네트워크 혼재

단순한 복호화 혼합망.메시지는 일련의 공개 키로 암호화됩니다.각 혼합 노드는 자체 개인 키를 사용하여 암호화 계층을 제거합니다.노드는 메시지 순서를 셔플하고 결과를 다음 노드로 전송합니다.

믹스^[1] 네트워크는, 복수의 송신자로부터 메시지를 받아 셔플 해, 랜덤 순서로 다음의 행선지(아마도 다른 믹스 노드)로 되돌리는, 믹스라고 불리는^[2] 프록시 서버의 체인을 사용해 트레이스 하기 어려운 통신을 작성하는 라우팅 프로토콜입니다.이것에 의해, 요구의 송신원과 행선지 사이의 링크가 끊어지기 때문에, 도청자가 엔드 투 엔드 통신을 추적하는 것이 어려워집니다.또한 혼합은 메시지를 즉시 수신한 노드와 shuffled 메시지를 보내는 즉시 수신인만 알고 있기 때문에 네트워크는 악의적인 혼합 ^[3]^[4]노드에 대해 내성이 있습니다.

각 메시지는 공개 키 암호화를 사용하여 각 프록시에 암호화됩니다.그 결과 발생하는 암호화는 러시아 인형과 같은 레이어(각각의 「인형」의 사이즈가 가장 안쪽 레이어와 함께 레이어됩니다).각 프록시 서버는 자체 암호화 계층을 제거하여 다음에 메시지를 보낼 위치를 표시합니다.1개의 프록시 서버를 제외한 모든 서버가 트레이서에 의해 손상되어도 추적 불능이 일부 약한 공격자에 대해 실현될 수 있습니다.

혼합 네트워크의 개념은 ^[5]1981년 David Chaum에 의해 처음 설명되었습니다.이 개념을 기반으로 하는 응용 프로그램에는 익명 리메일러(Mixmaster 등), 양파 라우팅, 마늘 라우팅 및 키 기반 라우팅(Tor, I2P 및 프리넷 포함)이 있습니다.

역사

David Chaum은 1979년 Mix Networks의 개념을 "추적이 불가능한 전자 메일, 반송 주소 및 디지털 가명"이라는 논문에서 발표했습니다.이 논문은 마틴 헬먼, 휘트필드 디피, 랄프 머클의 공개키 암호학 작업을 통해 암호학 분야를 처음 접한 직후 석사 학위 논문 작업이었다.공개키 암호화가 정보의 보안을 암호화하는 동안 Chaum은 통신에서 발견되는 메타 데이터에 개인 사생활 취약성이 있다고 믿었다.개인의 프라이버시를 침해할 수 있는 취약성에는, 송수신 된 메시지의 시간, 메시지의 크기, 및 원래의 송신자의 주소등이 있습니다.그는 그의 작품에서 마틴 헬먼과 휘트필드의 논문 "암호학의 새로운 방향"(1976)을 인용한다.

구조

참가자 A는 메시지에 임의의 값 R을 부가하고 수신인의 $K_{b}$ $K_{b}$ b $(\$ K_{ $b$ 로 씰링하고 B의 주소를 추가한 후 혼합의 $K_{m}$ K $K_{m}$ (\ $displaystyle$ K_ ${m$ 으로 결과를 봉인하여 참가자 B에게 전달할 메시지를 준비합니다.M은 개인키로 메시지를 엽니다.WS B의 주소로 K b $K_{b}(message,R)$ ( $K_{b}(message,R)$ $K_{b}(message,R)$ $K_{b}(message,R)$ $K_{b}(message,R)$ $K_{b}(message,R)$ e , $K_{b}(message,R)$ ) { $display style$ K _ { $b （$ message , R $）$ }를 $K_b(message, R)$ B 에 송신합니다.

