Løg routing

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 19. april 2018; verifikation kræver 21 redigeringer .

Onion routing er en teknologi til anonym udveksling af information over et computernetværk . Beskeder krypteres gentagne gange og sendes derefter gennem flere netværksknuder kaldet løgroutere. Hver router fjerner krypteringslaget for at afsløre sporingsinstruktioner og sende beskeder til den næste router, hvor alt gentages. Således kender mellemliggende noder ikke kilden, destinationen og indholdet af meddelelsen. Routere blev kaldt løgroutere, fordi lagene af kryptering er som skæl på et løg.

Onion routing blev udviklet af Michael Reed, Paul Siverson og David Goldschlag, patenteret af den amerikanske flåde , udstedt US Patent #6266704 (1998). Fra 2009 er Tor anonyme netværk den dominerende teknologi, der bruger løgrouting .

Funktioner

Idéen med onion routing er at bevare anonymiteten for afsenderen og modtageren af en besked og at sikre, at indholdet af beskeden er beskyttet, når den bevæger sig over netværket.

Onion routing fungerer efter Chaums mixed-connection princip: beskeder rejser fra kilde til destination gennem en række proxyer ("løg-routere"), der omdirigerer beskeden i en uforudsigelig retning. For at undgå at "lytte" til beskeder fra en angriber, transmitteres de mellem routere i krypteret form. Fordelen ved løgrouting (og blandede forbindelser generelt) er, at der ikke er behov for at stole på alle deltagende routere. Selvom en eller flere af dem viser sig at være hacket, kan der stadig oprettes en anonym forbindelse. Dette opnås ved, at hver router i LM-netværket modtager beskederne, krypterer dem igen og videresender dem til den anden OR. En angriber med evnen til at overvåge alle OR'er på et netværk kunne teoretisk spore en beskeds vej gennem netværket. Men opgaven bliver meget mere kompliceret, selvom angriberen har adgang til en eller flere routere langs meddelelsesstien.

Onion-routing giver ikke garanteret anonymitet for afsenderen eller modtageren fra alle potentielle lyttere - den lokale lytter kan se alt, der sendes til eller modtages fra en given computer. Det giver en høj grad af afbrydelse, hvilket gør det vanskeligt for en aflytning at bestemme adresserne på, hvem der sender beskeder, og hvem der modtager disse beskeder. Onion-routing giver ikke en absolut garanti for privatlivets fred, men er snarere et kontinuum, hvor graden af privatliv dybest set er en funktion af antallet af deltagende routere kontra antallet af farlige, kompromitterede eller ondsindede routere.

Routing

Routeren i begyndelsen af transmissionen vælger et tilfældigt antal mellemroutere og genererer en besked for hver, krypterer dem med en symmetrisk nøgle og angiver for hver router, hvilken router der vil være den næste på stien. For at opnå en symmetrisk nøgle ("sessionsnøgle") med hver af de mellemliggende routere, etableres en indledende forbindelse ved hjælp af denne routers offentlige nøgle gennem de førende routere i kæden. Som et resultat heraf har meddelelser transmitteret langs kæden en "lagdelt" struktur, hvor de ydre lag skal dekrypteres for at få adgang til det indre lag.

Hver router, der modtager en besked, "river" et lag af stævnen - dekrypterer indholdet af beskeden med sin sessionsnøgle: routinginstruktioner beregnet til denne router og en krypteret besked til routere længere nede i kæden. Den sidste router fjerner det sidste lag af kryptering og sender beskeden til destinationen. Den etablerede kæde forbliver tilgængelig for to-vejs dataoverførsel i en vis periode.

Modtageren af anmodningen kan sende et svar langs samme kæde uden at kompromittere nogen af parternes anonymitet. I dette tilfælde "opbygges" krypteringslagene tværtimod på hver router, indtil svaret når frem til afsenderen af anmodningen. Afsenderen ejer alle de sessionsnøgler, der bruges i kæden, og vil derfor være i stand til at dekryptere alle lag: fra det ydre, krypteret af routeren tættest på afsenderen i kæden, til det indre, krypteret af routeren tættest på modtageren af anmodningen.

Sårbarheder

Løg routing har flere sårbarheder. For det første giver det ingen beskyttelse mod timinganalyse. Hvis en angriber overvåger en relativt let indlæst OR, kan han bestemme, hvilke udgående beskeder, der svarer til hvilke indgående beskeder, ved at analysere det tidspunkt, hvor beskederne blev modtaget og sendt. Synkroniseringsanalyse kan imødegås ved at buffere flere meddelelser og sende dem ved hjælp af en pseudo-tilfældig timing-algoritme.

