прызначаная для файлаабмену паміж даверанымі карыстальнікамі. Бяспечнасць трафіку забяспечваецца тым, што ён праходзіць толькі праз тых удзельнікаў сеціва, якія былі пазначаны карыстальнікам, як сяброўскія. Праз іх сцягванне файлаў адбываецца наўпрост. Калі ж патрэбная інфармацыя знаходзіцца не ў даверанага ўдзельніка, то передача даных адбываецца па ланцугу адзін да аднаго. Такім чынам, ініцыятар сцягвання не ведае першапачатковага месцазнаходжання файла, а змясціўны яго не мае звестак аб канцавым пункце прызначэння[22].

RShare

Асноўны артыкул: RShare

RShare[23]ананімная P2P-файлаабменнае сеціва трэцяга пакалення з адкрытым крынічным кодам.

Асноўны артыкул: StealthNet

StealthNet[24] — альтэрнатыўны кліент RShare з пашыранымі магчымасцямі. Адрозніваецца ад аналагаў зручнасцю і прастатой ужывання, а таксама шэрагам такіх дадатковых функцый, як дапампоўка, фільтр пошуку (SearchFilter) па пашырэнні імя файла і шматмоўнасць.[25]

SKad (OpenKAD)

Асноўны артыкул: Perfect Dark

Perfect Dark[26]кліент для ананімнага файлаабменнага сеціва SKad (OpenKAD) — мадыфікацыя пратаколу Kademlia — распрацаваны ў Японіі для замены папрэдніх Winny (англ.) і Share (англ.). Сваёй структурай ён падобны на Freenet, але ўжывае DHT з вялікім размеркаваннем. Звесткі захоўваюцца ў выглядзе зашыфраваных блокаў і перадаюцца асобна ад ключоў. Для шыфравання ўжываюцца алгарытмы RSA і AES, прычым ключы кэшуюцца дзеля паскарэння файлаабмену. Для лічбавага подпісу файлаў ужываецца ECDSA.

Turtle

Асноўны артыкул: Turtle F2F

Turtle[27] — праект свабоднай ананімнай пірынгавай сеткі, якая распрацоўваецца ў Амстэрдаме. Turtle не дазваляе невядомым вузлам далучацца да сеткі і абменьвацца інфармацыяй. Замест гэтага вузел стварае бяспечную колькасць бяспечных злучэнняў з іншымі вузламі, якія знаходзяцца под кіраваннем давераных карыстальнікаў. Запыты і вынікі пошуку паслядоўна перадаюцца ад вузла да вузла і толькі ў зашыфраваным выглядзе. Дзякуючы такой архітэктуры, атакуючыя не могуць вызначыць, якой дакладна інфармацыяй абменьваюцца ўдзельнікі сеціва і хто з'яўляецца яе крыніцай.[28] Ананімнасць гэтай сеткі пацвярджаецца даследваннямі Applied Public Key Infrastructure: 4th International Workshop: Iwap 2005 (англ.) і 11th International Conference on Parallel and Distributed Systems (ICPADS’05) (англ.).

RetroShare

Асноўны артыкул: RetroShare

RetroShare [29] - свабодная праграма бязсервернага абмену лістамі, імгненнымі паведамленнямі і файламі з дапамогай шыфраванай F2F (і апцыйна P2P) сеткі, пабудаванай на GPG. Адносіцца да т.з. Darknet (overlay network), бо піры могуць абменьвацца сертыфікатамі і IP-адрасамі з сваімі сябрамі. Выкарыстоўвае Turtle F2F для файлаабмену і DHT Kademlia для пошуку.[30]

WASTE

Асноўны артыкул: WASTE

WASTE[31]файлаабменная праграма для ўжывання унутры давераных суполак карыстальнікаў. Уключае ў сябе IM, чат і базу звестак удзельнікаў у онлайне. Падтрымлівае раздачу файлаў як на асобных камп'ютарах з падтрымкай аўтэнтыфікацыі, так і ва ўсім сеціве. Усе злучэнні унутры сеціва зашыфраваныя алгарытмам RSA, які забяспечвае свабодны і бяспечны файлаабмен без рызыкі праслухоўвання.[32]

Гібрыдныя ананімныя сеткі

У гібрыдных сетках існуюць серверы, ужывальныя для каардынацыі працы, пошуку ці падання інфармацыі аб існуючых машынах сеціва і іх статусе. Гібрыдныя сеткі спалучаюць хуткасць цэнтралізаваных сетак і надзейнасць дэцэнтралізаваных дзякуючы схемам з незалежнымі серверамі індэксацыі, якія сінхранізуюць звесткі паміж сабой. Пры адмове аднаго ці некалькіх сервераў, сетка працягвае функцыянаваць.