메시지 형식

$\displaystyle K_{m}(R1,K_{b}(R0,메시지,B)\long rightrow(K_{b}(R0,메시지,B)}$

이를 위해 발신인은 혼합 공용 키( $K_{m}$ m $\$ 를 사용하여 랜덤 문자열( $R1$ 1 $\displaystyle R1}),$ 수신인 앞으로 중첩된 봉투 및 수신인의 이메일 주소(B)를 포함하는 엔벨로프를 암호화합니다.이 네스트된 엔벨로프는 수신자의 공용 키( $K$ b\ $displaystyle K_{$ b})로 암호화되어 송신되는 메시지의 본문과 함께 다른 랜덤 문자열(R0)이 포함되어 있습니다.암호화된 최상위 레벨 엔벨로프를 수신하면 혼합기는 비밀 키를 사용하여 엔벨로프를 엽니다.내부에서는, 수신자(B)의 주소 및 B로 향하는 암호화된 메시지를 찾습니다.랜덤 문자열( $R1$ 1 \ $displaystyle$ R1 $R1$ 은 폐기됩니다.

$R0$ 공격자가 메시지를 추측하는 것을 방지하기 위해 $R0$ 에는 R $R0$ 0(\ $displaystyle$ R0 $R0$ )이 필요합니다.공격자는 모든 착신 및 발신 메시지를 감시할 수 있다고 가정합니다.랜덤 스트링을 사용하지 않는 경우( $(K_{b}(message))$ , ( $(K_{b}(message))$ b $(K_{b}(message))$ e $(K_{b}(message))$ $(K_{b}(message))$ g $(K_{b}(message))$ e $)$ 만 $(K_{b}(message))$ {{ $displaystyle$ ( $K_{b)(message$ $B$ $B$ 가 $(K_b(message))$ 메시지 $m$ 이 $전송되었음$ 을 $K_{b}(message')=K_{b}(message)$ $K_{b}(message')=K_{b}(message)$ 할 수 있는 경우 $K_{b}(message')=K_{b}(message)$ $K_{b}(message')=K_{b}(message)$ 는 $메시지$ $K_{b}(message')=K_{b}(message)$ $K_{b}(message')=K_{b}(message)$ $"\$ message $K_{b}(message')=K_{b}(message)$ 가 $message'$ $K_{b}(message')=K_{b}(message)$ 되었는지 $K_{b}(message')=K_{b}(message)$ 를 $K_{b}(message')=K_{b}(message)$ 할 수 있습니다 $K_{b}(message')=K_{b}(message)$ ${\displaystyle K_{b}($ = $K_{b}($ 메시지 $K_{b}(message')=K_{b}(message)$ )} 홀드이므로 메시지 내용을 학습할 수 있습니다 $.$ 임의 문자열 $R0$ 0 $({$ $displaystyle$ $R0})$ 을 $R0$ 추가함으로써 공격자는 이러한 $R0$ 의 공격을 수행할 수 $없습니다$ 예를 $message'=message$ , 정확한 메시지( $message'=message$ , $message'=message$ $message'=message$ = $message'=message$ $message'=message$ e $message'=message$ a s a s a g e = $m$ s a $message'=message$ a s a s a $message'=message$ a g e $message'=message$ = m $message'=message$ s a s a s a s a s a s a s s s a s a s s a s s a s a s a s a s s a s $message'=message$ s a s s s s a s s s s a s s s s s s a s a s a s a s a s a s a s a s a s a s a s a s a s $Yle$ R0 $R0$ 실질적으로 $(디스플레이 스타일$ R0 $)$ 은 $R0$ 소금 역할을 합니다.

반송 주소

지금 필요한 것은 B가 A의 ID를 B에게 비밀로 하면서 A에 응답하는 방법입니다.

