Changeset f83d523 in libros


Ignore:
Timestamp:
Sep 29, 2014, 6:17:25 PM (10 years ago)
Author:
aaraujo <aaraujo@…>
Branches:
master, revisionfinal
Children:
c3ae3cc
Parents:
c84cd77
Message:

Correcciones del capítulo 3.

Location:
maquetacion
Files:
3 edited

Legend:

Unmodified
Added
Removed

  • maquetacion/acronimosaaraujo.tex

    r15d715c rf83d523  
    7575\acro{PDF}{Portable Document Format}
    7676
     77\acro{PET}{Privacy Enhancing Technologies}
     78
     79
    7780\acro{PIN}{Personal Identification Number}
    7881

  • maquetacion/bibliografia.bib

    r15d715c rf83d523  
    796796}
    797797
    798 @online{cenditel_anonimato,
     798@Electronic{cenditel_anonimato,
    799799author = {Endira Mora et. al},
    800800title = {Gestión de Anonimato},
    801801year = {2014},
    802 url = {https://tibisay.cenditel.gob.ve/gestionanonimato/wiki/PlanDeTrabajo%3A},
     802howpublished = {https://tibisay.cenditel.gob.ve/gestionanonimato/wiki/PlanDeTrabajo%3A},
    803803}
    804804

