ТЕРМИНОЛОГИЯ 

We use cookies. Read the Privacy and Cookie Policy

Darknet, или дарк-сеть, или тёмная сеть – приватная файлообменная коммуникационная сеть, в которой соединение и обмен данными осуществляется только между узлами с установленным взаимным доверием.

Термин „взаимное доверие“ не имеет отношения к аналогичному понятию, принятому в быту. Установление доверия в тёмной сети есть взаимный обмен сертификатами между двумя узлами тёмной сети для последующего создания приватного шифрованного канала передачи данных. В действительности два участника с „установленным взаимным доверием“ в общечеловеческом смысле могут друг другу совершенно не доверять. Обмен сертификатами и соединение узлов создаёт дополнительную ветвь в топологии тёмной сети, через которую становится возможным анонимное туннелирование данных, предназначенных как для соседнего узла, так и для совершенно посторонних, или, иначе говоря, – удалённых узлов. Протокол туннелирования данных не даёт информации о количестве и характеристиках удалённых узлов; согласно парадигме f2f получить такие данные не представляется возможным ни при каких условиях.

Термин „приватная“ понимается в двух смыслах:

закрытая к доступу и использованию ресурсов третьими лицами – запрещён вход посторонним;

все данные передаются от узла к узлу в шифрованном виде – исключено прослушивание.

Установление приватного соединения в тёмной сети осуществляется согласно специально разработанному протоколу, определяющему сущность, свойства и характеристики сети. В основе протоколов всех существующих тёмных сетей обязательно лежит несимметричное шифрование и аутентификация. Дополнительные алгоритмические особенности протоколов установления доверия и обмена данными напрямую связаны с теми задачами, которые призвана решать коммуникационная сеть, и могут существенно отличаться от сети к сети.

В силу того, что darknet предполагает установление шифрованного соединения между конкретными узлами, иногда говорят, что это сеть доверенных участников, или сеть друзей, – friend-to-friend (f2f, ср. с p2p). Криптосеть RetroShare – darknet, тёмная сеть, в которой взаимное доверие устанавливается путём обмена персональными сертификатами между участниками. Здесь можно чётко отразить отличие f2f- от p2p-сетей:

в f2f-сетях – приватные сети – злоумышленник или любой посторонний человек не имеет возможности подключиться к интересующему его сетевому узлу (компьютеру пользователя), пока сам пользователь не изъявит свою добрую волю;

p2p-сети – публичные сети – не имеют возможность блокировать сетевые подключения, инициированные неизвестным лицами или организациями.

По факту f2f-сети вообще и RetroShare в частности гарантируют пользователю анонимность любой деятельности, благодаря специфической структуре и топологии (парадигма f2f), а также естественным образом ограничивают любые деструктивные практики со стороны третьих лиц. Анонимные p2p-сети сравнительно легко подвергаются анализу и сбору большого объёма данных, включая IP-адреса всех участников сети без исключения. Сказанное не означает, что деятельность участников очень просто деанонимизировать, но сам факт участия в такой сети скрыть невозможно.

Кроме криптоплатформы RetroShare, к классу функционирующих и развивающихся тёмных сетей можно отнести также FreeNet и GNUnet.

Внимание!

Несмотря на схожесть терминов, не следует путать тёмные сети (darknets[1], приватные f2f-сети) с тёмным Интернетом (утерянный Интернет[2], <статья удалена>) и с глубоким Интернетом (невидимый, удалённый Интернет[3]). Тёмный, или утерянный, Интернет – часть сети Интернет, к которой нельзя подключиться стандартными средствами и протоколами, существующими на данный момент. Утерянный Интернет, как правило, включает архаичные ведомственные коммуникационные сети, которые функционируют с 70-х–80-х годов до сих пор. Глубокий Интернет – часть сети Интернет, работающая по стандартным протоколам, однако не индексируемая поисковыми системами и неизвестная никому, кроме ограниченного круга лиц. С глубоким Интернетом в значительной мере связывается криминальная деятельность отдельных лиц или групп лиц в Интернете.

Друг – участник f2f-сети, с которым осуществлён взаимный обмен сертификатами, что алгоритмически означает установление шифрованного соединения с одним из узлов сети. Появление термина связано с самым ранним этапом развития криптосети, когда последняя действительно состояла только из людей, знакомых лично друг с другом.

В настоящее время термин „друг“ не соответствует технической подоплёке платформы, является анахронизмом и зачастую вводит пользователей в заблуждение относительно специфики, возможностей и потенциала RetroShare. Вместо термина „друг“ рекомендуется использовать термин, более точно соответствующий реальному положению дел, – „узел сети“, „доверенный участник“, „доверенный пир“ или просто „пир“.

Сертификат пользователя – текстовая структура, содержащая:

уникальный публичный ключ (2048-, 3072- или 4096-битное число);

идентификатор местоположения (128-битное число);

внутренний IP-адрес и порт доступа пользовательского компьютера;

внешний IP-адрес и порт доступа пользовательского компьютера;местоположение (текстовая строка).

