ИНСТРУМЕНТЫ
Продолжаем обсуждение темы анонимности в Интернете, поднятой в статьях Л. Любезнова “Сокрытие авторства в Интернете: за и против” (PC Week/RE, № 9/2002, с. 34) и А. Лукацкого “Видит око, да зуб неймет” (PC Week/RE, № 13/2002, с. 20).
Среди наиболее совершенных коммерческих средств сокрытия авторства, доступных в Сети, можно назвать комплекс Freedom Network.
Создавшая его канадская компания Zero Knowledge Systems (ZKS, www.zeroknowledge.com), основанная в 1997 г., занимается разработкой программных средств обеспечения информационной безопасности. В числе консультантов компании - один из изобретателей криптографии с открытыми ключами Витфилд Диффи.
Принципы функционирования Freedom Network
Freedom Network (см. рисунок) представляет собой набор средств, реализующих ряд современных технологий сокрытия авторства. Владельцы не раскрывают деталей функционирования последних версий системы. Однако в октябре 2000 г. компания ZKS сделала доступными исходные тексты ее клиентских и серверных модулей для Linux.
Сеть состоит из двух базовых компонентов:
- географически распределенных серверов Anonymous Internet Proxy (анонимные посредники доступа в Интернет, AIP), образующих собственно сеть Freedom;
- серверов ядра системы (core servers), расположенных на серверной площадке компании ZKS и обеспечивающих функционирование основных и вспомогательных служб сети.
Запрос к Интернет-ресурсу передается по цепи AIP в рамках логического канала абонента. Число AIP-серверов в цепи определяется самим абонентом, но в текущей версии Freedom Network не превышает трех.
Структура и принцип функционирования сети Freedom Network
Программное обеспечение AIP взаимодействует с серверами на защищенной площадке и с другими AIP сети. Каждый AIP, не находящийся на защищенной серверной площадке, может администрироваться как сотрудниками ZKS, так и партнерами, что, как утверждают разработчики, затрудняет раскрытие авторства абонентов системы.
Взаимодействие серверов между собой происходит не на базе фиксированной топологии, а в рамках сети абонентских логических каналов.
Серверы ядра системы выполняют основные функции сети Freedom: управление открытыми ключами криптографической защиты, создание и поддержку в актуальном состоянии базы псевдонимных идентификаторов абонентов, поддержку информационных служб, почтовой подсистемы и вспомогательные операции.
Псевдонимные идентификаторы
Для доступа к службам Freedom каждый абонент должен получить псевдонимный идентификатор, подсистема которого обеспечивает сокрытие связи с абонентом.
Она базируется на элементах, называемых кодами активации (activation code), и псевдонимных маркерах (nym token). Первые по смыслу и назначению аналогичны дорожным чекам, а вторые - любому средству платежа, по факту использования которого невозможно выявить плательщика. Абонент системы Freedom получает коды активации после фактической оплаты услуг, и по этим кодам случайным образом формируется номер псевдонимного маркера. Псевдонимный маркер по предъявлении его системе может быть использован для создания нового или для продления действующего псевдонимного идентификатора. По утверждению создателей системы, связать конкретный маркер с фактическими идентификаторами владельца кода активации невозможно.
Криптографическая подсистема
Основными способами сокрытия авторства в системе Freedom Network является применение инфраструктуры открытых ключей PKI и особый механизм криптографической защиты каналов передачи данных.
Серверы PKI в сети расположены на серверной площадке ZKS. Ключи, используемые для шифрования и наложения ЭЦП на передаваемую в системе информацию, образуют особую иерархическую структуру. На ее вершине расположено несколько ключей ЭЦП - мастер-ключ (MasterKey), годовой и месячный ключи. Дальше идут ключи серверов системы Freedom, а в самом низу иерархии - ключи, соответствующие псевдонимным идентификаторам абонентов. Использование ключей шифрования и ЭЦП в системе Freedom Network и управление ими строго регламентировано и подвержено специальным процедурам контроля.
