토르가 물리적 압수로부터 노드를 보호하는 방법: 새로운 디스크리스 서버 아키텍처
토르 네트워크는 서버가 물리적으로 압수되었을 때 공격자에게 무용지물이 되게 하는 기술을 배포하고 있습니다. 핵심 아이디어는 데이터를 디스크에 저장하지 않고 노드를 RAM에서만 실행하는 것입니다. 재부팅 후에는 로그와 암호화 키를 포함한 모든 정보가 지워집니다. 이는 운영자와 사용자의 위험을 줄이지만 새로운 기술적 과제를 만듭니다.
물리적 노드 압수의 문제
토르 노드 운영자는 법 집행 기관과 공격자로부터 압력을 받습니다. 오스트리아, 독일, 미국, 러시아에서 서버가 압수된 사례가 있습니다. 장비가 잘못된 사람의 손에 들어가면 그 안의 데이터가 사용자를 익명 해제하는 데 사용될 수 있습니다. 단일 노드가 전체 연결 체인을 알지 못하는 아키텍처에서도 로그나 키가 존재하면 취약점이 발생합니다.
디스크리스 시스템의 작동 방식
디스크리스 서버는 불변 이미지로 부팅되어 완전히 RAM에서 실행됩니다. 전원이 꺼지면 모든 데이터가 사라집니다. 이 접근 방식은 Tails 시스템과 유사하지만, 토르 노드에 맞게 조정되었습니다. Tor-ramdisk 프로젝트는 2015년에 이미 존재했지만, 현재 기술이 개선되고 있습니다.
장점:
- 압수 후 분석할 데이터가 없음.
- 부팅 시마다 불변 구성.
- 재부팅 후 악성코드가 지속될 수 없음.
노드 평판 유지의 문제
토르 노드는 암호화 키에 연결된 평판을 축적합니다. 키를 잃으면 처음부터 다시 시작해야 합니다. 해결책은 TPM(신뢰할 수 있는 플랫폼 모듈)을 사용하여 키를 저장하고 운영 체제에 전달하지 않는 것입니다. TPM은 키를 특정 시스템 상태에 바인딩하여 변경이 발생하면 접근을 차단합니다.
TPM 한계:
- 일부 토르 키는 직접 지원되지 않으며 암호화되어 저장됩니다.
- 업데이트 시 키를 다시 바인딩해야 하며, 자동화가 어렵습니다.
기술적 및 실용적 과제
RAM에서 실행하려면 신중한 메모리 관리가 필요합니다. 리소스가 부족하면 프로세스가 종료됩니다. 개발자들은 메모리 소비를 줄였지만 문제가 완전히 해결되지는 않았습니다. 잦은 재시작은 노드 평판을 저하시키고 처리량을 감소시킵니다.
기존 접근 방식:
- 시작 시 수동 키 전송.
- 별도의 마스터 키 저장소를 사용하는 디스크리스 가상 머신.
- 검증된 이미지와 키를 TPM에 로드.
미래 방향
해결되지 않은 과제로는 상태 손실 없는 자동 업데이트와 원격 소프트웨어 무결성 검증이 있습니다. 노드 운영 검증을 위한 공개 로그 구현 계획이 있습니다. 목표는 신뢰가 서버의 물리적 보안에 의존하지 않는 인프라를 만드는 것입니다.
주요 시사점
- 디스크리스 토르 노드는 재부팅 시 데이터를 파괴하여 물리적 압수로부터 보호합니다.
- TPM은 암호화 키를 보존하여 평판 연속성을 보장합니다.
- 이 기술은 운영자의 위험을 줄이지만 메모리 및 업데이트 문제를 해결해야 합니다.
- 개발은 언론인과 활동가들 사이에서 토르 네트워크에 대한 신뢰를 높이는 것을 목표로 합니다.
— Editorial Team
아직 댓글이 없습니다.