web-dev-qa-db-ja.com

エンドツーエンドで暗号化するTCP / IPの代替はありますか?

非常に低レベルで暗号化する通信プロトコルがあった場合、これは完全に盗聴の問題を完全に解決します。

encryptionnetworkprivacytcp
4
rubo77

非常に低レベルで暗号化する通信プロトコルがあった場合、

あります: IPSec

これにより、盗聴の問題が完全に解決されます。

しません。

19
gowenfawr

あなたが探している答えはBitmessage、またはそのように機能するものです。

エンドツーエンドの暗号化はソリューションではありません

考えるメタデータがあります。オランダのシステムを盗聴する:令状なしでは違法です。しかし、警察はあなたの住所と名前、あなたの電話番号、あなたが電話しているとき、あなたがおおよその場所(私が想定している携帯電話の塔に基づく)、そしていつ電話が終了したかを保証なしに見ることができます。それはたくさんの情報です。それが、このような低レベルの暗号化を探している理由だと思います。IPヘッダーも暗号化されており、誰と通信しているのかを見つけることができません。

残念ながら、それがインターネットの仕組みです。 ISPや警察などの仲介者がパケットの送信先を判断できない場合、パケットはそこに届きません。誰もが誰とでも話すメッシュネットワークをセットアップする必要があり、復号化キーを持つピアのみがメッセージを解読できます。

...これはまさにBitmessageが行うことです;)

ただし、低レベルの暗号化のアイデアをもう少し詳しく見てみましょう。

とにかく、どうやってエンドツーエンドの暗号化を設定しましたか?

Skypeはエンドツーエンドの暗号化を約束しました。私が聞いている間彼らはそれをうまくやったが、今日ではそれを盗聴することが可能である。どうしますか最初に、エンドツーエンドの暗号化がどのように機能するかを知る必要があります。

あなたの目標は、多くの関係者(あなたとあなたのすべての連絡先)の間で、安全でないチャネル(つまりインターネット)を介して個人情報を交換することです。これを行うには、直接会って暗号鍵を交換する必要があります...しかし、あなたの連絡先の1人はオーストラリアにいて、あなたはヨーロッパにいるので、私たちはもっと良いものが必要です。

誰かが非対称暗号化を考案しました。公開鍵と秘密鍵を生成し、公開鍵のみを世界と共有します。その後、誰でも(公開鍵を使用して)メッセージを暗号化できますが、(秘密鍵を使用して)自分だけがメッセージを復号化できます。公開鍵を使用してメッセージを復号化することはできません(少なくとも、現在使用しているスキームでは使用できません。データに署名することは、別のストーリーと異なる概念です)。

今、私たちは大きな問題を抱えています:誰かに私の公開鍵を送るにはどうしたらいいですか?そして、その人が私がそれを送信した本人であることを証明できますか?

ほら。これが、エンドツーエンドの暗号化が嘘である理由です。 Skypeはあなたが望む任意のキーをあなたに与えることができます、彼らは内容を読んだ後、正しい公開キーを使ってそれを再暗号化し、それをあなたの連絡先に送ることができます。盗聴が完了しました。

では、Bitmessageはどのように優れているのでしょうか。

実を言うと、これは、従来の単純な非対称暗号化ほど優れているわけではありません。ただし、キーの交換に成功したら 帯域外 、メッセージの内容の両方が安全です。 Bitmessageメッセージを送信していることと、メッセージの大きさは確認できますが、送信者と受信者は確認できません。

わかりました。なぜまだ全員が使用していないのですか。

メッシュネットワークがうまく機能していれば、私たち全員がそれを使用することになります。問題は、ネットワークをあふれさせることは信じられないほど簡単ですが、試さなくても、すべてのhttpsトラフィックがビットメッセージトラフィックに切り替えられた場合、ネットワークは完全にあふれます。 Bitmessageは、メッセージの送信を許可する前に一定量の作業を要求することでこれを「解決」します(メッセージが大きくなるほど、必要な work が多くなります)が、大規模システムにはあまり適していません。

結論?

Torは大丈夫です。問題は、多数のノードを所有している場合、一部のトラフィックを解読する合理的な可能性があることです。 NSAはTorに非常に興味があり、多数のノードを所有していることもわかっています。

全体として、究極の解決策はなく、優れたセキュリティ研究者なら誰でも同じことを教えてくれます。すべてに長所と短所があるさまざまなシステムがあります。あるケースではうまくいくものもあれば、他のケースではうまくいくものもあります。

8
Luc

最良の代替案は、ピアツーピアセッションでの通信の量子ロッキングですが、まだ開発中であり、非常に高価であり、現在のところ距離制限があります

1
user43126

Cjdns

Cjdns-IPv6(これは Enigmabox によって使用されます)は、ネットワークアドレスの割り当てに公開鍵暗号を使用し、ルーティングに分散ハッシュテーブルを使用して、暗号化されたIPv6ネットワークを実装します。 The New Scientistのレポート 「cjdnsは、誰もが使用できる共有IPアドレスを介して他のコンピューターに接続させる代わりに、コンピューターが互いに暗号化して検証した後にのみ、互いに通信できるようにします。だれもあなたのトラフィックを傍受する方法がないことを意味します。」

私は試してみませんでしたが、これは有望な解決策のようです

0
rubo77