Jak Tor chrání uzly před fyzickým zabavením: nová architektura bezdiskových serverů
Síť Tor zavádí technologii, díky které jsou servery pro útočníky při fyzickém zabavení nepoužitelné. Hlavní myšlenkou je spouštění uzlů výhradně v operační paměti, bez ukládání dat na disk. Po restartu jsou všechna data vymazána, včetně protokolů a kryptografických klíčů. To snižuje rizika pro operátory i uživatele, ale přináší nové technické výzvy.
Problém fyzického zabavení uzlů
Operátoři uzlů Tor čelí tlaku ze strany orgánů činných v trestním řízení a útočníků. Servery jsou zabavovány v Rakousku, Německu, USA a Rusku. Pokud se zařízení dostane do cizích rukou, data na něm mohou být použita k deanonymizaci uživatelů. I při architektuře, kde žádný uzel nezná celý řetězec spojení, přítomnost protokolů nebo klíčů vytváří zranitelnost.
Princip fungování bezdiskových systémů
Bezdiskový server se načítá z neměnného obrazu a pracuje pouze v RAM. Po vypnutí všechna data zmizí. Tento přístup připomíná systém Tails, ale pro uzly Tor je přizpůsoben s ohledem na jejich specifika. Projekt Tor-ramdisk existoval již v roce 2015, ale nyní je technologie dále vylepšována.
Výhody:
- Žádná data k analýze po zabavení.
- Neměnná konfigurace při každém spuštění.
- Nemožnost trvalého usazení škodlivého softwaru po restartu.
Problém zachování reputace uzlu
Uzly Tor si budují reputaci vázanou na kryptografický klíč. Ztráta klíče znamená začít od nuly. Řešením je použití modulu TPM (Trusted Platform Module), který ukládá klíče a nepředává je operačnímu systému. TPM váže klíč na konkrétní stav systému a blokuje přístup při změnách.
Omezení TPM:
- Některé klíče Tor nejsou přímo podporovány a jsou ukládány v šifrované podobě.
- Aktualizace vyžadují převázání klíčů, což je obtížné automatizovat.
Technické a praktické obtíže
Práce v RAM vyžaduje pečlivé řízení paměti. Nedostatek zdrojů vede k ukončování procesů. Vývojářům se podařilo snížit spotřebu paměti, ale problém není zcela vyřešen. Časté restarty zhoršují reputaci uzlu a snižují jeho propustnost.
Stávající přístupy:
- Ruční přenos klíčů při spuštění.
- Virtuální stroje bez disků s odděleným uložením hlavního klíče.
- Načítání ověřených obrazů s klíči do TPM.
Budoucí směry
Neřešené úkoly zahrnují automatickou aktualizaci bez ztráty stavu a vzdálené ověřování integrity softwaru. Plánuje se zavedení otevřených protokolů pro ověřování činnosti uzlů. Cílem je vytvořit infrastrukturu, kde důvěra nezávisí na fyzické bezpečnosti serverů.
Co je důležité
- Bezdiskové uzly Tor ničí data při restartu, čímž chrání před fyzickým zabavením.
- TPM uchovává kryptografické klíče a zajišťuje kontinuitu reputace.
- Technologie snižuje rizika pro operátory, ale vyžaduje řešení problémů s pamětí a aktualizacemi.
- Vývoj směřuje ke zvýšení důvěry v síť Tor mezi novináři a aktivisty.
— Editorial Team
Zatím žádné komentáře.