해결책은 A가 추적 불가능한 반환 $K_{m}(S1,A),K_{x}$ $K_{m}(S1,A),K_{x}$ m ( $S$ $K_{m}(S1,A),K_{x}$ , $K_{m}(S1,A),K_{x}$ ) , $K_{m}(S1,A),K_{x}$ x { $display style$ K _ { $m$ } ( $S$ $S1$ 1 , $A$ ) , $K$ _ { $x$ } 。 $A$ 서 $A$ 는 자신의 $A$ 실제 $K_{x}$ 이고 $K_{x}$ x { $display style$ K_ { $x}$ 는 $K_m(S1, A), K_x$ $K_{x}$ 현재 및 $S1$ S에서만 $S1$ 된 공개 키입니다.ct는 sealing을 위한 랜덤 문자열입니다.그 후, A는 이 리턴 주소를 이미 기술된 방법으로 송신된 메시지의 일부로서 B 에 송신할 수 있습니다.

$K_{m}(S1,A),K_{x}(S0,response)$ 는 K $K_{m}(S1,A),K_{x}(S0,response)$ ( \ S $K_{m}(S1,A),K_{x}(S0,response)$ , $K_{m}(S1,A),K_{x}(S0,response)$ ) $K_{m}(S1,A),K_{x}(S0,response)$ 、 $K_{m}(S1,A),K_{x}(S0,response)$ x ( $K_{m}(S1,A),K_{x}(S0,response)$ , $K_{m}(S1,A),K_{x}(S0,response)$ $K_{m}(S1,A),K_{x}(S0,response)$ $K_{m}(S1,A),K_{x}(S0,response)$ $K_{m}(S1,A),K_{x}(S0,response)$ $K_{m}(S1,A),K_{x}(S0,response)$ $K_{m}(S1,A),K_{x}(S0,response)$ s $K_{m}(S1,A),K_{x}(S0,response)$ ) $K_{m}(S1,A),K_{x}(S0,response)$ （ \ $displaystyle K$ _ { $m$ （ S $1$ , $A$ $A,S1(K_{x}(S0,response))$ 、 $K$ _ { $x$ $A,S1(K_{x}(S0,response))$ } （ $S0$ , response $K_{m}(S1,A),K_{x}(S0,response)$ ) ）를 $K_m(S1, A), K_x (S0, response)$ M 에 송신하고, M은 $A,S1(K_{x}(S0,response))$ 을 A $A,S1(K_{x}(S0,response))$ S $A,S1(K_{x}(S0,response))$ $A,S1(K_{x}(S0,response))$ 1 ( $A,S1(K_{x}(S0,response))$ , p $A,S1(K_{x}(S0,response))$ )로 $A,S1(K_{x}(S0,response))$ 합니다 $A,S1(K_{x}(S0,response))$

이 조합에서는 메시지 $K_{x}(S0,response)$ $K_{m}(S1,A)$ $K_{x}(S0,response)$ ( $K_{m}(S1,A)$ $K_{x}(S0,response)$ $K_{m}(S1,A)$ , $K_{x}(S0,response)$ $K_{m}(S1,A)$ s $K_{x}(S0,response)$ $K_{x}(S0,response)$ n $K_{x}(S0,response)$ ){ $display$ style K_ ${$ $m}(S1,$ $A$ $)$ 를 $K_m(S1, A)$ 복호화한 후 검출된 $S1$ 1 $(\displaystyle$ S1 $)$ 문자열이 $S1$ 사용됩니다( $S$ 0 , $K_{x}(S0,response)$ $K_{x}(S0,response)$ $K_{x}(S0,response)$ o n $K_{x}(S0,response)$ s $){x$ } { $display stylephonse$ } ）。A는 $(디스플레이$ $K_{x}$ $S1)$ 과 $S1$ K x $($ K_ ${x$ 를 모두 작성했습니다.추가 $K_{x}$ $K_{x}$ x {\ $style$ K_ ${x}}$ 는 $K_{x}$ 혼합된 응답 메시지의 내용을 볼 수 없음을 보증합니다.

다음으로 B가 이 추적 불가능한 리턴 주소를 사용하여 새로운 종류의 혼합을 통해 A에 대한 응답을 형성하는 방법을 나타냅니다.

