Анонимность реальна? При каких условиях сетевая анонимность может взять реванш?
Введение
Скорее всего вы, как читатель, а может даже как исследователь, неоднократно могли видеть и слышать такие высказывания, как: анонимности больше нет, анонимности никогда не было, достичь анонимности в сети невозможно, анонимность просто миф, анонимность существует до первого звонка в гос. органы и т.д. Все эти утверждения действительно не беспочвенны, каждое из них оперирует эмпирическим опытом, который хоть и показывает свои закономерности, формирует статистику, ссылается на конкретные факты, подкрепляется ими, но всё равно никак не опровергает возможности создания действительно анонимной системы, ровно также как математическая функция, постоянно приближающаяся к своему пределу, никогда не достигает его. В этой статье я постараюсь уделять своё внимание преимущественно сетевой анонимности и показать, что таковая может быть реальной, хоть и при довольно сложных условиях и обстоятельствах.
Анонимность
Термин анонимность в общем представлении интуитивно понятен, но при более конкретных вопросах или при более углубленном анализе часто выясняется, что первичная трактовка либо ошибочна, либо неполна, и как следствие, не подходит под все возможные описания анонимности. Так например, на википедии указано следующее:
Анонимность (греч. ἀνωνυμία «безымянность» от ἀνώνυμος «безымянный») — какое-либо деяние, совершённое без указания имени того, кто его совершает. Прилагательное «анонимный» используется для описания ситуаций, когда имя действующего лица неизвестно. Идея анонимности заключается в невозможности идентифицировать человека, при этом анонимность может быть связана с понятиями конфиденциальности и свободы.
Эта трактовка в большинстве случаев действительно верна, но всё равно порождает некоторые противоречия для частных случаев:
Так ли важно скрытие идентификации для анонимности? Предположим, что существует некая гипотетическая анонимная сеть, в которой невозможно выявить факт отправления и факт получения информации. Пусть условием является существование трёх участников и наблюдателя, способного просматривать весь трафик сети. Все три участника известны наблюдателю, и более того, все участники также известны друг для друга, и каждый может вступать в разговор 1к1 с другим участником в любой момент времени. Перестаёт ли сеть являться анонимной, если внешний наблюдатель неспособен увидеть даже факт общения участников сети? Если предположить, что да — перестаёт, тогда каким термином можно описать сокрытие факта реальной коммуникации? Только анонимностью…
Понимается ли под каким-либо деянием — генерация шума (спама)? Если да, тогда человек становится неанонимен даже в тех условиях, когда информация не только не была никем прочитана, но и даже теоретически не способна быть прочитанной из-за своего отсутствия. Предположим далее, что шум генерируется каждым участником сети раз в пять секунд, и при этом, когда у какого-то участника появляется сообщение для отправки, он его шифрует и отправляет в сеть вместо истинного. В таком случае, если на первый вопрос об идентификации вы ответили «сеть не перестаёт являться анонимной» и считаете, что генерация шума нарушает анонимность, то поздравляю — вы противоречивы, т.к. условие кратковременного замещения ложного трафика на истинный позволяет противостоять наблюдателям видеть факт общения,
Обязательно ли совершать какое-либо деяние, чтобы быть анонимным? Предположим, что существует некая гипотетическая анонимная сеть, в которой лишь и только получатели являются анонимными. В этой системе, получатели никогда не генерируют сообщения и, как следствие, никогда не отправляют их в сеть. Пусть существует отправитель сообщения и два возможных получателя. Сообщение будет отправлено сразу двум получателям, но лишь один из них сможет его прочитать (расшифровать), для другого получателя содержание сообщения останется неизвестным. Предположим также, что априорная вероятность нахождения истинного получателя равна ½. Перестаёт ли сеть представлять анонимность получателя, если внешний наблюдатель неспособен определить кому оно предназначалось? Если всё же перестаёт, тогда при увеличении числа потенциальных получателей с 2 до N будет ли возрастать анонимность? Если ответ также — нет, и при этом на первый вопрос об идентификации — вы ответили как «сеть не перестаёт являться анонимной», то поздравляю — вы противоречивы, т.к. вопрос об анонимности начинает лежать лишь в плоскости идентификации получателей.
