CC BY
131
I ОДНА ИЗ ТЕХНОЛОГИЙ ОБМЕНА СООБЩЕНИЯМИ В ОБХОД ЦЕНЗУРЫ
Пахомов Александр Александрович, Москва, МГТУ им. Н.Э. Баумана,
E-mail: [email protected] Руднев Дмитрий Николаевич, Москва, МГТУ им. Н.Э. Баумана,
E-mail: [email protected]
Чтобы проникнуть сквозь цензуру, диссиденты используют различные сетевые технологии. Цензоры хорошо знают об этом и систематически находят и блокируют все точки входа для использования этих технологий. Идея протокола Message In A Bottle (МIAB) в попытке снизить количество точек входа.
Ключевые слова: сопротивление цензуре, скрытое общение, стеганография.
THE MESSAGING TECHNOLOGY I IN CIRCUMVENTION |
Aleksander Pakhomov, Moscow, Bauman MSTU, E-mail: [email protected]
Dmitriy Rudnev, Moscow, Bauman MSTU
E-mail: [email protected]
Abstract. The Internet has an immense power to catalyze social awareness through the free exchange of ideas. This power is so threatening to repressive regimes that censorship has become a central point in their agendas. The dissidents are cloaking their activity with anti-censorship systems. The censors have become well aware of this, and they are systematically finding and blocking all the entry points to these networks. The idea of Message In A Bottle is to abandon of having a limited number of entry points.
Keywords: Censorship Resistance, Deniable Communication, Steganography
Введение
Наиболее популярными средствами обхода цензуры являются веб-прокси, VPN и Tor. Эти системы имеют общую характеристику - ограниченное количество точек входа. В настоящее время зарубежными специалистами разрабатываются методы и средства ограничения количества точек входа с тем, чтобы их невозможно было заблокировать без отключения от глобальной сети. В [7] предлагаются одно из решений - протокол MIAB.
Для использования цензуроустойчивых протоколов отправитель должен знать способ загрузки протокола и некотрую информацию о получателе. В случае анони-мизирующих прокси маршрутизации (например, Tor [2]), отправителю нужен адрес хотя бы одной точки входа в сеть и адрес получателя, а также его внешний ключ для достижения конфеденциальности. В протоколах, которые используют стеганографию (таких как Collage [1] или Telex [6]), отправитель должен знать местоположение первой «точки рандеву», и внешний ключ получателя.
Большое количество начальной информации - фундаментальная слабость протокола. Достаточно знать внешний ключ получателя для уверенности, что это не общение с «замаскированным цензором». Для связи собеседников MIAB [4] ис-
УДК 004.773
пользует один из механизмов, который поисковые системы используют для получения результатов в реальном времени от блогов и новостных статей - блог пинги.
Основные задачи:
• новый примитив для цензуро-устойчивых протоколов, которые требуются отправителю для знания минимальных начальных данных о получателе и знания, как загрузить протокол;
• исследование реализации этого подхода;
• открытая реализация приложения с доказанной правильностью концепции применения протокола MIAB, который позволяет пользователю писать анонимно на Twitter.
Модель угрозы
Разрабатываемая модель цензора подвергается следующим ограничениям:
• инфраструктура цензурирования будет сдерживаться её стоимостью и технологическими усилиями;
• сверхмерное цензурирование будет иметь негативное влияние на финансовые затраты.
В рамках своей инфраструктуры, цензор может развернуть несколько станций мониторинга в любом месте в пределах его юрисдикции. Через эти станции, он может захватить, проанализировать, изменить и хранить неопределённое количество сетевого трафика. Цензор может выдавать ложные сертификаты TLS, с которыми он способен проводить MITM-атаки. Он знает о любой доступной технологии обхода цензуры, в том числе и о MIAB.
Проектирование
Необходимо реализовать следующие свойства:
• конфиденциальность: цензор не должен быть в состоянии прочитать сообщения, которыми обмениваются Отправитель и Получатель;
• доступность: цензор не должен быть в состоянии блокировать MIAB, не неся при этом больших затрат;
• отрицание: при использовании режима конфиденциальности, цензор не должен быть в состоянии отличить, использует Отправитель этот режим или нет;
• ненавязчивое приведение в действие: развертывание MIAB-экземпляра должно быть легким и дешевым, чтобы небольшие организации или частные лица с некоторым располагаемым доходом могли бы это сделать.