A ${\$ \ $displaystyle$ \ $long$ rightrow $\longrightarrow$ } $\longrightarrow$ 로부터의 $\longrightarrow$ 메시지:

$({displaystyle K_{m}(R1,K_{b}(R0,message,K_{m}(S1,A),K_{x}),B)\긴 오른쪽 화살표 K_{b}(R0,message,K_{m}(S1,A),K_{x})$

B ${\$ {\ {\ （ \ $display$ style \ $long$ right row $\longrightarrow$ ） $\longrightarrow$ :

$(\displaystyle K_{m}(S1,A), K_{x}(S0,response)\긴 오른쪽 화살표 A,S1(K_{x}(S0,response)}})$

여기서: $K_{b}$ b $(\$ = $K_{b}$ B의 공개 키, $K_{m}$ m(\ $displaystyle K_$ {m}) = $K_{m}$ 혼합기의 공개키.

수신처는, 송신원의 익명성을 희생하지 않고 송신원에 응답할 수 있습니다.응답 메시지는 발신기지에서 수신처로 전송되는 익명 메시지와 모든 성능 및 보안상의 이점을 공유합니다.

취약성

혼합 네트워크는 상대방이 경로 전체를 볼 수 있어도 보안을 제공하지만 혼합이 완전히 완벽한 것은 아닙니다.공격자는 장기적인 상관관계 공격을 제공하고 ^[6]패킷의 송신자와 수신자를 추적할 수 있습니다.

위협 모델

공격자는 혼합 네트워크와의 트래픽을 감시함으로써 수동 공격을 실행할 수 있습니다.복수의 패킷간의 착신 시간을 분석하면, 정보가 밝혀질 가능성이 있습니다.패킷은 액티브하게 변경되지 않기 때문에, 이러한 공격은 검출하기 어렵습니다.공격의 최악의 경우 네트워크의 모든 링크가 적에 의해 감시되고 혼합 네트워크의 전략과 인프라스트럭처가 이미 알려져 있다고 가정합니다.

입력 링크상의 패킷은, 패킷의 수신 시각, 패킷의 사이즈, 또는 패킷의 내용에 관한 정보에 근거해 출력 링크상의 패킷과 관련지을 수 없습니다.패킷 타이밍에 근거한 패킷의 상관관계를 배치화함으로써 방지하고, 내용 및 패킷 사이즈에 근거한 상관관계를 암호화 및 패킷 패딩에 의해 방지한다.

패킷간 간격, 즉 2개의 네트워크 링크에서2개의 연속된 패킷을 관찰하는 시간차를 사용하여 링크가 같은 접속을 전송하는지 여부를 추측합니다.암호화 및 패딩은 같은 IP 흐름과 관련된 패킷 간 간격에는 영향을 주지 않습니다.패킷간 인터벌의 시퀀스는 접속마다 크게 다릅니다.예를 들어 Web 브라우징에서는 트래픽이 버스트 단위로 발생합니다.이 사실을 사용하여 연결을 식별할 수 있습니다.

액티브 어택

액티브 공격은 하나의 타이밍 시그니처를 포함한 패킷의 버스트를 타깃흐름에 주입함으로써 실행할 수 있습니다.공격자는 공격을 수행하여 다른 네트워크 링크에서 이러한 패킷을 식별할 수 있습니다.이후 모든 혼합에서 대칭 키에 대한 지식이 필요하기 때문에 공격자는 새 패킷을 생성하지 못할 수 있습니다.재생 패킷은 해시 및 캐시를 통해 쉽게 방지할 수 있기 때문에 사용할 수 없습니다.