Psiphon

Асноўны артыкул: en:Psiphon

Psiphon[33] — «Праект праграмнага забеспячэння дзеля абароны правоў чалавека», распрацаваны ў лабараторыі Citizen Lab (англ.) універсітэта Таронта пры Цэнтры міжнародных даследванняў Мунка, яваходзячы ў OpenNet Initiative (англ.). Сістэма ўяўляе сабой частку праекту CiviSec Project (англ.) той жа лабараторыі і фінансуецца фондам «Адкрытае грамадства». Яго мэта — забяспечыць грамадзян розных краін доступам да інтэрнэт-рэсурсаў, заблакаваных сеціўнай цэнзурай. У сеціве Psiphon жыхары краін з вольным Інтэрнэтам прадастаўляюць свае камп'ютары для хостынгу проксі-сервераў з зашыфраваным злучэннем, ужывальным грамадзянамі краін з інтэрнэт-цэнзурай. Доступ ажуццяўляецца праз давераных удзельнікаў праекту. Для злучэння сз проксі-серверам ужываюцца ўнікальныя вэб-адрас, логін і пароль, прычым без унясення аніякіх зменаў у наладкі браўзеру. Аднак, такая працэдура можа ажыццяўляцца толькі даверанымі асобамі, бо адміністратар проксі-серверу валодае дакументаванай інфармацыяй аб актыўнасці свайго карыстальніка. Праграма папярэджвае адміністратара аб зменах у яго ўласнай сетцы, каб ён мог прадаставіць карыстальнікам новыя вэб-адрасы. Psiphon падтрымлівае ананімны вэб-серфінг і блогінг, але не падыходзіць для чатаў і VoIP. У далейшым плануецца развіць праект у асобную сацыяльную сетку.

Tor (The Onion Router)

Асноўны артыкул: Tor

Tor[34] — найбольш вядома і развітая сярод існуючых ананімных сетак. Карані праекта вядуць у MIT, а спіс спонсараў уключае DARPA[35], ONR (англ.)[36] і Electronic Frontier Foundation[37]. Сетка не з'яўляецца цалкам дэцэнтралізаванай — існуе 3 цэнтральных серверы каталогаў, якія захоўваюць падпісаны актуальны спіс вузлоў сеткі Tor з іх сапраўднымі адрасамі і адбіткамі адкрытых ключоў (генеруюцца наноў кожныя 7 дзён), гэта значыць рэгістрацыя сервераў ажыццяўляецца цэнтралізавана. Два з трох сервераў каталогокаталогаў змешчаны ў ЗША, дзе колькасць сервераў, запушчаных энтузіястамі, вышэй, чым у любой іншай краіне.