Основной проблемой такого определения анонимности является его привязанность к конкретному участнику события, либо посредством сокрытия его идентификации, либо посредством совершения им какого-либо деяния. И здесь стоит понимать, что анонимность не может трактоваться лишь одним участником, т.к. при отсутствии каких-либо связей и соединений участник априори не способен создать такую информацию, которая бы его в последующем деанонимизировала. Лишь при создании связей будет как создаваться последующая проблема анонимности, так ими же и решаться.
Далее, если смотреть на ту же википедию, то можно увидеть ещё некоторые интересные рассуждения, приводящие к путанице частных (хоть и обширных) и общих случаев:
Под (Интернет) анонимностью понимают процесс защиты идентификатора и данных о местонахождении пользователя. <...> [Ни идентификатор, как было показано ранее, ни местонахождение пользователя не являются сетевой анонимностью. Было бы разумно добавить уточнение по типу «понимают чаще всего»]
<...> Многоуровневое шифрование и распределённый характер анонимных сетей, устраняя единую точку отказа и единый вектор атак, позволяют сделать перехват трафика или даже взлом части узлов сети не фатальным событием. [Некоторые анонимные сети не основываются на многоуровневом шифровании (DC-сети, QB-сети), и даже более того, некоторым из них не важен распределённый характер для своего безопасного функционирования]
Из всего этого следует тот простой факт, что под анонимностью следует понимать сокрытие истинных связей между множеством отправителей и получателей от множества наблюдателей. Такое простое определение способно решить те возникшие противоречия, которые появились в ходе нашего небольшого анализа, сохранив при этом рамки применения самого термина.
Простота определения ничего не говорит о том, что ситуации анонимизации и деанонимизации точно также должны быть простыми. На практике скорее всё будет иначе. Предположим, что существует некий участник, который создаёт асимметричную пару ключей (Kpub, Kpriv) для криптовалюты X. Приватным ключом Kpriv он подписывает транзакции и далее отправляет их на один из узлов сети под идентификатором публичного ключа Kpub. Пусть под задачей деанонимизации будет пониматься далее раскрытие связи между Kpub и реальной личностью (паспорт, номер телефона, IP-адрес и т.п.). При этом, как мы видим, в таком сценарии отсутствует задача поиска получателей, а как следствие и связи между отправителем и получателем. Нас волнует здесь лишь факт отправления, что на первый взгляд, противоречит выше заданному определению анонимности. Но вспоминаем, что если бы у нашего участника не было бы никаких связей с другими узлами, тогда и раскрытие связи между Kpub и реальной личностью стало бы неосуществимой задачей. В таком случае, мы понимаем кто является отправителем Kpub, осталось лишь разобраться кто является получателем (получателями) и наблюдателем (наблюдателями). Получателем является узел, принявший транзакцию. Может ли узел быть одновременно наблюдателем? Да, может. Из этого следует, что он априори будет способен нарушить анонимность связи отправитель-получатель за счёт знания IP и Kpub отправителя. Предположим далее, что участник будет использовать проксирование к узлу. Таким образом, получатель уже не сможет так легко связать Kpub с IP. Теперь встаёт такой вопрос, может ли существовать наблюдатель не принадлежавший к узлам сети в роли получателей? Да, может. Если транзакции отправляются к узлу без шифрования, то провайдер связи будет иметь возможность прослушать передаваемый Kpub от конкретного IP к узлу сети, определив последнего сервисом связи. Если бы Kpub улетал образно в /dev/null и не был бы никак связан с криптовалютой X, то и от самой связи IP и Kpub не было бы пользы (задача равносильна отправлению шума). Получатель становится удостоверением того, что отправитель обращается к конкретной услуге, и как следствие, наблюдателю становится интересна сначала деанонимизация связи между отправителем и получателем, и лишь потом выявляемая связь между IP и Kpub. А что если между отправителем и узлом присутствует VPN-сервис, который расположен вне поля видимости провайдера связи — возможна ли деанонимизация связи между отправителем и получателем? Да, возможна, если криптовалюта X открыта. Наблюдатель может смотреть за состоянием криптовалюты X, или вовсе может быть узлом напрямую несвязанным