  • maquetacion/capitulo3/capitulo3.tex

    rf0e96be rf83d523  
    77\begin{bibunit}[unsrt]
    88
    9 Tal como se plantea en \cite{cenditel_anonimato}, se puede indicar que la Privacidad se trata de una necesidad natural inherente de los seres humanos, la cual responde a la libre vo\-lun\-ta\-rie\-dad de escoger con quienes se quiere relacionar, o se trata de elegir la información que se desea sea conocida en esa relación. Esto se deriva de la intimidad humana, como espacio de crecimiento y desarrollo personal, y de protección del ámbito privado personal, en el que la personas se pueden comportar y expresar de forma libre y sin temor o reticencia ante la presencia o intervención indeseada de terceras personas. Esto implica que se puede representar como la contraparte al ámbito público, el cual es un espacio en el que las interacciones sociales son constantes y necesarias, y se encuentran influenciadas y limitadas por normas y regulaciones jurídicas, sociales, culturales, religiosas, entre otras, las cuales determinan en todo momento las conductas a seguir y por lo general se establecen sanciones en los casos de violación de alguno de esos preceptos.
    10 
    11 La Privacidad también se puede pensar como una necesidad que se ha adquirido en el transcurso del tiempo, debido principalmente a factores como:
     9Tal como se plantea en \cite{cenditel_anonimato}, se puede indicar que la privacidad se trata de una necesidad natural inherente de los seres humanos, la cual responde a la libre vo\-lun\-ta\-rie\-dad de escoger con quienes se quiere relacionar, o se trata de elegir la información que se desea sea conocida en esa relación. Esto se deriva de la intimidad humana, como espacio de crecimiento y desarrollo personal, y de protección del ámbito privado personal, en el que la personas se pueden comportar y expresar de forma libre y sin temor o reticencia ante la presencia o intervención indeseada de terceras personas. Esto implica que se puede representar como la contraparte al ámbito público, el cual es un espacio en el que las interacciones sociales son constantes y necesarias, y se encuentran influenciadas y limitadas por normas y regulaciones jurídicas, sociales, culturales, religiosas, entre otras, las cuales determinan en todo momento las conductas a seguir y por lo general se establecen sanciones en los casos de violación de alguno de esos preceptos.
     10
     11La privacidad también se puede pensar como una necesidad que se ha adquirido en el transcurso del tiempo, debido principalmente a factores como:
    1212
    1313\begin{enumerate}
    14 \item El reconocimiento y protección de los derechos humanos fundamentales en el mundo. Históricamente, se observa que desde tiempos antiguos se manejaba la noción de un espacio de propio de cada persona, que permitiera su crecimiento personal. Se penalizaban las violaciones a ese espacio, pero mas por razones de seguridad pública y por relacionarlo a derechos patrimoniales.
    15 \item Las discusiones acerca de un derecho a intimidad, a la vida privada, a la privacidad se presentan con mayor fuerza luego del surgimiento de la prensa escrita, ya que es el medio que empieza a posibilitar la transmisión de una misma información a gran número de personas.
    16 \item Se ha planteado como una necesidad que se ha visto influenciada y potenciada por la aparición, crecimiento y masificación de las TIC (computarores personales, Internet, televisión, telefonía fija y móvil, etc), ya que éstas permiten la facil divulgación de gran cantidad de información en poco tiempo.
     14\item El reconocimiento y protección de los derechos humanos fundamentales en el mundo. Históricamente, se observa que desde tiempos antiguos se manejaba la noción de un espacio de propio de cada persona, que permitiera su crecimiento personal. Se penalizaban las violaciones a ese espacio, pero más por razones de seguridad pública y por relacionarlo a derechos patrimoniales.
     15\item Las discusiones acerca de un derecho a la intimidad, a la vida privada, a la privacidad se presentan con mayor fuerza luego del surgimiento de la prensa escrita, ya que es el medio que empieza a posibilitar la transmisión de una misma información a gran número de personas.
     16\item Se ha planteado como una necesidad que se ha visto influenciada y potenciada por la aparición, crecimiento y masificación de las TIC (computarores personales, la Internet, televisión, telefonía fija y móvil, etc), ya que éstas permiten la facil divulgación de gran cantidad de información en poco tiempo.
    1717\end{enumerate}
    1818
    1919Sin embargo, no es necesario apelar a los artículos de la carta sobre los Derechos Humanos establecida por la Organización de las Naciones Unidas para darse cuenta que cada una de las personas que habitan este planeta tiene el derecho de decidir sobre el destino de su información privada. Esto incluye no sólo decidir quién, cómo, dónde y cuándo terceras partes puedan tener acceso a sus datos en general, sino que se debe prestar una particular atención a los que están relacionados con la identidad, el perfil social, cultural, personal, etc.
    2020
    21 Tanto en las organizaciones privadas, como en las públicas, y a nivel individual, la protección de la información no sólo debe incluir los aspectos típicamente enmarcados dentro de la integridad, confidencialidad y disponibilidad de los datos, sino que debe ampliarse al resguardo de la privacidad donde, entre otros, se procura evitar que se devele la identidad de las partes comunicantes. Se han desarrollado varias estrategias, mecanismos, técnicas y sistemas que tienen esto como objetivo, y que pueden enmarcarse en lo que se denomina las tecnologías que mejoran la privacidad (se conoce en inglés como \textit{Privacy Enhancing Technologies}).
    22 
    23 Este tipo de tecnologías han tenido sus frutos en escenarios de diversa índole, que van desde aplicaciones militares, donde se procura evitar que el enemigo pueda des\-cu\-brir las conexiones estratégicas, pasando por aplicaciones cien\-tí\-fi\-cas/co\-mer\-cia\-les, que evitan revelar información sobre las comunicaciones hechas entre socios cien\-tí\-fi\-co/co\-mer\-cia\-les, hasta las aplicaciones de particulares que le ayudan a mantener en privado sus datos personales: los referentes a su salud, su estado financiero, sus preferencias de consumo, etc. Uno de los puntos críticos de la privacidad es el encubrimiento de la identidad de las partes comunicantes, es decir, es la procura de que las comunicaciones sean anónimas: Anonimato.
     21Tanto en las organizaciones privadas, como en las públicas, y a nivel individual, la protección de la información no sólo debe incluir los aspectos típicamente enmarcados dentro de la integridad, confidencialidad y disponibilidad de los datos, sino que debe ampliarse al resguardo de la privacidad donde, entre otros, se procura evitar que se devele la identidad de las partes comunicantes. Se han desarrollado varias estrategias, mecanismos, técnicas y sistemas que tienen esto como objetivo, y que pueden enmarcarse en lo que se denomina las tecnologías que mejoran la privacidad (se conoce en inglés como \textit{Privacy Enhancing Technologies o PET}).
     22
     23Este tipo de tecnologías han tenido sus frutos en escenarios de diversa índole, que van desde aplicaciones militares, donde se procura evitar que el enemigo pueda des\-cu\-brir las conexiones estratégicas, pasando por aplicaciones cien\-tí\-fi\-cas/co\-mer\-cia\-les, que evitan revelar información sobre las comunicaciones hechas entre socios cien\-tí\-fi\-co/co\-mer\-cia\-les, hasta las aplicaciones de particulares que le ayudan a mantener en privado sus datos personales: los referentes a su salud, su estado financiero, sus preferencias de consumo, etc. Uno de los puntos críticos de la privacidad es el encubrimiento de la identidad de las partes comunicantes, es decir, es la procura de que las comunicaciones sean anónimas: anonimato.
    2424
    2525Cada una de las técnicas y mecanismos utilizados tienen sus ventajas y desventajas en cuanto al perfil de ataque considerado. Es decir, dependiendo del tipo de atacante que se considere, cada una de éstas posee un conjunto de fortalezas y debilidades asociadas. Adicional al perfil del atacante, se debe incluir su radio de acción, esto quiere decir, que se debe considerar su capacidad para manejar ciertos volúmenes de usuarios, su heterogeneidad, su distribución y localización.
     