Сама ідэя Onion Router з'явілася яшчё ў сярэдзіне 1990-х гадоў, але першая практычная рэалізацыя сеткі гэтага тыпу ў рамках праекту Free Haven пачалася толькі ў 2002 годзе. Так з'явілася першая сетка Onion Routing[38], якая складалася толькі з аднаго маршрутызатару, які працаваў на адным з камп'ютараў даследчай лабараторыі ВМС США ў Вашынгтоне (англ.). Як вынік развіцця, з'явілася другое пакаленне гэтай сеткі — праект Tor. Яго сутнасць у тым, што кліенцкі бок фармуе ланцук з трох адвольна абраных вузлоў сеткі Tor. Сярод іх ёсць уваходны (entry node) адносна кліента вузел і выходны (exit node). Сетка Tor пры гэтым функцыянуе як шлюз паміж кліентам і вонкавай сеткай. Кожны Tor-сервер «ведае» аб папярэднім яму і наступным, але не болей, а замыкальныя вузлы не ведаюць, хто знаходзіцца на іншым баку каналу і хто ініцыяваў злучэнне. Адсутнасць лагічнай сувязі паміж адпраўніком і паведамленнем гарантуе надзейную ананімнасць. Акрамя таго, такая схема робіць бессэнсоўным перехват трафіка[39] на баку ISP, бо правайдар «бачыць» толькі плыню шыфратэксту, якая складаецца з пакетаў сталай даўжыні. З кожным пераданым пакетам, уключаючы саму каманду адкрыцця тунэлю, асацыюецца сіметрычны ключ шыфравання і ідэнтыфікатар наступнага вузла тунэлю. Гэтыя звесткі шыфруюцца паслядоўна адкрытымі ключамі ўсіх абраных сервераў, пачынаючы з апошняга, ствараючы структуры, званыя «цыбулямі» (onions). Для міжсерверных камунікацый выкарыстоўваецца TLS. Створаныя ланцугі кожныя 10 хвілін берабудоўваюцца такім чынам, што праз кожны вузел сеткі праходзіць абмежаваны аб'ём трафіку ад кожнага кліента. Для кожнага наноў створанага ланцуга сервераў генеруецца новы сеансавы ключ, а для супрацьдзеяння атакам аналізу трафіка блок даных мае сталы памер 512 байт[40]. «Цыбуліна» можа змяшчаць звесткі, патрэбныя для ўсталёўкі зваротнага канала — двухбаковых злучэнняў. Функцыянуючы на ўзроўні TCP і перасылаючы толькі легітымныя струмені, Tor прадастаўляе надзейны транспарт для прыкладных праграм пасродкам пратаколу SOCKS[41]. Калі ж карыстальнік утрымлівае ўласны сервер сеціва Tor, то адрозніць стваральны ім трафік ад трафіку, які праходзіць праз яго сервер ад іншых кліентаў немагчыма. Кампраментацыя ж аднаго ці некалькіх сервераў ланцуга да страты ананімнасці ці канфідэнцыйнасці не вядзе.

Virtual Private Network

Асноўны артыкул: VPN

VPN — віртуальныя прыватныя сеткі, арганізаваныя ў выглядзе зашыфраванага тунэлю, які створаны праз Інтэрнэт. VPN-злучэнне складаецца з канала тыпу пункт-пункт, якое мае на ўвазе сувязь паміж двума камп'ютарамі, так званымі Peer'амі. Кожны пір адказвае за шыфраванне інфармацыі перад уваходам у тунэль і іх расшыфроўку на выхадзе. Хоць VPN заўсёды ўсталёўваецца паміж двума пунктамі, кожны пір можа ўсталёўваць дадатковыя тунэлі з іншымі вызламі, прычым для ўсіх іх пір на баку сервера можа быць адным і тым жа. Гэта магчыма дзякуючы таму, што вузел можа шыфраваць і расшыфроўваць інфармацыю ад імя ўсёй сеткі. У гэтым выпадку вузел VPN завецца VPN-шлюзам, з якім карыстальнік усталёўвае злучэнне і атрымлівае доступ у сеціва за ім, званае даменам шыфравання. Кожны раз, калі злучэнне сетак абслугоўваюць два VPN-шлюзы, выкарыстоўваецца тунэляванне. Гэта значыць, што шыфруецца ўвесь IP-пакет, пасля чаго да яго дадаецца новый загаловак, які змяшчае IP-адрасы двух VPN-шлюзаў, якія пабачыць сніфер пры перахопе трафіку. Такім чынам, немагчыма вызначыць камп'ютар-крыніцу ў першым дамене шыфравання і камп'ютар-атрымальнік у другім.[42]

