2
本文作者: 恒亮 | 2016-07-12 18:12 |
由于众所周知的原因,国内的小伙伴如果想去外面看看,就不得不借助于VPN、GoAgent及其变种或者花样繁多的代理服务,其中Tor(The Onion Router)这款免费、开源的网络匿名软件,一直占据着一个非常重要的位置。
从2002年9月份发布以来,Tor项目一直以绝对的匿名性和安全性著称(仅限于数据内容的安全)。它的基本实现原理是将用户要发送的数据包进行多层加密(从密码学上讲不存在破解的可能性),然后随机、依次的将数据包发送到Tor网络中的若干个中间结点,最后才到达真正的目的地。如此一来,攻击者就不可能破译数据包的内容,也不会知道数据包的源头和目的地究竟是谁,由此实现了其匿名性和安全性。
由于匿名和安全的特性,因此除了“搭梯子”这件事之外,Tor的应用范围非常广泛。除了不法分子的不法用途,社会活跃分子也会利用Tor来规避审查,军方会用Tor进行安全通信,家长使用Tor保护孩子和家庭隐私,新闻界用Tor来进行新闻背景的调查和信息来源的核实等等。
插一句题外话。此前,还是由于众所周知的原因Tor的国内结点被集体封禁,不过自从加入Meek混淆网络的插件,据坊间传闻新版本的Tor又能正常使用了,感兴趣的小伙伴们可以自行搜索教程并尝试。
言归正传。由于Tor随机地在结点之间传输数据包,这一点虽然保证了匿名性,但其实是有缺陷的。即当攻击者掌握了大量结点之后,虽然Tor会随机挑选结点,可是奈何所有结点都在掌控之中,那么如此一来攻击者虽然截获不了数据包的内容(因为多层加密的存在),却有可能替换内容,比如填入一些垃圾信息,同时,用户发送数据包的源头和目标节点也被暴露了,这样一来所谓的匿名性就不复存在。另一方面,由于多层的加密和多个结点(Tor规定至少3个结点)的转发,大大降低了连接速度,影响了用户体验(关于速度慢这一点,虽然Tor的开发者已经做出大量努力,但其实还是很慢的,因为转发这个机制无法从根本上避免)。
针对Tor的上述缺陷,来自MIT(麻省理工)的毕业生Albert Kwon和他瑞士洛桑联邦理工大学的小伙伴们日前共同攻克了该难题,他们在Tor的基础上进行了改进和升级,并将新的软件命名为Riffle。
Albert Kwon团队在Tor的基础上进行了两点主要改进。
首先,在Riffle网络的数据包被中间结点转发之前,当前的包持有者会修改其来时路径。比如数据包从A经过B发送到C,这时C在转发出去之前,可能将路径修改成从B经由A发送到C,然后再发送到下个结点,这样一来就避免了被追踪。可能有小伙伴会问,那远端回复的数据怎么回来?这就是Tor本来的机制问题了,因为本来人家就不是按套路原路返回的。
其次,Riffle网络的中间结点在转发数据包时,加入了广播机制和数字签名。所谓广播机制就是指数据包在发送到下个随机结点时,不会只发送到唯一的一个点,而是以广播的形式覆盖到所有可达的结点,这样一来攻击者就更加无法追踪。此外,Riffle在数据包的多层加密基础上又加入了数字签名,即转发之前会在数据包里追加一个校验码,这样一来攻击者如果恶意替换了数据包内容,那么接收者就能马上察觉,避免了数据的恶意串改。
其实,上述的改进技术在几年之前就已经出现,可是由于广播机制太浪费带宽,而数字签名校验又增加了系统复杂度和结点的硬件实现难度,因此并未被应用到Tor之中。可是Albert Kwon团队攻克了其中的技术难点,成功改进了Tor。(关于具体的实现,技术宅可以点击这里,详细了解Riffle的实现机制)
关于转发引起的延时,Riffle团队的理念是尽量减小网络的规模,即减少转发的次数。虽然转发次数的减少意味着安全性的降低,然而大大增强了传输的速度,加上Riffle在安全性上本身的改进,所以总体上讲Riffle比Tor的用户体验要提升了很多。据Albert Kwon表示,在千兆局域网的测试环境下,如果数以百计的用户之间共享文件,Raffle的理论速度可以达到100KB/s,如果10万用户同时发布微博,延时可以控制在10s之内。(其实还是很慢的说)
目前,还没有Riffle的公测版提供下载,Albert Kwon和团队成员表示还需要精简和优化代码。他们也没有想过将项目商业化或者有一天能替代Tor的地位,虽然体验相比Tor会有提升,但他们表示相比Tor的全球化大范围布局,Riffle应该是一款小范围局域网之内的匿名安全软件。
Albert Kwon表示,虽然Tor和Riffle的设计理念多有不同,不过如果将他们作为彼此的补充,或许能给互联网的匿名性和安全性提供更好的解决方案。
来源:techcrunch,jobbole,shazidoubing
雷峰网原创文章,未经授权禁止转载。详情见转载须知。