Обзор
Эта страница описывает происхождение и дизайн однонаправленных tunnel в I2P. Для получения дополнительной информации см.:
Обзор
Хотя нам не известны какие-либо опубликованные исследования о преимуществах однонаправленных tunnel’ов, они, по-видимому, усложняют обнаружение паттерна запрос/ответ, который вполне возможно обнаружить в двунаправленном tunnel’е. Несколько приложений и протоколов, в частности HTTP, действительно передают данные таким образом. Прохождение трафика по одному и тому же маршруту к месту назначения и обратно может облегчить атакующему, который располагает только данными о времени и объёме трафика, возможность определить путь, который использует tunnel. Возврат ответа по другому пути, возможно, усложняет эту задачу.
При работе с внутренним противником или большинством внешних противников, однонаправленные tunnel I2P раскрывают в два раза меньше данных трафика, чем было бы раскрыто с двунаправленными цепями при простом наблюдении за потоками - HTTP-запрос и ответ следовали бы по одному и тому же пути в Tor, в то время как в I2P пакеты, составляющие запрос, проходили бы через один или несколько исходящих tunnel, а пакеты, составляющие ответ, возвращались бы через один или несколько других входящих tunnel.
Стратегия использования двух отдельных туннелей для входящего и исходящего трафика не является единственной доступной техникой и имеет последствия для анонимности. С положительной стороны, использование отдельных туннелей уменьшает объем данных трафика, доступных для анализа участникам туннеля - например, узлы в исходящем туннеле от веб-браузера увидят только трафик HTTP GET, в то время как узлы во входящем туннеле увидят полезную нагрузку, доставляемую по туннелю. При использовании двунаправленных туннелей все участники имели бы доступ к информации о том, что, например, 1 КБ было отправлено в одном направлении, а затем 100 КБ в другом. С отрицательной стороны, использование однонаправленных туннелей означает, что существует два набора узлов, которые необходимо профилировать и учитывать, и необходимо принимать дополнительные меры для противодействия ускоренным атакам предшественника. Процесс объединения в пулы и построения туннелей (стратегии выбора и упорядочивания узлов) должен минимизировать опасения относительно атак предшественника.
Анонимность
В статье Германа и Гротгоффа утверждается, что однонаправленные tunnel’ы I2P “кажутся плохим проектным решением”.
Основная мысль статьи заключается в том, что деанонимизация в однонаправленных туннелях занимает больше времени, что является преимуществом, но атакующий может быть более уверен в случае однонаправленных туннелей. Поэтому в статье утверждается, что это вовсе не преимущество, а недостаток, по крайней мере для долгоживущих I2P-сайтов.
Этот вывод не полностью подтверждается статьей. Однонаправленные tunnel явно смягчают другие атаки, и не ясно, как сбалансировать риск атаки, описанной в статье, с атаками на архитектуру двунаправленных tunnel.
Этот вывод основан на произвольном балансе между достоверностью и временем (компромисс), который может быть неприменим во всех случаях. Например, кто-то может составить список возможных IP-адресов, а затем выдать повестки в суд для каждого из них. Или злоумышленник может провести DDoS-атаку на каждый по очереди и с помощью простой атаки пересечения проверить, становится ли I2P Site недоступным или замедляется. Поэтому приблизительный результат может быть достаточно хорошим, или время может иметь большее значение.
Вывод основан на конкретном взвешивании важности достоверности против времени, и это взвешивание может быть неверным, и это определенно спорно, особенно в реальном мире с повестками в суд, ордерами на обыск и другими доступными методами окончательного подтверждения.
Полный анализ компромиссов между однонаправленными и двунаправленными tunnel явно выходит за рамки данной статьи и не проводился в других работах. Например, как эта атака соотносится с многочисленными возможными атаками по времени, опубликованными для сетей с onion-маршрутизацией? Очевидно, что авторы не проводили такой анализ, если вообще возможно сделать это эффективно.
Tor использует двунаправленные туннели и прошел много академических исследований. I2P использует однонаправленные туннели и прошел очень мало исследований. Означает ли отсутствие исследовательской работы, защищающей однонаправленные туннели, что это плохой выбор дизайна, или просто что это требует дополнительного изучения? Атаки по времени и распределенные атаки сложно защитить как в I2P, так и в Tor. Замысел дизайна (см. ссылки выше) заключался в том, что однонаправленные туннели более устойчивы к атакам по времени. Однако статья представляет несколько иной тип атаки по времени. Достаточно ли этой атаки, какой бы инновационной она ни была, чтобы назвать архитектуру туннелей I2P (и, следовательно, I2P в целом) “плохим дизайном”, и по умолчанию явно уступающей Tor, или это просто альтернатива дизайна, которая явно нуждается в дальнейшем исследовании и анализе? Есть несколько других причин считать I2P в настоящее время уступающим Tor и другим проектам (небольшой размер сети, отсутствие финансирования, отсутствие исследований), но действительно ли однонаправленные туннели являются причиной?
Подводя итог, “плохое проектное решение” является, по-видимому (поскольку в статье bidirectional tunnel не помечены как “плохие”), сокращением для “unidirectional tunnel однозначно уступают bidirectional tunnel”, однако этот вывод не подтверждается статьей.