Вузкаспецыялізаваныя ананімныя сеткі

Java Anonymous Proxy

Асноўны артыкул: en:Java Anon Proxy

JAP[43] — йн жа AN.ON і JonDonym — прызначаны для ананімізацыі толькі HTTP, гэта значыць вэб-трафіку. Хоць само ПЗ падтрымлівае і SOCKS, распрацоўшчыкі аргументуюць падтрымку сваімі серверамі толькі HTTP высокімі разакамі злоўжыванняў. Перасылка трафіку адбываецца ў зашыфраваным выглядзе праз фіксаваны каскад мікс-сервераў: карыстальнік не мае магчымасці збудаваць адвольны ланцуг сервераў. Перавага гэтага падыхода ў тым, што так прасцей дасягнуць той «крытычнай масы» карыстальнікаў, якая гарантуе высокую ступень ананімнасці, а таксама большай хуткасці серфінгу, якая ў JAP значна вышэй, чым у цалкам размеркаваных сетак. Акрамя такго, пакаолькі крыстальнік не служыць у дадзеным выпадку канчавым звяном ланцугу, то ён абаронены ад замаху з боку асоб, якія жадаюць завалодаць звесткамі. Кампраметацыя ананімнасці кліента JAP немагчыма без перахопу усяго ўваходнага і выходнага трафіку ўсіх вузлоў каскаду і іх судзеяння з мэтай расшыфроўкі пакетаў. З траўня 2005 года JAP умее выкарыстоўваць вузлы сеткі Tor у якасці каскаду для ананімізацыі HTTP-трафіка. Гэта адбываецца аўтаматычна ў тым выпадку, калі ў наладках браўзера абраны SOCKS, а не HTTP-проксі. JAP гарантуе шыфраванне трафіка ад кліента да каскада JAP-сервераў, але не выконвае даданне пакетаў да сталага памеру, чаго загадзя недастаткова для супрацьстаяння атакам, заснаваным на аналізе трафіку. Поўная канфідэнцыйнасць перадаваных звестак дасягаецца толькі ў выпадку дадатковага шыфравання на верхніх узроўнях з дапамогай такіх пратаколаў, як SSL. З другой паловы 2006 года ў рамках JAP вырашана прадастаўляць платны прэміум-сервіс, бо праект страціў крыніцу фінансавання. Праграма распрацавана ў Германіі, каскад JAP-сервераў змешчаны таксама там. Вядомы выпадак кампраметацыі сеткі нямецкай спецслужбай Бундэскрыміналамт (BKA). Яе патрабаваннем у рэалізацыю JAP распрацоўшчыкамі быў убудаваны бэкдор, а карыстальнікам настойліва параілі правесці абнаўленне ПЗ. Неўзабаве суд прызнаў дзеянні BKA нелігітымнымі і патаемны ход з кода JAP быў ухілены.

Mixminion

Асноўны артыкул: Mixminion

Mixminion[44] — распрацаваная ў універсітэце Берклі сістэма ананімнай электроннага ліставаня. Гэтая сетка з часоў свайго стварэння спазнала змену некалькіх пакаленняў. Так, рэалізацыя першага пакалення (type 0) складалася з аднаго паштовага проксі-сервера, які выдаляў з загалоўкаў інфармацыю, якая б дазваляла ідэнтыфікаваць адпраўніка. У цяперашні час выкарыстоўваюцца сеткі другога пакалення (type 2) — Mixmaster[45] — і адбываецца актыўнае развіцце трэцяга (type 3) — Mixminion. У сетцы type 3 кожнае паведамленне разбіваецца на некалькі фрагментаў сталай даўжыні і для кожнага з іх абіраецца свой ланцуг сервераў. Тэрмін жыцця ключа абмежаваны, з адпраўніком асацыяваны зашыфраваны псеўданім, па якім ён можа атрымаць адказ.

Спыненыя праекты ананімны сетак

Emerging Network To Reduce Orwellian Potency Yield

Асноўны артыкул: Энтрапія, сетка

ENTROPY[46]ананімная файлаабменная сетка, устойлівая да інтэрнэт-цынзуры. Уяўляе сабой размеркаванае сховішча звестак, падобнае сваёй структурай на Freenet. Распрацоўка была спынена 9 ліпеня 2004 года з-за сумневаў у эфектыўнасці ўжываных алгарытмаў.

Invisible IRC Project

Асноўны артыкул: Invisible IRC Project/Proxy

IIP[47] — праект ананімізацыі IRC, шырока ўжываны ў якасці дадатку для онлайнавых стасункаў у Freenet. Зачынены ў 2004 годзе пасля сапсавання апаратнага забеспячэння сеткі.

