31.05.2023
1 хв
2441
Що буде з вашою анонімністю, якщо держава закриє інтернет? Розбираємо, чому звичні VPN та Tor не врятують від спецслужб і як обійти тотальне стеження.
Знаєте, що найкумедніше в сучасному сприйнятті кібербезпеки? Ми всі свято віримо в магію технологій, які насправді тримаються на одному дуже хисткому припущенні. Ми купуємо підписки на VPN, встановлюємо Tor Browser, налаштовуємо I2P-мости і почуваємося хакерами з кіберпанк-фільмів. Нам здається, що ми в «будиночку». Але вся ця багаторівнева криптографія, всі ці хитромудрі маршрути працюють лише доти, доки у вашій країні є фізичний кабель, що веде за кордон.
А тепер давайте зіграємо в параноїків і уявимо сценарій, який для деяких країн світу вже перестає бути антиутопією і стає суворою реальністю. Уявіть, що держава вирішила повністю відрізати своїх громадян від глобальної мережі. Рубильник опущено. Усі сервери, всі провайдери, всі маршрутизатори знаходяться виключно всередині країни і повністю контролюються єдиним центром.
Що станеться з вашою анонімністю? Чи допоможе вам Tor? Коротка відповідь: ні, він перетвориться на гарбуз. А от щоб зрозуміти довгу відповідь, нам доведеться залізти під капот мережевих технологій і розібратися, як насправді працює стеження і як математика намагається йому протистояти.
Щоб зрозуміти масштаби проблеми, давайте розберемося, на чому взагалі тримається безпека популярних анонімних мереж. Їхній головний козир – це принцип федеративності.
Звучить складно, але на практиці це працює як банальна відсутність довіри між різними країнами. Коли ви відправляєте запит через Tor, ваш пакет даних не летить прямо до сайту. Він загортається в кілька шарів шифрування (знаменита «цибулева маршрутизація») і починає стрибати по серверах-вузлах.
Наприклад, ви сидите в Києві. Ваш трафік спочатку йде на сервер у Німеччині (перший шар знімається), потім летить кудись у Бразилію (знімається другий шар), а звідти – на вихідний вузол у Японії. У чому тут фішка? У тому, що німецька поліція, бразильські спецслужби та японські провайдери не мають спільних інтересів. Вони не обмінюються логами. Японець не знає, хто ви і звідки прийшов початковий запит, а німець не знає, куди цей запит летить у кінцевому підсумку.
У криптографії це називається потужністю федеративності – кількістю незалежних, політично не пов’язаних держав у вашому ланцюжку. Чим агресивніше країни налаштовані одна до одної, тим безпечніше вам цим користуватися.
Але що відбувається, коли держава закриває кордони мережі? Потужність федеративності миттєво падає до одиниці. Навіть якщо ви спробуєте підняти аналог Tor виключно на внутрішніх серверах вашої країни, всі ці сервери фізично перебуватимуть в одній юрисдикції. І якщо до провайдерів прийдуть люди в погонах (або якщо весь трафік від початку йде через державне обладнання), вони отримають доступ до всіх вузлів одночасно.
Коли мережа закривається, звичайний провайдер еволюціонує у страшного звіра, якого в теорії інформаційної безпеки називають Глобальним спостерігачем.
Уявіть собі звичайного хакера. Він може перехопити трафік у вашій місцевій кав’ярні. Але Глобальний спостерігач – це сутність, яка має «режим Бога». Він бачить всю мережу цілком і одночасно. Йому не потрібно зламувати ваше шифрування або намагатися прочитати, що саме ви написали. Йому достатньо просто дивитися на метадані. І головна його зброя – це таймінг-атаки (аналіз часу та обсягів).
Давайте на пальцях. Ви хочете таємно передати другу файл на 5 мегабайт. Ви використовуєте супернадійне внутрішнє шифрування і пускаєте його через три підставні внутрішні сервери. Глобальний спостерігач дивиться на мережу і бачить таку картину:
О 15:05:01 комп’ютер користувача «А» відправив пакет розміром 5 Мб.
О 15:05:02 якийсь сервер перекинув 5 Мб іншому серверу.
О 15:05:04 комп’ютер користувача «Б» отримав пакет розміром 5 Мб.
Все. Вас викрито. Зміст файлу залишається таємницею, але факт зв’язку між «А» і «Б» доведено безапеляційно.
Дехто з ентузіастів одразу скаже: «Окей, а давайте генерувати тонни сміттєвого трафіку! Нехай мій комп’ютер постійно кудись відправляє фейкові пакети різного розміру, щоб заплутати сліди». Звучить круто, але проти Глобального спостерігача це не спрацює. Якщо стеження триває довго, аналітичні алгоритми (так, той самий штучний інтелект спецслужб) дуже швидко навчаться відділяти ваш справжній трафік від фонового шуму. Вони знайдуть закономірності у ваших звичках, відфільтрують «сміття» і врешті-решт деанонімізують вас.