Значение внешнего IP-адреса может быть произвольным и не соответствовать реальному IP-адресу. При необходимости установить соединение RetroShare имеет возможность определить реальный IP-адрес участника через DHT или сервис обнаружения. Внутренний IP-адрес полезен, если часть доверенных участников находится в локальной сети. Идентификатор местоположения является искомым значением в DHT, по которому устанавливается IP-адрес потенциального доверенного участника и осуществляется соединение. Местоположение задаётся с целью использования одного и того же публичного ключа на различных компьютерах.

IP-адрес, наличествующий в персональном сертификате, не является непосредственным элементом адресации в тёмной сети и необходим для установления приватного шифрованного TCP-соединения с сетью. Адресом получателя пакета является идентификатор публичного ключа шифрования, который может быть персонифицированным – в случае использования сертификата – или анонимным – в случае использования отдельной пары публичного и приватного ключей. Второй вариант задействован при анонимном туннелировании шифрованных данных, когда пара используемых ключей шифрования не привязана к персональному сертификату пользователя, а значит – не является деанонимизирующим элементом сетевого протокола.

Ключи, предназначенные для анонимного обмена, могут создаваться как в автоматическом режиме, например, при файлообмене, так и в ручном, например, при создании сообщения на форуме или в чате от имени анонимного идентификатора. Количество создаваемых анонимных пар ключей ничем не ограничено, вручную их можно синтезировать сколь угодно много.

В RetroShare версии 0.6 имеется несколько плодотворных отличий:

1) содержимое серификата нечитабельно человеком в силу специального перемешивания и кодирования входящих в него полей;

2) соединение может осуществляться через скрытые сервисы анонимной сети Tor; IP-адреса в этом случае отсутствуют; подробности смотрите здесь[4].

Следует отметить: как в регулярной сети RetroShare, так и в сети на основе скрытых сервисов Tor, анонимность файлообменной и коммуникационной деятельности пользователя гарантируется анонимным туннелированием данных по случайно перестраиваемым каналам передачи. Причины, по которым более целесообразно использовать скрытые сервисы Tor, перечислены в статье о подключении к сети (раздел «Целевая функция»).

Доверенное окружение – полное множество сетевых узлов, с которыми установлен приватный шифрованный канал передачи информации.

Ближнее окружение – объединение доверенного окружения и доверенных окружений каждого доверенного участника.

Ближним окружением ограничивается возможность отсылки электронной почты внутри сети. Файлообмен и, при наличии большого доверенного окружения, распространение форумов и каналов ближним окружением не ограничивается, а охватывает всю сеть. Публичные ключи (не сертификаты!) ближнего ближнего окружения доступны во вкладке «Массив ключей» глобального раздела «Друзья».

Анонимный туннель – виртуальный шифрованный канал передачи данных на основе цепочки связанных узлов с установленным взаимным доверием; ни источник информационного пакета, ни его получатель не знают, через какие узлы он проходит; сторонний наблюдатель не может определить, ни инициатора создания цепочки, ни целевой узел. Анонимное туннелирование данных предполагает использование ключей шифрования, не привязанных к персональному сертификату. При перестроении туннеля пара ключей шифрования автоматически изменяется на другую, даже если инициируется обмен данными с тем же узлом, что и ранее. Сущность и свойства анонимных туннелей в RetroShare идентичны цепочкам сети Tor, за исключением того, что в Tor длина цепочки ограничивается 6-ю узлами, а в RetroShare колчество промежуточных узлов в принципе ничем не ограничено и они постоянно изменяются в процессе передачи даже небольших файлов.

Анонимные туннели создаются и аннулируются без участия пользователей. В любой момент времени действующий туннель может быть разрушен вследствие отключения транзитного узла от сети RetroShare. Чем дальше топологически находятся друг от друга источник и приёмник тем больше вероятность разрушения туннеля и меньше вероятность создания стабильного канала передачи данных. Структурно данные, генерируемые различными сервисами RetroShare (чаты, почта, файлообмен и пр.) не отличаются друг от друга – везде используется GXS (RetroShare General eXchange System). Следовательно, одни шифрованные данные при передаче маскируют другие шифрованные данные, что не даёт противнику осуществить статистический анализ трафика. (Принцип, принятый в другой f2f-сети GNUnet.)

 Каналы объявлений контента или, кратко, каналы – сервис RetroShare в виде списка сообщений, каждый элемент которого содержит:

заголовок сообщения;

логотип сообщения;

текстовое тело сообщения;

информацию о размещаемом файле, файлах, коллекции;

элементы управления.

Право на публикацию в канале имеет либо только его создатель, либо создатель и некоторая группа доверенных участников, которым делегированы права на канал. Каналы могут быть как публичными, когда его содержимое распространяется от подписчика к подписчику, так и приватными, когда его содержимое доступно для просмотра лишь лицам, заранее определённым создателем.