Peek-A-Booty

Peekabooty[48] — распрацаваны двума энтузіястамі з Cult of the Dead Cow (англ.) і прэзентаваная ў 2002 г. на канферэнцыі CodeCon (англ.) ананімная пірынгавая сетка. Праект разлічваў на падтрымку «глабальна думаючых і лакальна дзеючых» добраахвотнікаў, якім патрэбна было сцягнуць і ўсталяваць кліентскую праграму, дзеючую ў фонавым рэжыме як срынсэйвер. Для ўжывання сеткі карыстальнікам у краінах з інтэрнэт-цэнзурай патрабавалася толькі ўказаць уваход у Peekabooty як проксі для свайго браўзера. Запыты на забароненыя сайты праходзілі праз машыны добраахвтнікаў, прычым машыны кожны раз абіраліся выпадковым чынам. Ананімнасць забяспечвалася дзякуючы запыту даных без указання сеткавага адраса крыніцы запыту, які камп'ютары перадаюць ланцугом, захоўваючы толькі адрас папярэдняй машыны. Для абароны ад праслухоўвання Peekabooty шыфраваў звесткі, маскіруючы іх пад аперацыю электроннай камерцыі з выкарыстаннем пратаколу HTTPS. Праект так і не выйшаў са стадыі бэта-тэставання.

BitBlinder

Асноўны артыкул: en:Bitblinder

BitBlinder[49] — тэхналогія, якая дапамагала сцягваць файлы з файлаабменных сетак цалкам ананімна і без дадатковых выдаткаў. З яе дапамогай усе запыты і звесткі перадаваліся ў зашыфраваным выглядзе праз ланцуг пасярэднікаў, якія нічога не ведалі аб крыніцы і змесце запыта, забяспечваючы поўную абарону прыватнасці і IP-адрасоў кліентаў. Фактычна, модуль BitBlinder выступаў у якасці асабістага торэнт-трекера для ананімных звестак, у якім кожны з жадаючых дамагчыся прыватнасці павінен быў ананімізаваць пэўны аб'ём звестак для іншых удзельнікаў сеткі. Для абароны IP-адрасу кожны запыт карыстальніка BitBlinder перадаваўся праз некалькі прамежкавых вузлоў, перш чым дасягаў патрэбнага адраса. Кожны прамежкавы вузел пры гэтым атрымліваў толькі адрас наступнага вузла ў ланцугу, але не адрас крыніцы запыта, прычым адсачыць плыні звестак было вельмі складана для любога ўдзельніка сеткі. Тэхналогія BitBlinder падыходзіла не толькі для торэнт-сетак, але і для звычайнага прагляду вэб-старонак. Напрыклад, з яе дапамогай можна было ўтойваць гісторыю прагледжаных старонак ад вонкавых назіральнікаў, а таксама выходзіць на патрэбныя сайты праз фільтры карпаратыўных сетак.

Тэхналогія BitBlinder з'яўлялася кросплатформавай (праграма напісана на Python). Для ўключэння ў сетку ананімізацыі патрабавалася рэгістрацыя.[50] Праект спыніў сваё існаванне ў 2012 годзе.

Veiled

Veiled[51] — тэхналогія для абароненаха абмена звесткамі з ужываннем толькі браўзера з падтрымкай стандарту HTML 5. Яе асноўная мэта — ананімны прагляд вэб-старонак і бяспечныя зносіны ў онлайне аніякай цэнзуры ці маніторынгу. Сістэма не патрабуе ўсталёўкі — кліент наўпрост адчыняе спецыяльны PHP-файл на вэб-серверы, загружае пэўны набор сцэнароў на JavaScript, а потым тэхналогія ўтойвае ўсі дзеянні карыстальніка ад сродкаў кантролю. Тэхналогія Veiled выкарыстоўвае стандартныя вэб-серверы, на якіх змяшчаюцца фрагменты файлаў, што падтрымліваюць працу сістэмы. Іншымі словамі, замест наўпроставага ўзаемадзеяння паміж удзельнікамі сеткі ўжываецца ланцуг паўтаральнікаў запыта — браўзер аднаго карыстальніка перадае свой запыт на сайт з падтрымкай Veiled, гэты сайт перадае запыт далей па ланцугу, пакуль не дасягне патрэбнай старонкі, а гэтая старонка трапіць карыстальніку назад праз ланцуг сцягнуўшых яе вэб-старонак Veiled.[52] Праект так і не меў практычнага ўвасаблення.

