Vấn đề nặc danh trong liên lạc

15:04 | 26/11/2012

Theo cách thức truyền thống, an toàn máy tính và thông tin liên lạc thường đề cập tới các tính chất như tính bí mật, tính toàn vẹn, tính sẵn sàng. Và một số kỹ thuật đã được phát triển để đạt được tính toàn vẹn của liên lạc, làm giảm khả năng bị chèn, chặn bắt, hoặc cô lập nội dung liên lạc của các bên theo phương thức mạng chuyển mạch gói.

Trong hoàn cảnh này, các công nghệ cung cấp tính toàn vẹn phải được đặt lên hàng đầu. Bài báo này giới thiệu về vấn đề liên lạc nặc danh, một phương pháp cho phép các bên trao đổi thông tin mà không để lại dấu vết, hoặc nặc danh với nhau và với bên thứ ba.
Liên lạc nặc danh có thể được triển khai trong các môi trường phức tạp, chẳng hạn như trong lĩnh vực quân sự. Công nghệ này có thể che giấu vai trò của các đơn vị liên lạc khác nhau, mô hình mạng cục bộ của họ hoặc vị trí của họ trong một dây chuyền các mệnh lệnh. Khi đó, nó sẽ làm cho người nghe trộm gặp khó khăn hơn nhiều trong việc xác định đích thông qua tín hiệu và tình báo thông tin.
Liên lạc nặc danh cũng có thể được sử dụng để bảo vệ sự riêng tư của cá nhân, như sử dụng để quản lý hồ sơ sức khỏe bệnh nhân, hoặc hỗ trợ trực tuyến cho các nhóm. Thậm chí có thể sử dụng rộng rãi liên lạc nặc danh trong thương mại điện tử.
Liên lạc nặc danh còn được sử dụng để bảo vệ các tài liệu, che giấu cơ quan kiểm duyệt hoặc sự đe dọa tới cá nhân. Nó cũng được sử dụng để tăng cường khả năng của mạng liên lạc ngang hàng chống lại các tấn công hợp pháp.
Nặc danh được coi như một tính chất ATTT
Nặc danh cho phép người liên lạc che giấu mối quan hệ của họ với những hành động đặc biệt và các hậu quả của những hành động này. Mục tiêu cụ thể sẽ là che giấu sự tương ứng giữa người gửi và các thông báo mà họ đã gửi, một tính chất mà ta sẽ gọi là nặc danh người gửi; hoặc những người nhận và thông báo mà họ nhận, gọi là nặc danh người nhận. Đối với một kênh liên lạc, cũng có thể cung cấp nặc danh hai phía để cho phép người gửi nặc danh trao đổi với người nhận nặc danh.
Liên lạc nặc danh được nghiên cứu trong lĩnh vực an toàn mạng máy tính vì chúng được đặt trong môi trường có nghe trộm. Người liên lạc có ý định bảo vệ sự nặc danh của họ đối với những người đang tìm cách khám phá các liên kết được che giấu, bởi vì thông tin này có giá trị nào đó đối với những người đang thực hiện giám sát và chủ thể sẽ phải trả giá nếu nó bị tiết lộ.
Một ví dụ về liên lạc nặc danh trong lĩnh vực thương mại điện tử đã được mô tả bởi Odlyzko [Odl03]. Bằng cách liên kết lại tất cả những cuộc mua sắm trước đó của người mua, người ta có thể suy luận ra mức độ hài lòng khi phải trả tiền cho những sản phẩm đặc biệt và từ đó xử lý giá cả bằng cách tăng lên nhiều nhất có thể. Trong trường hợp này, giá trị của việc giám sát có thể được diễn giải theo thuật ngữ tiền tệ.
Một ví dụ khác, sự giám sát chống lại nghi ngờ có hành vi khủng bố. Bằng cách tìm, nhận dạng của các bên tham gia liên lạc, người nghiên cứu có thể lập bản đồ mạng xã hội của họ thông qua việc vẽ “cây quan hệ”. Kết quả là họ có thể đánh giá mức độ nguy hiểm của nhóm này qua phạm vi của mạng, đưa ra những cảnh báo về hành động sắp xảy ra, nhờ phân tích mật độ vận chuyển và có thể rút ra thông tin về các mệnh lệnh bằng cách kiểm tra sự tập trung của các bên khác nhau. Trong trường hợp này, sự suy luận được rút ra là không chắc chắn và người ta cũng còn suy luận khác nếu cần phải làm trung lập tổ chức này.
Để chống lại sự giám sát bất hợp lệ, liên lạc nặc danh phải tốn nhiều chi phí. Những chi phí này được dùng cho việc thiết kế, hoạt động, duy trì và đánh giá các hệ thống và những công nghệ chống lại giám sát đòi hỏi chi phí rất lớn. Điều đó khiến các bên bị giám sát hạn chế liên lạc với nhau, nếu các biện pháp đối phó thích hợp không thể chống lại các đe dọa giám sát đã nhận thấy. Nhân tố của đe dọa nhận thấy là quan trọng, vì nhận biết khả năng của đối phương thường không thể được. Sự không chắc chắn này khiến các phương tiện chống lại giám sát lên, gần với công nghệ liên lạc nặc danh.
Cần chú ý rằng, tính nặc danh trong liên lạc là thuộc tính an toàn, không đi đôi với tính bí mật của liên lạc. Ví dụ điển hình minh họa điều này là thư gửi nặc danh tới một tờ báo. Trong trường hợp này, định danh của người gửi bức thư không bị lộ mặc dù nội dung là công khai. Người ta có thể sử dụng các kỹ thuật mã hóa truyền thống, ngoài liên lạc nặc danh, để bảo vệ bí mật nội dung các thông báo.
Mô hình đe dọa truyền thống
Trong bối cảnh các giao thức liên lạc nặc danh, thì mục tiêu ban đầu của đối thủ là thiết lập sự tương ứng đáng tin cậy giữa hành động gửi và nhận một thông báo đặc biệt với người thực hiện. Mục tiêu tiếp theo có thể là phá vỡ hệ thống bằng cách làm cho nó không đáng tin cậy. Những tấn công như thế thuộc phạm trù chối bỏ dịch vụ, và chúng được gọi là chối bỏ dich vụ lựa chọn nếu chỉ một người sử dụng hoặc một nhóm đối tượng đặc biệt được nhắm đến. Kẻ tấn công cũng có thể định nâng cấp những tấn công nổi tiếng đã biết chống lại các hệ thống nặc danh, với hy vọng sẽ ít người sử dụng chúng. Khi ấy, phạm vi sử dụng nặc danh sẽ bị co hẹp lại, giảm độ tin cậy và người ta sẽ sử dụng phương tiện liên lạc kém an toàn hơn, hoặc từ chối liên lạc với nhau.
Từ quan điểm an toàn máy tính, những mối đe dọa đối với nặc danh có thể được phân chia theo các khả năng của đối thủ. Đối thủ được gọi là bị động nếu chỉ quan sát dữ liệu đang truyền trên các đường liên lạc. Các đối thủ bị động được gọi là toàn cục nếu họ có thể quan sát tất cả các đường liên lạc mạng.
Kẻ tấn công được gọi là tích cực nếu còn có thể chèn, xóa hoặc sửa đổi các thông báo trên mạng. Tổ hợp những việc này có thể được sử dụng để làm chậm tốc độ truyền các thông báo trong mạng liên lạc nặc danh, hoặc làm “lụt” mạng với các thông báo.
Bên cạnh những tấn công nói trên, những kẻ tấn công có thể điều khiển một số các nút bị phá vỡ trong mạng, do đó có thể biến đổi các thông báo đi qua chúng. Thường thì những tấn công như thế được mô tả qua tỷ lệ phần trăm những nút bị phá vỡ mà chúng điều khiển trong hệ thống. Nói chung những người sử dụng thông thường không biết những nút bị phá vỡ này và việc nhận dạng chúng cần một của giao thức an toàn.