с узлом принимающим транзакцию, и в любом случае, он получит транзакцию, а далее сможет сверить время запроса к VPN-сервису со стороны провайдера связи и время появления новой транзакции, вследствие наблюдения за состоянием криптовалюты. За счёт подобной временной синхронизации будет далее нарушена анонимность связи между отправителем (обладателем ключа Kpub) и получателем (сервисом связи), вследствие которой далее будет найдена связь IP и Kpub. Временную синхронизацию можно скрывать задержками в передаче сообщений на стороне VPN-сервиса. Но что если теперь VPN-сервис находится в кооперации с провайдером связи? В таком случае последний будет знать точную задержку и воспроизводить атаку синхронизации по времени. Далее, можно выставить цепочку VPN-сервисов, на каждом из которых будет своя задержка. В таком случае, наблюдателю придётся узнать весь список VPN-сервисов и их конкретные задержки. Такую цепочку событий, причин и следствий можно продолжать ещё очень долго, прорабатывая и закрывая все возможные точки опоры, но во всех этих случаях вполне ясно видна составляющая в необходимости деанонимизации связи между отправителем и получателем со стороны наблюдателя, и лишь посредством такого раскрытия будет найдена далее другая связь в лице IP и Kpub.
Вот поэтому, исходя из всего вышеописанного абзаца, большинство людей вполне оправданно начинают считать, что анонимность — это больше миф, чем правда, т.к. существует очень много оговорок, условий, случайностей, которые могли бы повлиять на деанонимизацию связи. Всё это ещё и подкрепляется огромным количеством случаев деанонимизации в большинстве государств, по разным причинам и с различными технологиями.
Симулякр анонимности
Существовала ли когда-нибудь анонимность? Не будем уходить в дебри истории, т.к. о таком вопросе можно начать рассуждать буквально с палеолита, когда отдельные особи втайне от своих общин могли встречаться и обмениваться информацией. Нас же более всего будет интересовать вопрос о сетевой анонимности, а конкретно вопрос об анонимности при зарождении сети Интернет.
Если рассматривать эволюцию анонимности, то можно заметить интересную и противоречивую тенденцию: с одной стороны средства для обеспечения анонимности постоянно разрабатывались и улучшались (появление новых криптографических протоколов, более производительные машины, высокоскоростные каналы связи), с другой стороны, по мере развития, всё меньше людей начинали участвовать в таковых коммуникациях, всё меньше заботились о какой бы то ни было анонимности и безопасности. В чём же причины такого противоречия? Давайте попробуем разобраться.
Интернет только появился. Для всего человечества это стало технологической революцией. Люди могли общаться друг с другом и обмениваться информацией невзирая на сотни и тысячи километров их разделяющие, несмотря на прочерченные границы государств, несмотря на различие в языках, культуре, этике, невзирая на все политические, экономические, философские взгляды и мировоззрения. Это было время неограниченной свободы выражения мыслей, а Интернет, в то время, считался буквально олицетворением анонимности. Лишь сегодня мы можем с уверенностью сказать, что анонимность Интернета была сильна ровно настолько, насколько была слаба цензура и контроль государств и корпораций. Анонимность выражалась не столько безопасностью самой технологии, как все тогда считали, а сколько неадаптированностью государств к настолько массовому явлению и несформированным зачатком будущих транснациональных корпораций в области IT.
Интернет того времени — это симулякр анонимности, симуляция огромного масштаба, в которую смогли поверить не только обычные люди, использующие Интернет, но и чиновники, полицейские, целые армии и государства. Общество смогло создать настолько сильный и влиятельный симулякр, что он буквально отражался на реальность, проецировался на неё, искривлял её, и порождал самим своим существованием совершенно новую — гиперреальность, в которой могли воцаряться разного рода преступления: кражи, буллинги, мошенничества, угрозы, распространение вредоносного ПО, распространение детской порнографии, распространение руководств по изготовлению наркотиков, огнестрельного оружия, взрывчатых веществ, и т.д. И в это же самое время, гос.структуры не могли с этим ничего поделать, т.к. самолично верили в абсолютность такого симулякра, в реальность такой анонимности.