Атакі на ананімныя сеткі

Гл. таксама У агульным выпадку бяспека ананімнай сеткі прама прапарцыйна колькасці вузлоў-удзельнікаў сеткі. Паляпшэнне раўнамернасці статыстычнага размеркавання вузлоў таксама з'яўляецца дзейнай мерай супраць шматлікіх тыпаў атак. Улічваючы аматарскі характар ананімных сетак, галоўным каталізатарам іх развіцця з'яўляецца ступень даверу і супрацоўніцтва карыстальнікаў. Давер да сістэм такога класу магчымы толькі пры ўмове публічнасці крынічнага коду, асноватворных пратаколаў і праектнай дакументацыі. Аднак даследванні паказваюць, што нават у ПЗ руху Open Source могуць працяглы час заставацца незаўважнымі пакінутыя прафесіяналамі патаемныя хады,[53] у сувязі з чым надзвычай важная роля даследванняў экспертаў-аналітыкаў і крыптолагаў.

Таймінг-атака

Асноўны артыкул: Атака па часе

Падрабязнае апісанне гэтай атакі было апублікавана даследчыкамі з Кембрыджскага ўніверсітэту. Яе сутнасць у тым, што ў сетках з малым часам чакання магчыма карэляцыя часу праходжяння пакетаў з мэтай вызначэння рэальнай крыніцы звестак. Дзеля ажыццяўлення дадзенай атакі патрэбна кантраляваць пэўныя часткі сеткі — западозраныя выхады ананімных сетак і вузлы, падазроныя ў ананімнай перадачы даных, альбо толькі ўваходы і выхады ананімных сетак. Шанцы атакуючыга на поспех пры ўжыванні дадзенай атакі могуць быць павялічаны, калі ў яго ёсць доступ да сервера, да якога далучаецца ананімны карыстальнік. Атакуючы можа, напрыклад, прымусіць вэб-сервер дасылаць браўзеру звесткі з пэўнымі затрымкамі (напрыклад, выставіўшы розныя інтэрвалы затрымак для адказу вэб-сервера на запыты індэкснай старонкі, выяваў і табліц стыляў). Гэта дазволіць выявіць у зашыфраваным трафіку ананімнай сеткі «шаблоны» затрымак і, такім чынам, з пэўнай верагоднасцю адказаць на пытанне аб прыналежнасці выходзячага трафіка ананімнай сеткі да «падазронага» карыстальніка. Метады абароны ад таймінг-атакі уключаюць унясенне зменных затрымак у характар інфармацыйнага абмену, перамешванне і аб'яднанне паведамленняў, перасылку іх блокамі фіксаванага памеру.

Атака на адбіткі

Атакуючы можа стварыць вялікую базу звестак папулярных вэб-сайтаў, якая будзе змяшчаць у сябе пэўныя параметры індэксных старонак (напрыклад, памер галоўнай старонкі ў байтах). Гэта дазволіць «адгадаць» сайт, які наведвае карыстальнік, шляхам аналізу колькасці перададзенага на ўваходны вузел ананімнай сеткі зашыфраванага трафіка.

Асацыяцыя ананімнага і псеўданімнага трафіка

Атакуючы можа асацыяваць ананімны трафік з «падазраваным» вузлом у пэўных выпадках. Напрыклад, Tor накіроўвае ўсе злучэнні, створаныя ў пэўным часовым прамежку, у адзін ланцуг вузлоў. Такім чынам, можна асацыяваць псеўданімныя злучэнні з ананімнымі, калі яны былі створаны амаль адначасова. Напрыклад, пры адначасовай адсалцы файла пратаколам FTP з ананімным злучэннем і ICQ з псеўданімным злучэннем будзе ўжыты той жа ланцуг сервераў сеткі Tor і адзіны выходны вузел. У гэтым выпадку атакуючы можа здагадацца, што абодва злучэнні былі здзейснены з аднаго камп'ютара і паспрабаваць атрымаць дадатковую інфармацю аб карыстальніку, які перадае файл, напрыклад праз нумар ICQ.