В сети Freedom информация шифруется как при передаче между абонентом и серверами, так и при межсерверном взаимодействии. Кроме того, протокол Telescope не позволяет кому бы то ни было (в том числе администраторам AIP) установить факт обращения абонента к конкретному Интернет-ресурсу и выявить корреляцию активности абонента Freedom и ресурса Сети.
Соединившись между собой, два AIP запрашивают у серверов PKI открытые ключи друг друга. После получения и верификации ключей с использованием протокола Diffie-Hellman осуществляется установление ключа симметричного алгоритма шифрования (сеансового ключа), который будет применяться при передаче данных между двумя AIP в течение сеанса. Сеансовый ключ обновляется каждый час непрерывного соединения. Помимо шифрования передаваемые данные сопровождаются ЭЦП AIP отправителя. Криптографическая защита данных на канале от абонента системы Freedom до AIP производится аналогичным образом.
Протокол Telescope разработан на основе принципов, изложенных Дэвидом Чомом *1 в работе “Untraceable Electronic Mail, Return Addresses, and Digital Pseudonyms” в 1981 г. На этих же принципах строятся системы анонимной почтовой ретрансляции Cypherpunk и Mixmaster. Предложенная Чомом система представляет собой сеть ретрансляторов почтовых сообщений, называемых смесителями. Компьютер-смеситель предназначен для того, чтобы не допустить выявление логической связи (корреляции) между принимаемыми и отправляемыми им сообщениями. Такая возможность обеспечивается изменением временных параметров обработки сообщений, их упаковкой в пакеты одинакового размера и рядом других способов. При использовании цепи смесителей каждый из них осведомлен лишь об адресах предшествующего и последующего компьютера. Это значит, что если логический канал образуют более двух компьютеров-смесителей, то ни на одном из них не известно одновременно IP-адреса пользователя и Web-сервера.
_____
*1. Дэвид Чом (David Chaum) - автор более 45 научных работ, обладатель двух десятков патентов США, основатель организации International Association for Cryptographic Research (IACR) и компании DigiCash Inc., которая одной из первых предоставила возможность использования “электронных денег”.
Модуль абонента системы
С точки зрения стандартного ПО доступа в Интернет модуль абонента Freedom является прокси-сервером и позволяет приложениям использовать Freedom в “прозрачном” режиме.
Клиентский модуль состоит из нескольких элементов: интерфейса пользователя, средств обработки трафика на сетевом уровне и на уровне приложения и библиотек. Все эти элементы предназначены для осуществления криптографических операций, управления псевдонимными идентификаторами, создания путей маршрутизации и выполнения ряда служебных функций.
Обработка трафика на уровне приложения подразумевает блокирование или фильтрацию информации, анализ которой злоумышленником может привести к раскрытию авторства. Имеется возможность проконтролировать использование программ JavaScript, Java, ActiveX, VBScript и файлов Cookies. Кроме того, модуль реализует функцию анализа информации, передаваемой абонентом на Web-сервер, по ключевым словам с дополнительным запросом к абоненту о подтверждении передачи.
Безопасность функционирования системы
Реализованные в системе технологии сокрытия авторства позволяют в значительной степени снизить риск нарушения конфиденциальности частной информации об абонентах системы со стороны случайных пользователей либо владельцев Интернет-ресурсов. Безопасность обеспечивается с минимальным снижением производительности, надежности и удобства доступа к Сети.
Тем не менее Freedom (как и другие системы сокрытия авторства) не лишена недостатков, влияющих на общее качество предоставляемых услуг. Наиболее серьезным недостатком является то, что пользователь вынужден полагаться скорее на организационно-технические методы сокрытия авторства (конфиденциальности информации о своей активности), чем на криптографические механизмы.
Например, абонент системы псевдонимной идентификации должен просто поверить компании ZKS, что она не будет вести протоколы создания псевдонимных маркеров по передаваемым абонентом кодам активации. Однако механизмы централизованной обработки информации об абонентах и управления серверами допускают наличие в системе развитых средств протоколирования. О подобной возможности косвенно упомянуто в документах, описывающих принципы построения системы.
В заключение следует указать, что наиболее серьезной проблемой при использовании Freedom является риск передачи информации об абонентах в случае предъявления владельцам системы официального запроса со стороны правоохранительных органов.