Но как показала история, симулякр не мог жить вечно, он стал ослабевать под натиском развития всё более новых технологий, всё более новых рынков e-commerce, всё более сильной концентрации связей, повлекшей за собой необходимость собирать всё больше и больше данных о потребителях собственных сервисов. Продажа товаров в свою очередь требовала новых площадок и дополнительных затрат на рекламу, которая сначала публиковалась в газетах, журналах, радио, телевидении и под конец в самом Интернете. Постоянно возрастаемое количество пользователей форумов и социальных сетей приводило к необходимости в постоянной поддержке сервисов, чему способствовала реклама товаров и сервисов с товарами. Формирование такого содружества сервисов привело неминуемо к созданию специализированных рекламных сервисов, главной фишкой которых стало использование механизма таргетированной рекламы. Ранее разрозненная идентификация потребителя на множестве сервисов становилась с той минуты единой.
Государства в свою очередь, наблюдая за технологическими и коммерческими новшествами, брали на вооружение данную тенденцию к централизации ресурсов. Компании-гиганты со временем, в ходе формирования своих монополий, становились всё более подконтрольны и лояльны правительственному аппарату. Государства срастались с корпорациями, корпорации сращивались с государствами. И в таком союзе начинались более интенсивные внедрения новых технологий направленных на точечную идентификацию людей: номера телефона привязанные к паспортным данным, авторизация сервиса посредством другого сервиса, удаление альтернативных типов регистраций без номеров, а также блокирование безопасных или неподконтрольных конкурентов / сервисов, запреты или ослабление криптографии, вживление бэкдоров, необходимость выдачи ключей шифрования, сведение децентрализованных систем к централизованным, выписывание штрафов, запугивание администраторов, уголовные преследования пользователей и т.д. и т.п. На этом этапе необходимо признать, что симулякр анонимности был полностью и окончательно умерщвлён. Государства и корпорации одержали вверх над Интернет цензурой.
Реванш анонимности
На первый взгляд кажется странно говорить о каком бы то ни было реванше анонимности, когда на деле анонимности не существовало вовсе. Анонимность присутствовала лишь в отсутствии своего контроля со стороны государств и корпораций, но таковое отсутствие контроля могло быть достигнуто разными способами: при помощи совершенствования анонимности, при помощи уничтожения государственности, при помощи противоречия корпораций.
Совершенствование анонимности
В настоящее время существуют ряд сетей с теоретически доказуемой анонимностью: DC (проблема обедающих криптографов) [Herbivore, Dissent, PriFi], QB (задача на базе очередей) [Hidden Lake], EI (задача на базе увеличения энтропии). Их основное преимущество, в сравнении с сетями на базе Proxy (Crowds) или Onion (Tor, I2P, Mixminion) маршрутизаций, заключается в невозможности осуществления любых пассивных наблюдений, в том числе и со стороны глобального наблюдателя. Это открывает большой простор для исполнения безопасных / анонимных коммуникаций и протоколов.
С другой стороны такие сети имеют центральную проблему в своём проектировании — проблему масштабирования. Если гипотетически предположить, что проблема масштабирования будет решена при сохранении теоретической доказуемости, тогда появится возможность написания клиент-безопасных мессенджеров, социальных сетей, форумов, файлообменников и т.д., которые бы не позволяли корпорациям и государствам использовать личные данные в своих экономических и политических интересах.
Тем не менее у такого подхода останется ещё одно негативное свойство — враждебность государств и монополий к безопасным и анонимных приложениям. Если технология окажется настолько хорошей, как со стороны её лёгкости использования, так и со стороны её безопасности / анонимности, и при этом она привлечёт к себе много общественного внимания, то последует ряд закономерных блокировок, штрафов, запугиваний, административных и уголовных преследований, и всего прочего, что свойственно в массе своей аппарату насилия, т.е. государству.
