1 sept. 2016

AVISPON, COMPETENCIA PARA TOR?


Avispón, una red de enrutamiento de alta velocidad, podría ser desplegado en los routers como parte de la Internet.


Tor, más grande y más conocida de la red "Onion Router" del mundo, ofrece un grado de anonimato que se ha convertido en una herramienta popular de periodistas, disidentes, ya todos los usuarios de Internet que están tratando de evitar el gobierno o censura corporativa (así como capos de la droga de Internet y la pornografía infantil). Pero una cosa que no ofrece es su velocidad-complejos "circuitos" cifrados traer la navegación Web y otras tareas a paso de tortuga. Eso significa que los usuarios que buscan para mover grandes cantidades de datos han tenido que depender privadas virtuales redes -que mientras están en el anonimato, están mucho menos protegidos que Tor (ya que los proveedores de VPN y cualquier persona que tenga acceso a sus registros, puede ver quién usuarios son).

Un grupo de investigadores- Chen Chen , Daniele Enrico Asoni, David Barrera, y Adrian Perrig del Instituto Federal Suizo de Tecnología (ETH) de Zúrich y George Danezis del University College de Londres-puede haber encontrado un nuevo equilibrio entre la privacidad y el rendimiento. En un artículo publicado esta semana, el grupo describe una red de anonimato llamado Hornet , una red de enrutamiento onion, que podría convertirse en la próxima generación de Tor. Según los investigadores, avispón mueve anónimos tráfico de Internet a velocidades de hasta 93 gigabits por segundo. Y, ya que arroja partes de la gestión de enrutamiento de la red de Tor, que se puede escalar para soportar un gran número de usuarios con un mínimo de gastos, afirman.

Al igual que Tor, avispón cifra las solicitudes de red encapsulado en "onion", con cada capa descifrados por cada nodo de pasar el tráfico a lo largo de recuperar instrucciones sobre dónde enviar los datos al lado. Pero AVISPÓN utiliza dos protocolos diferentes de onion, para proteger el anonimato de las solicitudes de la Internet abierta y una versión modificada de la negociación "punto de encuentro" de Tor para la comunicación con un sitio oculto dentro de la red Hornet.

Al enviar una solicitud a un sitio que no esté protegido por avispón, un protocolo de onion más Tor-como "Sphinx" se utilizó por primera vez para establecer el canal. "Cada paquete Sphinx permite que un nodo de origen para establecer un conjunto de claves simétricas, una para cada nodo en el camino a través del cual se enrutan los paquetes", explicaron los investigadores. Esas llaves, creado a través de un intercambio Diffie-Hellman, se utilizan para cifrar el "Segmento de reenvío", la cadena de información de estado de sesión para el flujo de paquetes de datos que siguen. "El [Segmento de reenvío] permite la creación de su nodo para recuperar dinámicamente la información incrustada (es decir, el próximo salto, clave compartida, tiempo de expiración de sesión), al tiempo que oculta esta información de terceros no autorizados", escribió Chen et al.

Para los paquetes de datos reales, el sistema de envío recoge todos los segmentos de reenvío de cada nodo en el canal para el destino y las combina en lo que los investigadores llaman una cabecera anónimo (AHDR). "Un AHDR otorga a cada nodo de la ruta de acceso a la [segmento de reenvío] se creó, sin revelar más información sobre la ruta, excepto para los nodos anterior y siguiente de un nodo", explicaron. Los propios datos son "onioned", encriptado con las claves de cada uno de los nodos en el canal, hasta que llegue a su destino. La ventaja de este enfoque, Chen y otros, dijo, es que reduce drásticamente el trabajo de criptografía necesaria para cada paquete, así como la cantidad de información de flujo de sesión de la red tiene que gestionar.


Para la comunicación entre dos nodos que están tanto en anónima por AVISPÓN-un escenario como método de conexión de las solicitudes de los usuarios de Tor de "servicios ocultos" -los investigadores proponen un enfoque que permite a cualquier nodo de la red actúan como un punto de encuentro para la comunicación para mantener tanto la fuente y el destino de tráfico oculto unos de otros. servicios ocultos seleccionar un punto de encuentro y establecer una sesión utilizando el protocolo de Sphinx, a continuación, publican un AHDR a un directorio que tiene la información encriptada sobre cómo llegar de un punto de encuentro para el servicio. Cuando un cliente va a conectarse a un servicio, se encuentra el punto de encuentro en el directorio, junto con el AHDR para el viaje al servicio, y luego construye su propia conexión a la cita punto de añadir el AHDR proporcionado llegar al servicio a su propia y una cabecera con información para el viaje de vuelta.

Los aspectos positivos de este esquema, además del hecho de que cualquier nodo puede actuar como un punto de encuentro sin tener que mantener información de estado acerca de la conexión son que un servicio puede anunciar múltiples puntos de encuentro en un directorio, y un cliente puede elegir uno que se es más cercano en términos de tiempo de la red. Los dos extremos también pueden volver a negociar el tráfico de la ruta lleva a través de un mejor punto de encuentro para mejorar el rendimiento como canales están caducados. En el lado negativo, el tamaño de las cabeceras utilizadas para la comunicación entre los dos es el doble en tamaño,

Como se aplica en sus pruebas, los nodos de enrutamiento del avispón de hecho se pueden incrustar en los routers de la red. Los investigadores construyen código de infraestructura AVISPÓN en los routers de software de Intel utilizando el Kit de Desarrollo de Datos Plano (DPDK). código de cliente avispón, que incluía los servicios ocultos, fue construido en Python. "Hasta donde sabemos, no hay otros protocolos de anonimato se han implementado en un SDK enrutador", escribieron los investigadores.

Avispón, como Tor , no es inmune a los ataques dirigidos en el anonimato. Si un atacante, tales como una organización o agencia gubernamental en la aplicación de la ley, podría controlar más de uno de los nodos a lo largo de un trazado seleccionado para un canal avispón, que serían capaces de realizar "ataques de confirmación", el tipo de análisis de tiempos, análisis de flujo de y el etiquetado de paquetes que otros investigadores de seguridad han demostrado podría ser utilizado contra Tor. "Abejorro no puede prevenir este tipo de ataques de confirmación destinadas a los consumidores individuales", concluyeron los investigadores. "Sin embargo, avispón eleva el nivel de la implementación de este tipo de ataques para la vigilancia secreta de masas: el adversario debe ser capaz de controlar un porcentaje significativo de los ISP a menudo residen en múltiples fronteras geopolíticas, por no hablar de mantener dicha actividad masiva confidencial."