Turtle-маршрутизатор – ключевой низкоуровненвый элемент ядра RetroShare, обеспечивающий создание и уничтожение туннелей, передачу поисковых запросов, функционирование чатов и форумов, распространение контента. В RetroShare v. 0.6 Turtle-маршрутизатор, называемый глобальным маршрутизатором, подвергся существенной переработке и в настоящее время имеет мало общего с его исходным алгоритмом.

Управление доверенными участниками. Задаётся: глобальная вкладка «Друзья» ? контекстное меню друга ? «Подробности о друге».

1) Доверие – термин, определяемый в модели „сеть доверия“, или web of trust. Никакой непосредственной роли в функционировании RetroShare не играет.

2) Анонимные туннели: принимать/отклонять запросы на создание туннеля от данного участника. Рекомендуется всегда принимать.

3) Обнаружение: выдавать/не выдавать данному участнику информацию о моих доверенных участниках. Очень полезная опция при добавлении кем-то доверенного участника из массива ключей. Решение о допуске принимается исходя из принятой концепции безопасности.

4) Форумы и каналы: разрешить/запретить отдачу имеющихся форумов/каналов данному доверенному участнику. Рекомендуется разрешать.

5) Прямой источник: разрешить/запретить прямой доступ к скачиванию файлов и обмену сетевыми пакетами, переносящими информацию о каналах/форумах/публикациях. Решение о допуске принимается исходя из принятой концепции безопасности.

Параметр „Обнаружение“ может быть установлен глобально для всех пользователей в разделе «Настройки ? Сервер ? Конфигурация сети».

ВАЖНО!

Пункт 5 играет особую роль в плане анонимизиции деятельности участника тёмной сети. По добавлению нового сертификата следует обязательно учитывать и контролировать установку этой опции. Две возможные ситуации:

1) Прямой доступ разрешён: при шифровании сетевого пакета используется приватный ключ вашего сертификата; ваше доверенное окружение знает достоверно, что вы – источник отдаваемого контента; ближнее окружение и остальные участники сети никакой информации об источнике пакета информации не имеют. Таким образом, вы не анонимный источник для вашего доверенного окружения.

2) Прямой доступ запрещён: при шифровании/дешифровании сетевого пакета используется случайно созданная пара ключей, не привязанная к вашему сертификату; ваше доверенное окружение, ближнее окружение и остальные участники сети не обладают информацией об источнике пакета. Таким образом, вы – анонимный источник для вашего доверенного окружения и других пользователей тёмной сети.

Необходимость прямого доступа вызвана тем, что в некоторых случаях целесообразно быть уверенным, что контент приходит от данного конкретного лица, а не анонимного источника.

Сетевая видимость:

В криптоплатформе RetroShare имеется возможность установить различный характер поведения клиент-сервера в сети – сетевую видимость. Тип сетевой видимости определяется исходя из принятой пользователем концепции безопасности.

1) Публичный режим – тип поведения клиент-сервера, при котором последний разрешает любому доверенному участнику трансляцию сведений о других доверенных участниках, а также задействован в распределённой хеш-таблице (DHT), что означает доступность информации об IP-адресе участника как пользователям сети, так и сторонним наблюдателям. Знание IP-адреса третьими лицами не означает, что им доступна передаваемая в криптосети информация: им будет известен лишь факт того, что данный пользователь, возможно, подключён к сети RetroShare. Никакой другой информации участие в DHT  не даёт. Доступ к передаваемым данным без знания приватного ключа участника исключён. Режим реализует надёжные механизмы для поиска и подключения новых доверенных участников и полезен на начальном этапе формирования группы доверенных. По достижению требуемого объёма доверенного окружения рекомендуется перейти в режим, исключающий работу с DHT: приватный или darknet.

2) Приватный режим – тип поведения клиент-сервера, при котором функционирует только сервис обнаружения, а IP-адрес пользователя не фигурирует в открытых сетях. Данный режим оптимален с точки зрения безопасности и эффективности функционирования клиент-сервера.

3) Обращённый режим: клиент-сервер участвует в распространении DHT, но не транслирует сведения о доверенных участниках. Режим используется временно при необходимости быстрого поиска и подключения к пользователю, когда в его сертификате указан ложный IP-адрес.

4) Darknet-режим, или режим „тёмной сети“: информация об IP-адресе пользователя криптоплатформы недоступна, клиент-сервер не транслирует никаких данных о своём доверенном окружении. Рекомендуется в случаях, когда необходима наивысшая безопасность работы в сети.

Сетевая активность. Задаёт величину и тип трафика, передаваемого через данный узел,  а также некоторые особенности поведения клиента:

Обычный режим: транслируется всё и с максимально возможной скоростью; поведение клиента – обычное.

Без анонимов: запретить транзит чужого трафика через узел. Режим уменьшает трафик и загрузку процессора.

Игровой режим: соответствует обычному режиму, но на экран не выводятся всплывающие окна.

Экономичный: клиент-сервер работает в обычном режиме, но ограничиваются все типы трафика.