    2727Además se debe considerar el tipo de comunicación anónima que se desea o necesita entablar: mensajería instantánea, correos electrónicos, servicios web, etc.
    2828
    29 En las siguientes secciones se presentan algunas técnicas, sistemas y mecanismos que se orientan a proporcionar privacidad basado en el Anonimato.
     29En las siguientes secciones se presentan algunas técnicas, sistemas y mecanismos que se orientan a proporcionar privacidad basado en el anonimato.
    3030
    3131\section{Técnicas para proporcionar privacidad}
    3232
    33 Tal como se menciona en \cite{ico2006} las personas en general utilizan Internet para poder comunicarse, para el envío de correo electrónico, para la investigación en diversas áreas de interés, para la interacción con distintos organizamos públicos y/o privados, etc. Al mismo tiempo, gran cantidad de estos organismos públicos y privados en distintas regiones del planeta buscan maximizar la interacción electrónica en todos los niveles entre los usuarios y sus centros tecnológicos, intercambiando información a través del uso de bases de datos controladas por ellos mismos, buscando utilizar el poder de la informática para tener el control de la información concerniente a innumerables aspectos relacionados a los individuos, tales como las preferencias en sus consumos diarios, la interacción con su alrededor, sus estilos de vida, sus opiniones, sus preferencias, y todo esto en niveles que en gran medida son desconocidos por los mismos usuarios. En respuesta a lo anterior, y procurando minimizar este tipo de control, se han propuestos diferentes mecanismos y sistemas que buscan reforzar o mejorar la privacidad (Privacy Enhancing Technologies) del individuo (visto en un contexto amplio, es decir, pudiéndose considerar como individuo a un conjunto de personas, e incluso a organizaciones completas). Este tipo de tecnologías pueden asistir a los organismos en su cumplimiento de los principios de protección de la privacidad establecido en los derechos humanos \cite{ONU1948}, dándole a los usuarios mayor poder para controlar su información, pudiendo éstos decidir cómo y cuándo puede ser utilizada por terceras partes. Existen sistemas tales como los navegadores web anónimos y servicios especiales de correo electrónico que le permiten comunicarse sin necesidad de revelar su verdadera identidad. Los sistemas para el manejo de la identidad potencialmente le permiten a los individuos acceder a los servicios y recursos sin tener que proveer información sobre ellos. Esto implica involucrar a una o varias organizaciones sobre las cuales se deba tener cierto grado de "confianza", y que puedan verificar la identidad de los usuarios, y además puedan generar cierto tipo de certificación electrónica que no contenga información sobre la identidad, pero que permita acceder a los recursos y servicios ofrecidos por terceras partes.
    34 
    35 Las tecnologías que mejoran o refuerzan la privacidad no son sólo aquellas destinadas a proveer un cierto grado de anonimato, sino que se extienden a la protección y mejora de la privacidad en general del individuo, incluyendo el cumplimiento de sus derechos sobre la protección de sus datos, en este sentido se pueden mencionar como ejemplos de este tipo de tecnología los siguientes:
     33Tal como se menciona en \cite{ico2006} las personas en general utilizan la Internet para poder comunicarse, para el envío de correo electrónico, para la investigación en diversas áreas de interés, para la interacción con distintos organizamos públicos y/o privados, etc. Al mismo tiempo, gran cantidad de estos organismos públicos y privados en distintas regiones del planeta buscan maximizar la interacción electrónica en todos los niveles entre los usuarios y sus centros tecnológicos, intercambiando información a través del uso de bases de datos controladas por ellos mismos, buscando utilizar el poder de la informática para tener el control de la información concerniente a innumerables aspectos relacionados a los individuos, tales como las preferencias en sus consumos diarios, la interacción con su alrededor, sus estilos de vida, sus opiniones, sus preferencias, y todo esto en niveles que en gran medida son desconocidos por los mismos usuarios. En respuesta a lo anterior, y procurando minimizar este tipo de control, se han propuestos diferentes mecanismos y sistemas que buscan reforzar o mejorar la privacidad (Privacy Enhancing Technologies) del individuo (visto en un contexto amplio, es decir, pudiéndose considerar como individuo a un conjunto de personas, e incluso a organizaciones completas).
     34
     35Este tipo de tecnologías pueden asistir a los organismos en su cumplimiento de los principios de protección de la privacidad establecido en los derechos humanos \cite{ONU1948}, dándole a los usuarios mayor poder para controlar su información, pudiendo éstos decidir cómo y cuándo puede ser utilizada por terceras partes. Existen sistemas tales como los navegadores web anónimos y servicios especiales de correo electrónico que le permiten comunicarse sin necesidad de revelar su verdadera identidad. Los sistemas para el manejo de la identidad potencialmente le permiten a los individuos acceder a los servicios y recursos sin tener que proveer información sobre ellos. Esto implica involucrar a una o varias organizaciones sobre las cuales se deba tener cierto grado de "confianza", y que puedan verificar la identidad de los usuarios, y además puedan generar cierto tipo de certificación electrónica que no contenga información sobre la identidad, pero que permita acceder a los recursos y servicios ofrecidos por terceras partes.
     36
     37Las tecnologías que mejoran o refuerzan la privacidad no son sólo aquellas destinadas a proveer un cierto grado de anonimato, sino que se extienden a la protección y mejora de la privacidad en general del individuo, incluyendo el cumplimiento de sus derechos sobre la protección de sus datos, en este sentido se pueden mencionar, como ejemplos de este tipo de tecnología, los siguientes:
    3638
    3739\begin{itemize}
     