От получателя требуется только возможность опубликовать сообщение в любом блоге за пределами юрисдикции цензора.
Решающую роль в системе имеет концепция блог пинга - сигнала, отправленного из блога к централизованной службе сети (пинг-серверу), чтобы уведомить сервер о добавленном или обновленном содержимом. Поисковые системы используют пинги блогов для эффективного индексирования новое контента в режиме реального времени и подавляющее большинство платформ блогов поддерживают пинги по умолчанию.
MIAB-протокол
Чтобы послать сообщение по протоколу MIAB отправителю необходимо выполнить следующую последовательность действий:
1. Отправитель пишет в блоге пост произвольного содержания. Содержание должно быть выбрано настолько безвредным, насколько это возможно.
Одна из технологий обмена сообщениями в обход цензуры
2. Отправитель делает одну или несколько фотографий, чтобы прикрепить к посту.
3. Отправитель использует клиентское программное обеспечение MIAB для встраивания сообщения M в фотографии. Сообщение скрывается с помощью стеганографии с внешним ключом [5] получателя.
4. Отправитель публикует сообщение, содержащее обработанные фотографии, в блоге. Отправитель может выбрать блог произвольно, при условии, что он поддерживает пинги.
5. Блог посылает сигнал некоторым пинг-серверам.
6. Получатель прослушивает некоторые из пинг-серверов в поиске стегано-графического содержания, зашифрованного его открытым ключом. В течение нескольких минут, он обнаруживает пост отправителя и расшифровывает сообщение.
7. Получатель читает сообщение, и реагирует на его содержание.
Распространение комплекта поставки ПО
Для использования MIAB отправителю нужна копия ПО и внешний ключ получателя. Комплект может распространяться как USB-драйвер, через спам, в виде простого текста или может быть опубликован в нескольких местах сети, закодированный в различных форматах, чтобы цензор не смог идентифицировать и заблокировать их все. Отправитель должен собрать несколько таких компонентов и сравнить, чтобы уменьшить возможность использования компонентов, распространяемых цензором.
Как и в других подобных системах, необходимость в начальном комплекте является недостатком MIAB. Но комплект требует обновления только в исключительных случаях (время действия ключа истекло), и нет необходимости сотрудничества провайдеров для развёртывания (как в Telex).
Стеганографическая схема
Выбор соответствующей стеганографической схемы имеет решающее значение для достижения наших целей в достижении конфиденциальности и отрицания действия. В идеале необходимо иметь стегосистему, где стего-объект (со встроенным сообщением) в точности совпадает по вероятностному распределению с источником покрытия (объектом перед встраиванием). Для этого нужно точно знать распределение вероятностей источника покрытия, что невозможно в случае реальных цифровых фотографий. В MIAB нужно вставлять информацию размером в несколько сотен байт в изображения размером в несколько сотен Кбайт. Необходимо свести к минимуму изменения, сделанные в ходе встраивания. Для этого целесообразно использовать адаптивный стеганографический подход LSB-соответствия, который выбирает расположение пикселей с помощью синдром-решётчатых кодов (STC) [3]. Подход состоит в случайном порядке добавления ± 1 в младший бит пикселей, чтобы показать, что там скрыто сообщение. Также для минимизации искажений ассоциируются затраты с каждым возможным изменением пикселя, после чего определяется наименее затратную последовательность пикселей для встраивания сообщения.
Протокол MIAB может поддерживать несколько PKS (Public Key Schemes), поэтому отправитель может выбрать любую PKS-схему, которую считает безопасной.
