1. Для просмотра полной версии форума нужно Войти или зарегистрироваться
    Скрыть объявление
  2. В период военного положения в Украине рекомендуем сохранять трезвость, это жизненно важно как вам так и вашим близким, возможно вам придётся их защищать и для этого лучше оставаться трезвыми! Нужно пережить это не лёгкое время, помогайте друг другу чем можете, мы с вами! Гуманитарная помощь жителям Украины
    Скрыть объявление

Абсолютная приватность сервиса в I2P: зашифрованный лизсет

Тема в разделе "В курсе событий", создана пользователем daddydwarf, 4/5/21.

  1. TS
    daddydwarf

    daddydwarf Местный житель Помощник

    Регистрация:
    12/6/19
    Сообщения:
    10.765
    Карма:
    484
    Репутация:
    1.008
    Оценки:
    +4.534/3/-8
    [​IMG]
    Принцип анонимности I2P заключается в неизвестном месторасположении скрытого сервиса. Каждый скрытый сервис (например, сайт или пользователь, который его посещает) взаимодействует с другими ресурсами исключительно через анонимизирующие туннели. Туннели строятся через роутеры участников сети также, как другие пользователи строят туннели через наш роутер. Такая модель создает множество прямых соединений между I2P-роутерами, в которых нельзя определить на каком роутере начался или закончился тот или иной туннель: тысячи одновременных зашифрованных подключений не дают такой возможности.
    [​IMG]
    Чтобы связаться с любым скрытым сервисом, необходимо получить его лизсет (LeaseSet), который содержит информацию о входных туннелях и криптографических ключах. Для этого все серверные конечные точки, ожидающие подключение, публикуют свои лизсеты на флудфилах (Floodfill) – роутерах, выступающих в роли справочной книги или доски объявлений. Несмотря на то, что флудфил получает лишь информацию о первых узлах входных туннелей и криптографические ключи, т.е. никакой компрометирующей информации в лизсете нет, архитектура I2P предусматривает использование зашифрованных лизсетов. Это позволяет скрыть наличие конечной точки (она же «скрытый сервис» и «destination») от возможного мониторинга на флудфилах.
    [​IMG]
    Идентификатор незашифрованного лизсета – обычный внутрисетевой адрес скрытого ресурса, только без окончания «.b32.i2p». Это позволяет держателям флудфилов видеть в открытом виде адреса ресурсов, которые у них опубликовались. Если вы подняли в I2P личный ресурс и не хотите, чтобы о нем случайно узнал кто-то еще, зашифрованный лизсет – специально для вас!
    [​IMG]
    Незашифрованный лизсет на флудфиле
    Сокрытие идентификатора лизсета в англоязычной терминологии называется blinding («ослепление»). Отсюда происходит название адреса скрытого сервиса с зашифрованным лизсетом: «bb32» – blinded-b32. В свою очередь «b32» во всех доменах сети является сокращением от названия кодировки base32, которой кодируется информация, образующая домен. Важно заметить, что bb32 – всего лишь термин. Фактически такое написание в адресах не используется.
    Обычный

    Зашифрованный

    Идентификатор лизсета типа bb32 (который видит флудфил) не соотносится с адресом, поэтому не может сообщить владельцу флудфила фактическое имя опубликованного у него ресурса. Также к адресу типа bb32 нельзя привязать короткий домен в зоне «i2p». Единственный способ обратиться к подобному скрытому сервису – иметь полную строку его адреса. Получая на вход bb32-адрес, I2P-роутер запрашивает у флудфила соответствующий зашифрованный лизсет, а затем расшифровывает его содержимое, используя дополнительную информацию, закодированную в домене.
    Доменное имя обыкновенной конечной точки целиком состоит из хеша полного адреса (набор криптографических ключей, который затем приходит вместе с лизсетом), а адрес с зашифрованным лизсетом – это публичный ключ подписи скрытого ресурса, а также три байта специальной информации: флаги, тип подписи и тип зашифрованной подписи.
    [​IMG]
    Ознакомиться с криптографическими подробностями блиндинга, т.е. сокрытием идентификатора лизсета, а также с шифрованием его содержимого, можно в . Согласно приведенной документации в зашифрованном лизсете поддерживается два : EDDSA_SHA512_ED25519 (тип 7) и REDDSA_SHA512_ED25519 (тип 11), однако настоятельно рекомендуется использовать только второй из приведенных. В случае нерекомендуемый вариант вовсе не реализован, т.к. считается практически бессмысленным.
    [​IMG]
    Это связано с тем, что, во-первых, тип подписи 11 алгоритмически является более оптимальным для использования в зашифрованном лизсете, во-вторых, тип подписи 7 применяется по умолчанию и допускает неумышленное использование уже существующего адреса в связке с зашифрованным лизсетом. Теоретически это является уязвимостью, т.к. позволяет флудфилу-злоумышленнику раскрыть очередной зашифрованный лизсет сервиса, который до этого с тем же ключом подписи использовал лизсет обычного типа. Это возможно из-за алгоритма вычисления блиндинга, который можно воспроизвести, заранее зная полный адрес конечной точки, включаемый в лизсет. Подразумевается, что пользователь, назначивший вручную тип подписи 11, наверняка сразу укажет и нужный ему тип лизсета, что предотвратит утечку.
    Минимальная конфигурация туннеля конечной точки типа bb32 (которая иногда почему-то называется b33, что не имеет какой-либо логики) выглядит следующим образом (принципиальны последние две строки):
    [SUPER-HIDDEN-SERVICE]
    type = server
    host = 127.0.0.1
    port = 8080
    inport = 80
    keys = site.dat
    signaturetype = 11
    i2cp.leaseSetType = 5

    Чуть раньше были упомянуты , содержащиеся в первом байте адреса с зашифрованным лизсетом. Все, что нас интересует в контексте данной статьи, это . Он настраивается через дополнительный параметр конфигурации i2cp.leaseSetAuthType. Вкратце: это позволяет сделать доступ к приватному ресурсу еще более контролируемым, создавая список по ключам или парольным фразам для каждого пользователя, а в случае чего – убрать конкретный идентификатор из списка, после чего соответствующий пользователь уже не получит лизсет, следовательно, и доступ к ресурсу. Подробнее об этом вы можете узнать из (параметры i2cp.leaseSetPrivKey, i2cp.leaseSetClient.dh.nnn, i2cp.leaseSetClient.psk.nnn).
    Оригинальная статья опубликована в блоге дата-центра ITSOFT.
     
Загрузка...
Похожие темы - Абсолютная приватность сервиса
  1. Бот:
    Ответов:
    0
    Просмотров:
    33
  2. Бот:
    Ответов:
    0
    Просмотров:
    130
  3. Бот:
    Ответов:
    0
    Просмотров:
    86
  4. Накуренный_Кот
    Ответов:
    1
    Просмотров:
    97
  5. Yarik$
    Ответов:
    8
    Просмотров:
    93