    4446\subsection{Bases del Anonimato}
    4547
    46 En la sección \ref{privacidad} se habla sobre los conceptos y bases del Anonimato, y para comprenderlo de manera general es conveniente utilizar la configuración de un sistema general de comunicación tradicionalmente compuesto por un emisor, un receptor, quienes utilizan una red de comunicación para transmitir un mensaje. En la figura \ref{figura1} se muestra el diagrama general de este modelo.
     48En la sección \ref{privacidad} se habla sobre los conceptos y bases del anonimato, y para comprenderlo de manera general es conveniente utilizar la configuración de un sistema general de comunicación tradicionalmente compuesto por un emisor, un receptor, quienes utilizan una red de comunicación para transmitir un mensaje. En la figura \ref{figura1} se muestra el diagrama general de este modelo.
    4749
    4850\begin{figure}[h]
     
    9597Para definir las diferentes técnicas de anonimato se utilizan los siguientes criterios:
    9698
    97 \begin{description}
    98 \item[Objetivo de la protección] Define cuál tipo de anonimato puede ser provisto (del emisor, del receptor, o de la relación).
    99 \item[Nivel de seguridad] Se debe definir cuál es el nivel de seguridad alcanzado por el objetivo de la protección (la seguridad desde la perspectiva de la teoría de la información o incondicional y la seguridad criptográfica/computacional con los supuestos asociados a mecanismos como los de clave pública).
    100 \item[Modelo de atacante] Contra qué tipo de atacantes protege el sistema (externos, participantes, proveedores de servicios).
    101 \item[Modelo de confianza] En quién confía el usuario: en los proveedores de servicios, en los participantes externos, en otros usuarios, etc.
    102 \end{description}
     99\begin{itemize}
     100\item Objetivo de la protección: define cuál tipo de anonimato puede ser provisto (del emisor, del receptor, o de la relación).
     101\item Nivel de seguridad: se debe definir cuál es el nivel de seguridad alcanzado por el objetivo de la protección (la seguridad desde la perspectiva de la teoría de la información o incondicional y la seguridad criptográfica/computacional con los supuestos asociados a mecanismos como los de clave pública).
     102\item Modelo de atacante: contra qué tipo de atacantes protege el sistema (externos, participantes, proveedores de servicios).
     103\item Modelo de confianza: en quién confía el usuario (en los proveedores de servicios, en los participantes externos, en otros usuarios, etc.).
     104\end{itemize}
    103105
    104106\subsubsection{Redes de mezcla:}\hfill\\
     