Onion routing-netværk er også sårbare over for angreb, der beregner routingstier. Løg-routere kan fra tid til anden slukke og tænde fra netværket. Enhver transmissionssti, der fortsætter med at fungere, kan ikke gå gennem routere, der er nede, eller routere, der for nylig er tilsluttet netværket. Dette kan bruges til at gendanne routingstien. I en anden type angreb overvåger en angriber, der kontrollerer OR, sessioner for stiændringer. Hvis en angriber ved, hvordan stien ændrer sig over flere genopbygninger, kan han bedre gætte, hvor den første router i kæden er.

Onion-routing er ikke i stand til at beskytte data, der passerer gennem exit-knudepunkter, når analytikeren har fuld adgang til den trafik, der transmitteres (via sniffing ), og derfor bør onion-netværk ikke bruges til at overføre personlige oplysninger uden brug af end-to-end-kryptering som f.eks. som TLS . Den svenske forsker Dan Egerstad formåede at indsamle omkring hundrede adgangskoder fra postkasser til udenlandske ambassader ved hjælp af sniffing [1] .

Ansøgninger

Tor

Den 13. august 2004, på det 13. USENIX Security Symposium, præsenterede Roger Dingledine, Nick Mathewson og Paul Siverson Tor , en andengenerations løgrouter.

Tor bruger ikke den originale proprietære løgrouting, men teleskopsystemer. Tor giver fremragende fremadrettet hemmeligholdelse og bruger protokol-sanering uden for løgroutinglaget, hvilket grundlæggende skaber en TCP-transmission. Det giver også lav ping, en mappe med servere, ende-til-ende integritetskontrol og variable exit-politikker for routere. Svarpærerne er blevet udskiftet med et dockingsystem, der tillader skjulte tjenester og websteder. .onion -topniveau-pseudo- domænet bruges til adressering i Tor-netværket.

Tor -kildekoden er udgivet under BSD-licensen [2] . Fra september 2014 er der over 6.000 offentlige løgroutere [3] .

Se også

routing af hvidløg

Noter

↑ Sikkerhedsekspert brugte Tor til at indsamle statslige e-mail-adgangskoder . Hentet 21. september 2016. Arkiveret fra originalen 17. september 2016. (ubestemt)
↑ The Tor Project, Inc. LICENS (engelsk) . torproject.org. Hentet 5. september 2014. Arkiveret fra originalen 10. februar 2010.
↑ The Tor Project, Inc. Tor Metrics: Servere (engelsk) (downlink) . torproject.org. Hentet 5. september 2014. Arkiveret fra originalen 25. december 2010.

Forskningsarbejde

Michael G. Reed, Paul F. Syverson, David M. Goldschlag. Anonyme forbindelser og løgrouting . — USA : Naval Research Laboratory . - 15 sek. Arkiveret 24. september 2015 på Wayback Machine
Paul Syverson, Gene Tsudik, Michael Reed, Carl Landwehr. Mod en analyse af Onion Routing Security . — USA : Naval Research Laboratory . - 19 s.

Relaterede bøger

Email Security , Bruce Schneier ( ISBN 0-471-05318-X )
Computer Privacy Handbook , Andre Bacard ( ISBN 1-56609-171-3 )

Links

Internetsikkerhedsmekanismer _

Kryptering og trafikfiltrering _

Fysisk lag	Fysisk isolation
Linklag	Sikkerhed på netværksgrænsefladelag OPP krypto gateway styret switch
netværkslag	IPsec Multicast NAT SPRINGE SPI Virtuel routing og pakkefilter
transportlag	ESP NBAR ObsTCP SRTP SSTP tcpcrypt Proxyserver TLS 1.3
sessionslag	L2TP MPPE PPTP Gateway på sessionsniveau
Executive niveau	DTLS SSL STARTTLS TLS
Anvendelseslag	ALG DNSCrypt DNSCurve DoH DoT DNSSEC FTPS HSTS HTTPS MSE/PE/ QUIC SCP SFTP S-HTTP SILKE S/MIME SSH XMPP Webapplikations firewall

Godkendelse

Computerbeskyttelse

IP-telefonisikkerhed

VoIP VPN
ZRTP
Sikkerhed på Skype
Kryptofon

Trafikanonymisering

Trådløs sikkerhed