Уничтожение государственности
Под уничтожением следует понимать не ликвидацию и не умерщвление государства в прямом смысле этого слова, как предполагается в течении анархизма, а её планомерное и постепенное отмирание, что более похоже на коммунистическое течение мысли. Простыми словами, уничтожение государственности, посредством её ослабления и последующего отмирания, способно понизить модель угроз для анонимных сетей, что приведёт к необязательному применению теоретической доказуемости в сокрытии связей. В таком случае мы решаем проблема масштабируемости за счёт радикального изменения внешних факторов среды, влияющих на уровень её централизации.
Отмирание государства, в свою очередь, является очень болезненным и длительным процессом, предполагающим изменение экономических, политических и социальных основ общества посредством множества революционных скачков и эволюционных преобразований. Это этап, при достижении которого, общество способно будет в действительности узаконить право на анонимность, но не посредством писанных и постоянно нарушаемых законов, а посредством экономической невозможности повторного создания такого же уровня централизации, который был возможен ранее.
Противоречие корпораций
Компании и корпорации обладают бесконтрольным свойством и желанием к собственному расширению, к захвату новых рынков, к концентрации средств и к монополии. Это движение вытекает из самой сути всех централизованных систем, где контроль и масштаб поставлены в абсолют, а их достижения постоянно поощряются как с экономической точки зрения — рекламными сервисами, так и с политической точки зрения — лояльностью государств. Но и в этом же развитии мы можем увидеть зерно противоречия между концентрацией и безопасностью: чем больше компания развивается, тем больше она захватывает рынков, углубляется в захваченные области и увеличивает численность работников. С одной стороны, проекты компании становятся всё более разношёрстными, всё более масштабными и значимыми. С другой стороны, увеличенная численность рабочих повышает шансы на компрометацию корпоративной информации, т.к. самими же сотрудниками становятся экономически выгодны такие утечки из-за общественной значимости и признанности компании в которой они находятся. Как бы корпорации не пытались бороться с данным явлением посредством систем слежения и мониторинга — мы видим, что утечки всё также продолжают происходить в самых крупных компаниях и проектах. С такой точки зрения можно предполагать, что у компаний не хватает ни юридических сил, ни технических возможностей, чтобы постоянно следить и сдерживать утечку информации. И таким образом, с постоянным увеличением численности рабочих централизованность компании растворяется в самой себе, она более не может эффективно контролировать безопасность собственных процессов от разглашения и компрометации.
С другой стороны монополии очень ярко, быстро и интенсивно реагируют на появление новых рынков, захват которых поможет им зарабатывать ещё больше. При этом идеология лежащая в новых областях ни сколь не интересует магнатов. Если идея им несвойственна, инородна, но всё же она позволяет увеличивать капитал, то корпорации будут приспосабливаться даже к ней, будут вкладываться в неё. Так случилось с рынком криптовалют и децентрализованных технологий. Системы которые буквально ставят в качестве своей долгосрочной цели ликвидацию централизованных механизмов начинают финансово поддерживаться монополиями. Это интересное поведение, т.к. с одной стороны финансовый вклад в определённую децентрализованную технологию может делать её более лояльной и подконтрольной корпорациям, с другой стороны корпорации начинают самолично делегировать свои силы в русло развития децентрализованных систем и приложений. Финансовая поддержка децентрализованных систем ранее являлась основной проблемой, сейчас же она становится всё более реальной и последовательной.
Таким образом, движение корпораций к постоянной монополизации рынка систематично сопровождается утечками информации, нарушением безопасности и конфиденциальности, не только внутренних данных самой компании, но и персональных данных её же служащих, а появление нового рынка в лице финансовой децентрализации сопровождается планомерным перетеканием капитала из сферы централизованной в децентрализованную, также лишая полноценного контроля. Всё это может стать одной из причин последующего улучшения безопасных, а далее и анонимных коммуникаций.
Заключение
В заключение нужно сказать, что три вышеописанных способа не могут рассматриваться как единственные в развитии анонимности, но при этом, они же могут стать наиболее существенными, точно и безвозвратно меняющими мир, в котором приватность и анонимность станут уже не просто пустыми словами.