    106108Esta idea se describe en \cite{rlsm:chaum-mix}. El método utiliza criptografía de clave pública y fue diseñado para que los sistemas de envío de correo electrónico proveyeran anonimato del emisor, del receptor y de relación sin necesitar un servicio de confianza central (por ejemplo una autoridad certificadora). En general, los mezcladores o Mixes pueden ser entendidos como una cadena de proxies seguidos uno detrás del otro. Se considera que el atacante puede observar todas las comunicaciones y puede controlar todos los mixes a excepción de uno.
    107109
    108 \textbf{Topología Mix:}
     110%\textbf{Topología Mix:}
     111\paragraph{\textbf{Topología Mix}}\hfill\\
    109112
    110113Este concepto funciona aun cuando se dispone de un solo mix. Pero en este caso el usuario debe confiar en este mix. Típicamente hay más de un mix en la red organizados en forma de cadena. Existen diferente métodos para organizar la cooperación dentro de la red. Uno de ellos puede ser que cada mix existe independientemente en la red y los participantes libremente deciden a través de cuál de ellos enrutarán sus mensajes. Así cada nodo puede comunicarse con el resto conformando lo que se denomina una topología de red mix o red de mezcla.
     
    120123Provee protección contra atacantes que pueden observar toda la red y que pueden controlar muchos mixes. Es susceptible a ataques de denegación de servicio y ataques $n-1$. Desde el punto de vista de la confianza, se debe confiar en al menos un mix de la ruta seleccionada.
    121124
    122 \textbf{Funcionalidad Básica:}
     125%\textbf{Funcionalidad básica:}
     126\paragraph{\textbf{Funcionalidad básica}}\hfill\\
    123127
    124128En este enfoque los usuarios o clientes no envían sus solicitudes directamente al servidor (o a otro destino), sino que las envía a nodos (enrutadores) intermedios denominados mix. Para poder ocultar la comunicación de los participantes, los mixes no envían instantáneamente los mensajes que reciben, en vez de esto, los mixes almacenan varios mensajes de diferentes clientes por un tiempo definido, los transforman, y luego si los reenvían simultáneamente a los servidores de destino o a otros mixes en la red. Un observador que puede ver todos los mensajes entrantes y salientes de un mismo mix no podrá determinar cuáles mensajes de entrada corresponden a cuáles mensajes de salida.
    125129
    126 \textbf{Preprocesamiento:}
     130%\textbf{Preprocesamiento:}
     131\paragraph{\textbf{Preprocesamiento}}\hfill\\
    127132
    128133El preprocesamiento es la transformación de los mensajes. El objetivo principal de la transformación de los mensajes es evitar que un atacante pueda trazar (descubrir su recorrido) un mensaje a través de la comparación de los patrones de bits correspondientes a los mensajes que entran y salen de un mix. Para poder enviar un mensaje, el cliente primero lo debe preparar. Para esto, el primer paso que debe dar es escoger el camino por el cual se transmitirá el mensaje, este camino estará compuesto por los mixes que haya escogido, y debe incluir el orden específico de reenvíos antes de que llegue a su destino final. Para mejorar la seguridad del sistema, se recomienda utilizar más de un mix en cada camino. El siguiente paso, es utilizar las claves públicas de los mixes escogidos para cifrar el mensaje, en el orden inverso en el que fueron escogidos, es decir, el mensaje se cifra primero con la clave pública del ultimo mix, luego con la del penúltimo, y así hasta cifrar por ultima vez con la clave pública del primer mix en el camino seleccionado. Cada vez que se cifra se construye una capa, y se incluye la dirección del siguiente nodo (ya sea el destino final u otro mix). Así cuando el primer mix obtiene el mensaje preparado, lo descifra con su clave privada, y obtiene la dirección del siguiente nodo al que debe reenviarle el resto del contenido que quedó después de su descifrado.
     