인위적 간격

공격자가 흐름에서 대량의 연속 패킷을 드롭하면 타깃흐름에 큰 갭이 발생할 수 있습니다.예를 들어, 타겟흐름에 3000개의 패킷을 송신하는 시뮬레이션을 실행하고, 공격자는 플로우 개시 후 1초 후에 패킷을 드롭 합니다.연속적으로 폐기되는 패킷의 수가 증가하면, 방어 폐기의 효율은 큰폭으로 저하합니다.큰 갭을 도입하면 거의 항상 눈에 띄는 특징이 생깁니다.

인공 폭발

공격자는 인공 버스트를 만들 수 있습니다.이것은, 인공 패킷으로부터 시그니처를 작성해, 링크상에서 일정시간 보관 유지한 후, 그것들을 한꺼번에 해방하는 것에 의해서 행해집니다.이 시나리오에서는 방어적인 드롭은 방어할 수 없으며 공격자는 타깃플로우를 식별할 수 있습니다.이 공격을 막기 위해 취할 수 있는 다른 방어책이 있다.이러한 솔루션 중 하나가 적응 패딩 알고리즘일 수 있습니다.패킷의 지연이 심할수록 동작을 식별하기 쉬워지기 때문에 방어가 강화됩니다.

기타 시간 분석 공격

공격자는 패킷 간 간격 이외의 다른 타이밍 공격을 조사할 수도 있습니다.공격자는 패킷 스트림을 적극적으로 수정하여 네트워크 동작에서 발생한 변화를 관찰할 수 있습니다.TCP 패킷의 재전송을 강제하기 위해서 패킷이 파손될 가능성이 있습니다.이 동작은 정보를 ^[7]표시하기 위해 쉽게 관찰할 수 있습니다.

슬리퍼 공격

상대방이 임계값 혼합으로 송수신되는 메시지를 볼 수 있지만 이러한 혼합의 내부 작동 또는 동일한 혼합에서 전송된 메시지를 볼 수 없다고 가정합니다.상대방이 각각의 믹스에 자신의 메시지를 남겼을 경우, 2개의 메시지 중 하나를 수신하면, 송신된 메시지와 대응하는 송신자를 판별할 수 있습니다.상대방은 언제든지 메시지(액티브컴포넌트)를 믹스 내에 배치해야 하며 메시지가 전송되기 전에 메시지를 그대로 두어야 합니다.이것은 통상 액티브한 공격이 아닙니다.약한 상대는 이 공격을 다른 공격과 결합하여 더 많은 문제를 일으킬 수 있습니다.

혼합 네트워크는 수신하는 메시지의 순서를 변경하여 수신 메시지와 발신 메시지 간에 중요한 관계가 형성되지 않도록 함으로써 보안을 확보합니다.혼합하면 메시지 간에 간섭이 발생합니다.이 간섭에 의해 혼합 관찰자에 대한 정보 유출 속도가 제한됩니다.크기 n의 혼합에서는 믹스 입출력을 관찰하는 상대는 일치 판정에 있어서 순서 n의 불확도를 가진다.침목 공격은 이 점을 이용할 수 있습니다.각 믹스에서 슬리퍼와 함께 임계값 혼합의 계층화된 네트워크에서는 송신자로부터 입력을 수신하는 계층과 최종 수신처에 메시지를 전송하는 두 번째 혼합 계층이 있습니다.이를 통해 공격자는 수신된 메시지가 발신인으로부터 발신되지 않은 레이어1 믹스에 들어가지 않았음을 알 수 있습니다.송수신된 메시지를 이러한 sleeveer와 일치시킬 가능성이 높기 때문에 통신이 완전히 익명인 것은 아닙니다.혼합은 순전히 타이밍에 맞춰질 수도 있습니다.특정 간격으로 수신된 메시지의 순서를 랜덤화해, 그 중 일부를 혼합과 첨부해, 그 사이에 수신된 메시지에도 불구하고, 그 간격의 마지막에 전송을 실시합니다.mixin에 사용할 수 있는 메시지는 tg가 간섭하지만 사용할 수 있는 메시지가 없는 경우 수신된 ^[8]메시지에 간섭은 없습니다.

