Почему не может быть зашифрован трафик торрента?

Цель этого вопроса заключается в том, что я просто пытаюсь лучше понять природу P2P и сети и безопасность/шифрование. Я являюсь сторонним веб-разработчиком, и мои знания сетевого стека невелики, если мы идем ниже HTTP-запросов.

Говоря это, я пытаюсь понять, как трафик траффика "обнюхивает" интернет-провайдеры и идентифицированный контент. Я чувствую, что этот вопрос будет раскрывать мое невежество, но разве не возможно иметь какой-то протокол HTTPS-P2P, который не был бы таким читаемым?

Я понимаю, что данный пакет должен идентифицировать свой пункт назначения в сети на этом пути, но не мог настроить потоковые пакеты для ТОЛЬКО их адресата, чтобы никто не мог идентифицировать свою цель на этом пути, пока не достигнут его назначения? Почему это, по-видимому, неправомочная ситуация, когда интернет-провайдеры могут просто смотреть на трафик P2P и знать все об этом, но SSH чрезвычайно безопасен?

Ответы

Ответ 1

Кажется, что каждый ответ имеет другую интерпретацию вопроса или, скорее, другую предполагаемую цель шифрования. Поскольку вы сравниваете это с https, кажется разумным предположением, что вы ищете аутентификацию и конфиденциальность. Я перечислил несколько попыток снижения уровня "безопасности". Это ответный упорный вопрос, потому что вы отметили вопрос с помощью bittorrent.

SSL

Начиная с самой сильной системы, можно запускать bittorrent через SSL (он не поддерживается многими клиентами, но в полностью контролируемом развертывании это можно сделать). Это дает вам:

  • Аутентификация каждого участника-партнера
  • Возможность выбирать, какие сверстники помещаются в рой, подписывая свой сертификат с ройским корнем.
  • SSL-шифрование всех одноранговых соединений + соединений трекера

Трекер может аутентифицировать каждый подключенный к нему одноранговый узел, но даже если один или несколько одноранговых узлов просочились или догадались, существует еще одноранговая аутентификация, блокирующая любой несанкционированный доступ.

Bittorrent over SSL был реализован и развернут.

зашифрованные торренты

В BitTorrent (в uTorrent клиент) мы добавили поддержку симметричного шифрования торрентов на уровне диска. Все в движке bittorrent будет работать на зашифрованных блоках. Проверка целостности данных (sha-1 хэшей частей) будет выполняться на зашифрованных блоках, а файл .torrent будет иметь хэши зашифрованных данных. Зашифрованный торрент, подобный этому, обратно совместим с клиентами, которые не поддерживают эту функцию, но они не смогут получить доступ к данным (просто помогите рою и залейте ее).

Чтобы загрузить торрент в незашифрованном виде, вы должны добавить аргумент & key = к ссылке на магнит, а uTorrent расшифровывает и шифрует данные на границе диска (оставляя данные на диске в ясности). Любой, добавляющий ссылку на магнит без ключа, просто получит зашифрованные данные.

Также есть некоторые другие детали, такие как шифрование некоторых метаданных в файле .torrent. Например, список файлов и т.д.

Это не позволяет вам выбрать, к каким сверстникам присоединиться. Вы можете предоставить доступ к сверстникам, которых хотите, но поскольку это симметричный ключ, любой, у кого есть доступ, может пригласить кого-либо еще или опубликовать ключ. Это не дает вам более сильной аутентификации, чем у вас, когда вы нашли ссылку на магнит.

Это дает вам конфиденциальность среди доверенных сверстников, а также возможность иметь ненадежных сверстников с посевом.

шифрование протокола bittorrent

шифрование протокола bittorrent, вероятно, лучше описывается как обфускация. Его основное намерение заключается не в том, чтобы аутентифицировать или контролировать доступ к рою (он выводит ключ шифрования из info-hash, поэтому, если вы можете сохранить этот секрет, вы получите это свойство). Основная цель - избегать тривиального пассивного отслеживания и формирования трафика. Я понимаю, что он менее эффективен, чтобы не быть идентифицированным как bittorrent-трафик в наши дни. Он также обеспечивает слабую защиту от сложных и активных атак. Например, если DHT включен или соединения трекера не зашифрованы, легко узнать о хэш-информации, которая является ключом.

В случае частных торрентов (где DHT и обмен peer отключены), предполагая, что трекер запускает HTTPS, в нем нет никаких явных дыр. Тем не менее, мой опыт заключается в том, что для https-трекеров нередко есть самоподписанные сертификаты, а для клиентов - не аутентифицировать трекеры. Это означает, что отразить запись DNS для трекера может быть достаточно, чтобы ввести рой.

Ответ 2

Торрентовый трафик может быть зашифрован, и есть прокси-серверы VPN/SOCKS, которые могут использоваться для перенаправления трафика, то есть через другую страну через зашифрованный туннель перед подключением к одноранговым узлам. Тем не менее, даже если вы используете такие услуги, существует множество способов утечки трафика по боковым каналам (например, поисковые запросы DNS, небезопасные трекеры, скомпрометированные узлы), и большинство людей недостаточно осведомлены, чтобы следовать всей надлежащей безопасности/анонимности меры предосторожности. Кроме того, ограничение на общение только с клиентами, которые также принудительно шифруют, ограничит количество одноранговых узлов, к которым вы можете подключиться.

Ответ 3

Проблема, которую вы рассматриваете, - это различие между двухточечным шифрованием, в котором есть только два одноранговых узла в частном контексте и неограниченное количество одноранговых узлов в общедоступном контексте.

Расшифровка любым из публичных сверстников может быть осуществлена ​​только в том случае, если где-то есть праймер - ключ дешифрования, доступный для всех публичных одноранговых узлов. В случае защиты от интернет-провайдеров они также имели бы доступ к этому ключу, если бы не было какого-то протокола исключения, чтобы делиться только ключом среди всех остальных. Это непрактично.

В соединении "точка-точка" согласование ключа TLS в конечном итоге создает ключ шифрования сеанса, который разделяется обоими одноранговыми узлами. Ключ является псевдослучайным и зависит от сеанса. Данные, используемые в Интернете таким образом, были бы непригодны для клиентов, которые не участвовали в переговорах с ключами.

Ответ 4

Трафик Bittorrent (в частности, одноранговый протокол, используемый для передачи основной части данных) может быть зашифрован. Но это тип шифрования, который не обеспечивает надежные гарантии конфиденциальности/аутентификации, аналогичные (но не идентичные) для HTTP2 оппортунистическое шифрование

Связь Client-Tracker может быть зашифрована с помощью HTTPS.

Эти два компонента дают вам рабочий, хотя и ограниченный, битторрентный стек, который зашифрован и содержимое которого не видно пассивному наблюдателю.

Интернет-провайдеры могут по-прежнему идентифицировать его как "bittorrent, возможно" на основе данных бокового канала (размеры пакетов/шаблоны трафика, домены, связанные с контактами,...), но они не будут точно знать, что передается.