    141146El emisor le envía $N_1$ al $Mix_1$. Después que se decodifica, cada mix recibe la dirección del siguiente mix y el mensaje que está destinado a ese siguiente mix. Debido a las implementaciones de los sistemas de clave pública o asimétrica se necesitan las cadenas aleatorias de bits. Para asegurar que un atacante no pueda trazar un mensaje (seguir su trayectoria) a través de un mix, es necesario que todos los pares de entrada-salida de los mensajes no tengan características que permitan identificarlos, por ejemplo, el tamaño de los mismos. Una solución a esto es establecer tamaños fijos para los mensajes, y cuando los mensajes tengan un tamaño inferior al fijado, se deberán rellenar con información falsa, y cuando lo superan se deberán fragmentar en varias piezas.
    142147
    143 \textbf{Reordenamiento:}
     148%\textbf{Reordenamiento:}
     149\paragraph{\textbf{Reordenamiento}}\hfill\\
    144150
    145151Mezclas por grupos (pool) o mezclas por cantidad (batch): Cuando un mix opera en modo "por cantidad" o "batch", éste recolecta un número fijo $n$ de mensajes, cifrándolos y reordenándolos antes de reenviarlos a todos en un solo envío. En contraste, un mix que opera en modo “por grupos” o “pool” tiene siempre un número $n$ de mensajes almacenados en su memoria temporal o “buffer” denominado “pool”. Si un nuevo mensaje llega al mix, entonces se escoge aleatoriamente y se reenvía uno de los mensajes almacenados. El número $n$ representa al tamaño del “pool”.
    146152
    147 \textbf{Prueba de reenvío: }
     153%\textbf{Prueba de reenvío: }
     154\paragraph{\textbf{Prueba de reenvío}}\hfill\\
    148155
    149156Uno de los tipos de ataques más frecuentes es el denominado ataque de reenvíos. Un atacante podrá copiar un mensaje que desea monitorear y enviarle una o varias copias de éste al mix. Estas copias del mensaje podrían tomar el mismo camino en la red que el mensaje original, dado que los algoritmos de envío y descifrado trabajan determinísticamente. Así puede ser encontrado un patrón característico del mensaje sólo con observar la red. Con el fin de evitar este tipo de ataque, las copias de los mensajes deben ser identificadas y eliminadas a través de un filtro. Una posibilidad para identificar los mensajes inválidos es a través del uso de estampas de tiempo. Cuando un mix obtiene un mensaje, también obtiene una etiqueta que le informa la franja de tiempo durante la cual el mensaje es válido. Si el mensaje llega muy tarde (después de lo que la franja de tiempo le indica), el mix niega el reenvío del mensaje. Otra posibilidad es que el mix almacene una copia de los mensajes que ya haya enviado, y así los los mensajes nuevos que lleguen pueden ser comparados con esta base de datos. Por razones de seguridad y rendimiento, es conveniente restringir el tamaño de esta base de datos. Los mensajes deberían ser almacenados por un corto período de tiempo antes de que se borren.
    150157
    151 \textbf{Tráfico de relleno o dummy:}
     158%\textbf{Tráfico de relleno o dummy:}
     159\paragraph{\textbf{Tráfico de relleno o dummy}}\hfill\\
    152160
    153161Aun cuando ninguna información está siendo transmitida, es posible enviar información falsa en la red. Esto tendría el mismo efecto de no enviar ningún mensaje, pero un observador (atacante) no podría distinguir entre los mensajes reales de los que se envían como relleno. El envío de este tipo de mensajes de relleno es denominado tráfico dummy. Con respecto a la idea de los mixes, un mix podrá aleatoriamente enviar tráfico dummy a otro en la red. Este mecanismo también beneficiaría a los mix que trabajan en el modo batch, ya que normalmente estos mixes tienen que esperar hasta que un número predefinido de mensajes hayan llegado antes de que todos los mensajes sean reenviados simultáneamente, y evitaría los posibles retrasos que podrían ocurrir cuando no hayan envíos suficientes de mensajes al mix, y éste puede hacer su respectivo reenvío es decir, el tráfico dummy evitaría estos retrasos, ya que si no hay suficientes mensajes reales enviados, el número de mensajes necesarios para
    154162hacer el reenvío se pudiese alcanzar con los mensajes de relleno.
    155163
    156 \textbf{Anonimato del receptor (Direcciones de retorno no trazables):}
     164%\textbf{Anonimato del receptor (Direcciones de retorno no trazables):}
     165\paragraph{\textbf{Anonimato del receptor (Direcciones de retorno no trazables)}}\hfill\\
    157166
    158167El hecho de permitir que un receptor pueda permanecer anónimo se le caracteriza por tener una dirección de retorno que no pueda ser registrada o trazada por un atacante. Esta dirección de retorno es un mensaje especial que tiene que ser creado por el receptor y tiene que ser utilizado por el emisor para el envío del mensaje al receptor anónimo. La idea de base de este tipo de direccionamiento es que el receptor, y no el emisor, define sobre cuáles mixes y el orden a ser utilizado para la entrega de cierto mensaje de respuesta. La dirección de retorno preparada por el receptor contiene una clave simétrica para cada mix en el camino que éste utilizará para cifrar el mensaje enviado por el emisor. Finalmente, el receptor recibirá un mensaje cifrado múltiples veces con claves simétricas como él mismo especificó. Dado que el receptor conoce todas las claves simétricas, para poder desarrollar esta técnica, éste puede descifrar el mensaje. Dado que la claves simétricas son desconocidas por el emisor y la codificación del mensaje cambia en cada uno de los mixes (debido al cifrado), el emisor no puede trazar el mensaje hacia el receptor.
     
