Jak Tor chroni węzły przed fizycznym przejęciem: nowa architektura serwerów bezdyskowych
Sieć Tor wdraża technologię, która sprawia, że serwery stają się bezużyteczne dla atakujących w przypadku fizycznego zajęcia. Główna idea – uruchamianie węzłów wyłącznie w pamięci RAM, bez zapisywania danych na dysku. Po restarcie wszystkie informacje są usuwane, w tym logi i klucze kryptograficzne. Zmniejsza to ryzyko dla operatorów i użytkowników, ale stwarza nowe wyzwania techniczne.
Problem fizycznego przejęcia węzłów
Operatorzy węzłów Tor spotykają się z presją ze strony organów ścigania i atakujących. Serwery są zajmowane w Austrii, Niemczech, USA i Rosji. Jeśli sprzęt trafi w niepowołane ręce, dane na nim mogą zostać wykorzystane do deanonimizacji użytkowników. Nawet przy architekturze, gdzie żaden węzeł nie zna pełnego łańcucha połączenia, obecność logów lub kluczy stwarza podatność.
Zasada działania systemów bezdyskowych
Serwer bezdyskowy uruchamia się z niezmiennego obrazu i działa tylko w RAM. Po wyłączeniu wszystkie dane znikają. Podejście przypomina system Tails, ale dla węzłów Tor zostało zaadaptowane z uwzględnieniem ich specyfiki. Projekt Tor-ramdisk istniał już w 2015 roku, ale obecnie technologia jest dopracowywana.
Zalety:
- Brak danych do analizy po zajęciu.
- Niezmienna konfiguracja przy każdym uruchomieniu.
- Niemożliwość utrwalenia złośliwego oprogramowania po restarcie.
Problem zachowania reputacji węzła
Węzły Tor gromadzą reputację powiązaną z kluczem kryptograficznym. Utrata klucza oznacza rozpoczęcie od zera. Rozwiązanie – użycie modułu TPM (Trusted Platform Module), który przechowuje klucze i nie przekazuje ich systemowi operacyjnemu. TPM wiąże klucz z konkretnym stanem systemu, blokując dostęp przy zmianach.
Ograniczenia TPM:
- Niektóre klucze Tor nie są bezpośrednio obsługiwane i są przechowywane w formie zaszyfrowanej.
- Aktualizacje wymagają ponownego powiązania kluczy, co jest trudne do zautomatyzowania.
Trudności techniczne i praktyczne
Praca w RAM wymaga starannego zarządzania pamięcią. Niedobór zasobów prowadzi do kończenia procesów. Deweloperom udało się zmniejszyć zużycie pamięci, ale problem nie został całkowicie rozwiązany. Częste restarty pogarszają reputację węzła i zmniejszają jego przepustowość.
Istniejące podejścia:
- Ręczne przenoszenie kluczy przy uruchomieniu.
- Maszyny wirtualne bez dysków z oddzielnym przechowywaniem klucza głównego.
- Ładowanie zweryfikowanych obrazów z kluczami do TPM.
Przyszłe kierunki
Nierozwiązane zadania obejmują automatyczną aktualizację bez utraty stanu i zdalną weryfikację integralności oprogramowania. Planowane jest wprowadzenie otwartych logów do weryfikacji pracy węzłów. Celem jest stworzenie infrastruktury, w której zaufanie nie zależy od fizycznego bezpieczeństwa serwerów.
Co jest ważne
- Bezdyskowe węzły Tor niszczą dane przy restarcie, chroniąc przed fizycznym przejęciem.
- TPM przechowuje klucze kryptograficzne, zapewniając ciągłość reputacji.
- Technologia zmniejsza ryzyko dla operatorów, ale wymaga rozwiązania problemów z pamięcią i aktualizacjami.
- Rozwój ma na celu zwiększenie zaufania do sieci Tor wśród dziennikarzy i aktywistów.
— Editorial Team
Brak komentarzy.