Достижение двусторонней пересылки сообщений
Протокол MIAB может быть использован для достижения двусторонней коммуникации двумя способами: либо загрузкой более «требовательного протокола» обхода цензуры (где для инициализации требуется больше, чем просто внешний ключ полу-
УДК 004.773
чателя), или с протоколом активного канала, который устанавливает «точки рандеву» в местах интернета, выбранных по желанию пользователей. Интерес представляет второй вариант, где необходимо расширить MIAB-протокол, позволив получателю отвечать отправителю.
Отправителю необходимо действовать также, как было описано выше, с небольшой модификацией в пункте 3, в частности:
• Отправитель выберет следующее «точку рандеву» R1 (например, site_ a.com), которая должна быть расположена за пределами юрисдикции цензора.
• Отправитель будет решать, какую стеганографическую схему S1 получатель должен использовать, чтобы скрыть свой ответ. Следует отметить, что в настоящее время отправитель не ограничивается схемами PKS: он также может указать схему с общим ключом вместе с секретным паролем для инициализации схемы.
• Если отправитель намерен направить дополнительные сообщения получателю, он должна также указать дополнительную точку рандеву R2 (например, site_b. com) и стеганографическую схему S2.
Отправитель добавит эту информацию к сообщению M, а получатель, следуя обычному протоколу, восстановит сообщение и разместит свой ответ в точке рандеву R1, зашифровав по схеме S1.
Реализация
Установлен небольшой кластер машин для детального сбора данных, который контролирует один из самых популярных пинг-серверов (webblogs.com, где архив с пингами обновляется каждые пять минут) для поиска MIAB-сообщений. Когда сообщение будет найдено, его содержание публикуется на Twitter под именем пользователя @corked_bottle.
Внедрена описанная выше стегосистема. Количество ложных срабатываний по причине преобладания чистых (без сообщения) фотографий, скорее всего, запутает цензора. Поэтому отправитель может публиковать несколько чистых изображений на каждое фото, содержащее сообщение.
Поскольку сообщения шифруются с помощью RSA [7], они будут иметь высокую энтропию, которая может быть легко измерена с помощью машинного обучения. Тем не менее, наша стегосистема спроектирована так, чтобы выбирать для встраивания сообщения пиксели в шумных, сложных для изменения областях изображения, которые также имеют высокую энтропию.
Для обеспечения открытого представления о технологии, код опубликован в сети [8].
Оценка
MIAB полагается на способности получателя выбирать и обрабатывать все сообщения в блоге, созданные в Интернете в режиме реального времени. За период трех месяцев (72 дней), собрано 814667299 сообщения в блоге. Среднее количество сообщений за день 11314823, а самый высокий трафик - 13083878 сообщений в день.
В ходе дня было обнаружено, что скорость в блогах достаточно стабильна: в среднем 44 146 сообщений каждые пять минут с низким стандартным отклонением 3963. Примерно половина из сообщения в блоге содержат фотографии.
Производительность
Выбранный пинг-сервер выпускает каждые пять минут пинги, полученные за это время. Чтобы не отставать от частоты обновления сервера, необходимо об-
Одна из технологий обмена сообщениями в обход цензуры
рабатывать все сообщения в блоге, сигналы которых получены сервером, в то время как собираются следующие. Преимущество выбранного стего-алгоритма в том, что он быстро извлекает потенциально скрытые сообщения (в среднем 0.02с). Выполнение стеганографического извлечения и расшифровки RSA занимает в среднем 5 минут. Столько же занимает извлечение всех изображений из блогов. Но поскольку стеганографический тест связан с ЦП, а обнаружение блогов - с вводом/выводом, это две операции можно выполнять одновременно. Применив распараллеливание, общее время работы не стало превышать 5 минут при загрузке процессора до 90%.
Максимальная длина встроенного сообщения в данном случае 450 байт, так как чем больше скрытое сообщение, тем больше вероятность, что цензор пометит его как подозрительное.
Анализ безопасности
Главным аргументом против того, что цензор может предотвратить отправку сообщения через MIAB, является то, что он будет вынужден заблокировать большую часть интернета, что из-за протестов и экономических убытков он делать не станет.