    185194El receptor $Mix_{m+1}$ recibe $e$, $N_{m+1}=e(km (...k1 (i))...)$ y puede descifrar y extraer el contenido $I$ ya que conoce todas las claves secretas $k_j$ asignadas para el nombre $e$ de la parte de la dirección de retorno en el orden correcto.
    186195
    187 \textbf{Verificación del tamaño del conjunto anónimo: }
     196%\textbf{Verificación del tamaño del conjunto anónimo: }
     197\paragraph{\textbf{Verificación del tamaño del conjunto anónimo}}\hfill\\
    188198
    189199Si un atacante bloquea el mensaje de un participante específico, este mensaje se aísla del conjunto anónimo. Lo mismo sucedería si un atacante rodea a un participante específico, manipulándolo a través de la generación de mensajes con fines "ilícitos" para el sistema. Este tipo de ataque es conocido como el ataque de mezcla o $n-1$. No existe una solución específica contra este tipo de ataques en ambientes abiertos, como por ejemplo en aquellos donde los participantes entran y salen del sistema a su discreción. Se podría utilizar una protección básica si el mix puede identificar a cada participante, así de una forma confiable el mix puede verificar si los mensajes que tiene almacenados en su memoria temporal (“buffer”) fueron enviados por un número relativamente adecuado de usuarios.
    190200
    191 \textbf{Canales Mix:}
     201%\textbf{Canales Mix:}
     202\paragraph{\textbf{Canales Mix}}\hfill\\
    192203
    193204Los canales mix son utilizados para manejar en tiempo real las cadenas continuas de datos o que contengan sólo pequeños retrasos a través de una cadena de mixes. Para este caso, es necesario que se divida el ancho de banda: una parte para la señalización y otra parte para el envío de los datos, ambos utilizados para la transmisión del mensaje.
     