Атака на TCP timestamp

Атака складаецца ў тым, што значэнне TCP timestamp змяняецца на фіксаваную велічыню за адзінку часу і ў большасці выпадкаў адрозніваецца ў двух розных камп'ютараў. Атакуючы можа праслухоўваць трафік VPN-сервісу і запісваць перададзеныя значэнні TCP timestamp. Паколькі VPN ажыццяўляе перадачу IP-пакетаў, то сістэма, якая стварыла VPN-злучэнне, будзе перадаваць TCP timestamp у інкапсуляваных пакетах. Аналагічная атака магчыма і на прыхаваныя сервісы сеціва Tor. У гэтым выпадку ў ананімнай сецы перадаюцца толькі TCP даныя, аднак «доследны» вузел можа перадаваць TCP timestamp, напрыклад, у злучэннях праз лакальнай сетцы. Атака палягае ў тым, што можна выклікаць пэўныя адхіленні ў значэннях лічыльнікаў TCP timestamp (напрыклад, шляхам DoS-атакі). Ужывальнасць дадзенай атакі на прыхаваныя сервісы Tor да гэтага часу пад пытаннем.

Іншыя атакі

Існуе мноства іншых атак, якія скіраваны на пэўныя праграмы, якія ўжываюць ананімнае сеціва. Напрыклад:

Гл. таксама

Шаблон:Portal box

Зноскі

  1. Onion Routing History (1998)
  2. Віды проксі, класіфікацыя і апісанне proxy-сервераў.
  3. ANts P2P
  4. ANts P2P
  5. Описание протокола BitMessage
  6. Filetopia: Your secure file sharing and communications tool
  7. The Freenet Project
  8. [freenet-dev] Expensive onion routing is okay for small payloads
  9. GNUnet — GNU’s framework for secure P2P networking
  10. GNUnet papers and related work
  11. Gnutella Protocol Specification
  12. Файлообменные сети P2P: основные принципы, протоколы, безопасность
  13. Gnutella2
  14. Популярные файлообменные сети P2P — Gnutella, Gnutella2
  15. I2P Anonymous Network
  16. Обзор анонимной сети I2P
  17. Manolito P2P — Secure File Sharing
  18. MUTE: Simple, Anonymous File Sharing
  19. Netsukuku
  20. Nodezilla Grid Network
  21. OneSwarm - Private P2P Data Sharing
  22. OneSwarm – friend-to-friend сеть
  23. regensburger.name — RShare
  24. StealthNet — Anonymes Filesharing
  25. RShare — Planet Peer Wiki
  26. Perfect Dark @ ウィキ — トップページ
  27. Turtle F2F Homepage
  28. Petr Matejka’s master thesis on Turtle F2F
  29. RetroShare
  30. RetroShare Frequently Asked Questions (TECHNICAL)
  31. waste :: home
  32. Waste. Защищенный пиринговый клиент от NullSoft
  33. Psiphon | delivering the net
  34. Tor: anonymity online
  35. Internet anonymity: Tor and onion routing
  36. NRL Onion Routing Archives, Test Data, Specs
  37. The EFF Tor Challenge
  38. Onion Routing
  39. Onion Routing for Resistance to Traffic Analysis
  40. Tor Protocol Specification
  41. Tor's extensions to the SOCKS protocol
  42. VPNs and IPSec Demystified
  43. JAP — ANONYMITY & PRIVACY
  44. Mixminion: A Type III Anonymous Remailer
  45. Mixmaster
  46. Entropy Homepage (WWW) (Архіў Інтэрнэта на 4 ліпеня 2008)
  47. Invisible IRC Project
  48. Peekabooty (Архіў Інтэрнэта на 25 красавіка 2006)
  49. bitblinder
  50. Технология BitBlinder
  51. Researchers Build Anonymous, Browser-Based 'Darknet'
  52. Researchers to Debut "Veiled, " the Darknet Powered by a Web Browser
  53. Обнаружена опасная уязвимость в ядре Linux

Навуковыя працы

Спасылкі


Шаблон:Compu-net-stub Шаблон:Web-stub

Узята з "https://be.wikipedia.org/w/index.php?title=Ананімныя_сеткі&oldid=3457633"