Щоб перемогти Спостерігача, потрібна не хитрість, а фундаментальна, безжальна математика.
Коли фізичні кордони закриті, заховатися можна лише у математичних парадоксах. Існують концепції мереж, які здатні протистояти навіть Глобальному спостерігачу. Це архітектури, де анонімність можна довести теоремами. Автор статті на Хабрі виділяє три основні підходи.
Це красива математична концепція, вигадана ще в 1980-х. Уявіть, що є три користувачі (А, Б і В), які з’єднані між собою. Їхня мета – зробити так, щоб один із них міг передати в мережу повідомлення (наприклад, 1 біт інформації), але щоб ніхто – ні зовнішній Спостерігач, ні навіть двоє інших учасників – не змогли точно сказати, хто саме був відправником.
Працює це через логічну операцію XOR (виключне АБО). Учасники постійно генерують і погоджують між собою спільні випадкові числа (ключі). Коли одному з них треба передати реальний біт інформації, він «накладає» його на свій ключ за допомогою XOR і видає результат у мережу. Інші роблять те саме зі своїми порожніми ключами. У фіналі всі отримані дані складаються докупи. Магія математики полягає в тому, що мережа отримує правильне повідомлення, але відслідкувати джерело цього повідомлення неможливо принципово. Навіть якщо учасник «Б» захоче здати відправника, він фізично не зможе вирахувати, чи прийшов сигнал від «А», чи від «В».
Пам’ятаєте проблему з таймінг-атаками, коли Спостерігач бачить розмір і час відправки файлу? Мережі на базі черг вирішують це радикально.
Уявіть, що всі комп’ютери в такій мережі працюють як метроном. Кожну секунду (або мілісекунду) ваш пристрій зобов’язаний відправити в мережу пакет даних фіксованого розміру. Строго за розкладом. Якщо ви набираєте текст і відправляєте статтю – комп’ютер розбиває її на рівні шматочки і відправляє у ці секундні вікна. А що, якщо ви відійшли від клавіатури і п’єте чай? Ваш комп’ютер продовжує щосекунди відправляти пакети такого ж розміру, але заповнені абсолютно безглуздим криптографічним «білим шумом».
Для Глобального спостерігача весь інтернет у країні перетворюється на суцільну, ідеально рівну стіну шуму. Усі пристрої в країні постійно щось передають і отримують. Немає ні сплесків, ні пауз. Проаналізувати такий трафік неможливо – він виглядає як телевізійна заставка з «мурахами».
Тут використовується підхід гри в «гарячу картоплю». Якщо вам треба відправити повідомлення другу, ви не шлете його напряму. Ви шифруєте його публічними ключами кількох випадкових людей у мережі. Ви відправляєте запит, і ймовірність того, що ви відправник, спочатку становить 100%. Але щойно вузол-посередник отримує пакет і пересилає його далі, неозначеність (ентропія) починає зростати. З кожним новим «відскоком» пакета по мережі, Спостерігачу стає все важче зрозуміти, хто був джерелом. Система з кожним кроком розмиває ймовірність. Якщо повідомлення зробить 50 стрибків, знайти кінці у воду стане практично нереально.
То що ми маємо в сухому залишку? Якщо держава закриє зовнішній інтернет, класичні VPN та Tor помруть першими. Їхня архітектура просто не розрахована на боротьбу з ворогом, який контролює всі дроти в країні.
Але надія є. Математично довести і гарантувати анонімність в закритому середовищі – реально. DC-мережі та мережі з фіксованими таймінгами здатні сховати вас навіть від погляду всевидячого ока.
Проте, є одне величезне, фатальне «АЛЕ». Ціна такої анонімності – колосальна деградація зручності. Мережі з теоретично довідною анонімізацією неймовірно повільні. Через необхідність постійно генерувати терабайти «білого шуму», синхронізувати ключі з сусідами та робити десятки холостих стрибків пакетами, пропускна здатність падає до рівня модемів із 90-х.
У таких мережах ви не зможете дивитися YouTube у 4K. Ви не зможете швидко скролити стрічку з фотографіями. Передача одного текстового повідомлення може займати секунди, а завантаження картинки – хвилини. Пінг буде космічним.
Ці технології створюються не для розваг. Це інструменти цифрового виживання. Це рятувальні шлюпки на випадок, якщо інтернет-Титанік піде на дно державного контролю. І хоча користуватися ними незручно, в критичний момент можливість просто надіслати текстовий файл без ризику потрапити за ґрати виявиться значно важливішою за швидкий перегляд мемів.
Це якщо залишити інтеренет швидким. А якщо ще його і сповільнити то з цими алгоритмами можливо юзати максимум для пересилання тексту)) хоча краще ніж нічого