레퍼런스

^ 디지털 믹스라고도 합니다.
^ Sampigethaya, K.Poovendran, R (2006). "A Survey on Mix Networks and Their Secure Applications". Proceedings of the IEEE Proc. IEEE Proceedings of the IEEE: 94(12):2142–2181.{{cite journal}}: CS1 maint: 여러 이름: 작성자 목록(링크)
^ Claudio A. Ardagna; et al. (2009). "Privacy Preservation over Untrusted Mobile Networks". In Bettini, Claudio; et al. (eds.). Privacy In Location-Based Applications: Research Issues and Emerging Trends. Springer. p. 88. ISBN 9783642035111.
^ Danezis, George (2003-12-03). "Mix-Networks with Restricted Routes". In Dingledine, Roger (ed.). Privacy Enhancing Technologies: Third International Workshop, PET 2003, Dresden, Germany, March 26–28, 2003, Revised Papers. Vol. 3. Springer. ISBN 9783540206101.
^ Chaum, David L. (1981). "Untraceable electronic mail, return addresses, and digital pseudonyms". Communications of the ACM. 24 (2): 84–90. doi:10.1145/358549.358563. S2CID 30340230.
^ Tom Ritter, "양파 라우팅과 혼합 네트워크의 차이", ritter.vg 2016년 12월 8일 취득.
^ Shmatikov, Vitaly; Wang, Ming-Hsiu (2006). Timing Analysis in Low-Latency Mix Networks: Attacks and Defenses. European Symposium on Research in Computer Security. Lecture Notes in Computer Science. Vol. 4189. pp. 18–33. CiteSeerX 10.1.1.64.8818. doi:10.1007/11863908_2. ISBN 978-3-540-44601-9.
^ Paul Syverson, "잠자는 개는 양파 바닥에 누워 있지만 섞이면 깨어난다", 프라이버시 강화 기술 심포지엄 2016년 12월 8일 회수.

[1] 디지털 믹스라고도 합니다.

[2] Sampigethaya, K.Poovendran, R (2006). "A Survey on Mix Networks and Their Secure Applications". Proceedings of the IEEE Proc. IEEE Proceedings of the IEEE: 94(12):2142–2181.{{cite journal}}: CS1 maint: 여러 이름: 작성자 목록(링크)

[3] Claudio A. Ardagna; et al. (2009). "Privacy Preservation over Untrusted Mobile Networks". In Bettini, Claudio; et al. (eds.). Privacy In Location-Based Applications: Research Issues and Emerging Trends. Springer. p. 88. ISBN 9783642035111.

[4] Danezis, George (2003-12-03). "Mix-Networks with Restricted Routes". In Dingledine, Roger (ed.). Privacy Enhancing Technologies: Third International Workshop, PET 2003, Dresden, Germany, March 26–28, 2003, Revised Papers. Vol. 3. Springer. ISBN 9783540206101.

[chaum-5] Chaum, David L. (1981). "Untraceable electronic mail, return addresses, and digital pseudonyms". Communications of the ACM. 24 (2): 84–90. doi:10.1145/358549.358563. S2CID 30340230.

[ritter-6] Tom Ritter, "양파 라우팅과 혼합 네트워크의 차이", ritter.vg 2016년 12월 8일 취득.

[7] Shmatikov, Vitaly; Wang, Ming-Hsiu (2006). Timing Analysis in Low-Latency Mix Networks: Attacks and Defenses. European Symposium on Research in Computer Security. Lecture Notes in Computer Science. Vol. 4189. pp. 18–33. CiteSeerX 10.1.1.64.8818. doi:10.1007/11863908_2. ISBN 978-3-540-44601-9.

[syverson-8] Paul Syverson, "잠자는 개는 양파 바닥에 누워 있지만 섞이면 깨어난다", 프라이버시 강화 기술 심포지엄 2016년 12월 8일 회수.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

Search