    221232Este mecanismo fue propuesto y estudiado en \cite{esorics04-mauw,onion-discex00,onion-routingpet2000}. Es equivalente a una red de mixes, pero en el contexto de enrutamiento basado en circuitos. En vez de enrutar cada paquete separadamente, el primer mensaje lo que hace es abrir un circuito, etiquetando una ruta. Cada mensaje que tiene una etiqueta en particular se enruta por un camino predeterminado. Finalmente, un mensaje se envía para que cierre o clausure un camino. Con frecuencia se hace referencia a flujo anónimo como la información que viaja por estos circuitos. Su objetivo es dificultarle la tarea al análisis de tráfico, uno de los tipos de ataques más conocidos. Este sistema procura proteger la no relacionabilidad de dos participantes que se comunican a través de terceras partes, y procura proteger la identidad de las partes comunicantes. En vista de que las redes ISDN son difíciles de implementar en Internet, lo que procuró el enrutamiento cebolla es adaptar esta idea distribuyendo la red anónima y adaptándola para que se ejecute en el tope del modelo TCP/IP. El primer mensaje enviado en la red se cifra en capas, que pueden ser descifradas en una cadena de enrutadores cebolla (\textit{onion routers OR}) los cuales utilizan sus respectivas claves privadas.
    222233
    223 El primer mensaje tiene el material que debe ser compartido entre el emisor y los enrutadores, también las etiquetas y la información de direccionamiento del próximo nodo. Tal como sucede en los mixes de Chaum, se provee la no relacionabilidad a nivel de bits, de esta forma el camino que toma el primer mensaje no es trivial de seguir con sólo observar el patrón de bits de los mensajes.
     234El primer mensaje tiene el material que debe ser compartido entre el emisor y los enrutadores, también las etiquetas y la información de direccionamiento del próximo nodo. Tal como sucede en los mixes de Chaum \cite{rlsm:chaum-mix}, se provee la no relacionabilidad a nivel de bits, de esta forma el camino que toma el primer mensaje no es trivial de seguir con sólo observar el patrón de bits de los mensajes.
    224235
    225236También se propuso un tipo de enrutamiento dinámico donde los enrutadores que reenvían el flujo a través del camino establecido no se especifican únicamente en el mensaje inicial, esto con el fin de incrementar el anonimato. Los datos que circulan por la red en un circuito establecido están cifrados con claves las simétricas de los enrutadores. Las etiquetes se utilizan para indicar a cuál circuito pertenece cada paquete. Se utilizan etiquetas diferentes para los distintos enlaces, asegurando así la no relacionabilidad, y además las etiquetas de los enlaces también se cifran utilizando una clave que se comparte entre los pares de enrutadores OR. Lo anterior previene los ataques de observadores pasivos que puedan determinar cuáles paquetes pertenecen al mismo flujo anónimo, pero no le oculta la información a un enrutador que pueda ser subversivo.
     
    229240Los enrutadores se pueden configurar para que trabajen sólo con un determinado subconjunto de clientes, ya sea por zonas o de forma particularizada. Además se puede configurar para que trabajen sólo con un subconjunto de otros enrutadores.
    230241
    231 \textbf{Tor: la segunda generación de OR:}
    232 
    233 El proyecto OR fue retomado en el año 2004, con el diseño e implementación de lo que se denominó la “segunda generación del onion router” o TOR, por sus siglas en inglés, la propuesta se muestra en \cite{rlsm:tor-design}. Su política es la del reenvío de flujo TCP sobre una red de reenvíos, y junto con la ayuda de otra herramienta, el Privoxy (http://www.privoxy.org), está especialmente diseñada para el tráfico web.
     242%\textbf{Tor: la segunda generación de OR:}
     243\paragraph{\textbf{Tor: la segunda generación de OR}}\hfill\\
     244
     245
     246El proyecto OR fue retomado en el año 2004, con el diseño e implementación de lo que se denominó la “segunda generación del onion router” o TOR, por sus siglas en inglés, la propuesta se muestra en \cite{rlsm:tor-design}. Su política es la del reenvío de flujo TCP sobre una red de reenvíos, y junto con la ayuda de otra herramienta, el Privoxy\footnote{http://www.privoxy.org}, está especialmente diseñada para el tráfico web.
    234247
    235248Este sistema utiliza una arquitectura de red tradicional: una lista de servidores voluntarios se obtiene desde un servicio de directorio ofrecido por otro(s) servidor(es). De esta forma, los clientes crean caminos utilizando al menos tres nodos intermedios escogidos de forma aleatoria dentro de la lista, y sobre los cuales se hace la comunicación de la información. A diferencia de la arquitectura anterior, donde se enviaba y distribuía el material criptográfico, TOR utiliza un mecanismo interactivo: el cliente se conecta con el primer nodo, y le solicita a éste que se conecte con el segundo nodo, de esta forma un canal bidireccional se utiliza en cada paso para desarrollar un intercambio de claves autenticado DF (Diffie-Hellman). Este garantiza el reenvío en forma secreta y la resistencia a la compulsión, debido principalmente a que solo son necesarias claves de corta duración. Este mecanismo fue inicialmente propuesto en Cebolla (ver \cite{cebolla}), y no está cubierto en la patente de OR (ver \cite{onion-discex00}).
Note: See TracChangeset for help on using the changeset viewer.