Если цензор будет блокировать любой домен, посылающий сигнал, отправитель может подделать фиктивные пинги, сигнализирующие, что они являются любым доменом, заставив цензора добавить эти домены в чёрный список. Таким образом чёрный список вскоре станет бесполезным, а поддержание белого списка невыгодно из-за экономических издержек сверхблокировки.
Цензор может попытаться принудить хост закрыть MIAB-контент, но для этого ему нужно сначала определить этот контент, в чём ему должно мешать отрицание, и должен сделать это быстро, так как блог пинги отправляются в реальном времени.
Цензор может попытаться сокрушить MIAB путем создания большого количества фиктивных сообщений. Для предотвращения этого отправителю необходимо установить службу ограничения частоты публикации сообщений и блокировать нарушителей. Поисковые системы также определят подозрительное поведение цензора и отметят его сообщения, как спам, отправляя на пинг-серверы специальные спам-сигналы, данные о которых может позаимствовать отправитель.
Цензор может перекодировать изображения, чтобы удалить стеганографический контент. Но поскольку цензор не может найти все точки входа в блоги, он должен перекодировать каждое изображение пересёкшее границы его страны. Кроме того, можно использовать стегосистему, выдерживающую повторное кодирование.
Цензор может попытаться обнаружить аномальное поведение блогов. Поскольку сообщение публикуется вручную, сделать это будет сложно, кроме того, отправитель может использовать платформу блогов, которая поощряет частые сообщения с фотографиями (например, Instagram).
Цензор может попытаться запустить экземпляр MIAB, чтобы обманом вовлечь отправителя в общении с ним. Чтобы попытаться этого избежать, получатель должен опубликовать свой внешний ключ в интернете в различных форматах, чтобы цензор не смог найти, блокировать или изменить его.
Чтобы нарушить конфиденциальность, цензор должен получить доступ к открытому тексту сообщения отправителя. Сообщение шифруется с помощью открытого ключа, который знает только получатель. Если предположить, что криптографический примитив является безопасным, цензор не сможет прочитать сообщение.
УДК 004.773
Выводы
Представлен М1АВ-протокол для сопротивления цензуре, который работает при минимальных начальных требованиях. М1АВ может быть использован в качестве системы автономной связи. Продемонстрирован М1АВ с реализацией доказательства правильности концепции прототипа, и выложен код в открытый доступ. Развертывание М1АВ требует минимальную конфигурацию и ресурсов, так как оно опирается на хорошо зарекомендовавшие себя и популярные технологии: блог пинги и платформы блогов. Кроме того, М1АВ устойчив к атакам. Хотя мощный цензор и может нарушить М1АВ, но он заплатить за это высокую цену, ограждая население на территории его юрисдикции от большей части Интернета.
Литература
1. Burnett, S., Feamster, N., and Vempala, S. Chipping away at censorship firewalls with usergenerated content. In USENIX Security Symposium (2010).
2. Dingledine, R., Mathewson, N., and Syverson, P. Tor: The second-generation onion router. In Proceedings of the 13th conference on USENIX Security Symposium-Volume 13 (2004), USENIX Association.
3. Filler, T., and Fridrich, J. Design of Adaptive Steganographic Schemes for Digital Images. Proceedings of SPIE Conference (Feb. 2011).
4. Invernizzi L., Kruegel C., Vigna G. Message In A Bottle: Sailing Past Censorship. In Proceedings of the 29th Annual Computer Security Applications Conference (2013).
5. Von Ahn, L., and Hopper, N. Public-key steganography. In Advances in Cryptology-EUROCRYPT 2004.
6. Wustrow, E., Wolchok, S., Goldberg, I., and Halderman, J. A. Telex: Anticensorship in the network infrastructure. In USENIX Security Symposium (2011).
7. RSA. https://ru.wikipedia.org/wiki/RSA.
8. Message In A Bottle: Sailing Past Censorship. http://www.message-in-a-bottle.us/.
9. Luca Invernizzi UC Santa Barbara California, USA, [email protected],
10. Christopher Kruegel UC Santa Barbara California, USA, [email protected]
11. Giovanni Vigna UC Santa Barbara California, USA, [email protected]
12. New Orleans, LA, USA, 2013, http://dx.doi.org