Mô hình đe dọa “cưỡng bức”
Mô hình đe dọa truyền thống đã được sử dụng trong bối cảnh nghiên cứu mật mã và có thể biểu diễn một phạm vi rộng các nguy cơ. Tuy nhiên, do chịu ảnh hưởng từ nguồn gốc quân sự nên nó không xác định một số nguy cơ rất quan trọng đối với các hệ thống liên lạc nặc danh.
Các hệ thống liên lạc nặc danh thường được triển khai trong các môi trường mất cân bằng nhiều về sức mạnh. Nó làm cho mỗi bên tham gia mạng, người sử dụng hoặc người trung gian, bị tổn thương riêng rẽ trước những tấn công cưỡng bức. Những tấn công “cưỡng bức” này đòi hỏi chi phí lớn đối với tất cả các bên và không thể sử dụng rộng rãi hoặc quá nhiều.
Các bên bị “cưỡng bức” có thể được yêu cầu thực hiện nhiệm vụ đặc biệt nào đó, nó có hiệu lực tương tự với các nút liên lạc bị phá vỡ được trình bày ở trên. Chẳng hạn, đây là tình trạng đối với các giao thức bầu cử điện tử, ở đó các bên có thể bị ép buộc bỏ phiếu theo một cách riêng.
Chú ý rằng, không thể mô hình hóa thuận lợi sự “cưỡng bức” và ép buộc bằng cách sử dụng khái niệm “nút bị phá vỡ” từ mô hình đe dọa truyền thống. Bên bị “cưỡng bức” có thể bị buộc phải thực hiện những thao tác nhất định, mà hiệu quả của nó đối phương có thể  quan sát trực tiếp, hoặc bằng cách yêu cầu thông tin từ nút bị “cưỡng bức”. Theo quan điểm của đối phương, những thông tin hoặc hành động được thu thập, hoặc được thực hiện do sự ép buộc là không đáng tin cậy như những thông tin được thực hiện bởi các nút bị phá vỡ.

Đánh giá những khả năng của  thế giới thực
Cả hai mô hình trên có mục đích là hệ thống hóa khả năng của các đối thủ, theo cách mà chúng ta có thể sử dụng chúng để đánh giá  độ an toàn của các cơ chế kỹ thuật.
Các Chính phủ được coi là những đối thủ mạnh nhất trong thế giới thực vì khả năng tài trợ và quyền hạn thực thi pháp lý của họ. Nhiều quốc gia có thể được xem là những đối thủ bị động toàn cục. Sự chặn bắt thông tin có thể thực hiện thông qua các mạng thu thập tình báo [Cam99], hoặc thông qua những khả năng chặn bắt đúng pháp luật được thực hiện trong mạng và phương tiện liên lạc thông thường [YM]. Hơn nữa, một vài quốc gia có những điều luật cho phép họ yêu cầu hợp pháp việc giải mã các tư liệu hoặc nắm giữ các khóa mật mã ([RIP00]). Điều này có thể xem là gần với mô hình cưỡng bức. Thường thì những khả năng này bị hạn chế trong một vùng địa lý đặc biệt khi các tài nguyên tuy  phong phú, nhưng vẫn có giới hạn.
Các tập đoàn lớn có những nguồn lực có thể so sánh với các quốc gia, nhưng họ thiếu quyền lực hợp pháp để nghe trộm trên đường truyền hoặc ép các nút tiết lộ bí mật.  Nhưng họ có thể chạy những nút bị phá vỡ để thu thập thông tin về người sử dụng và tiến hành những tấn công tích cực.
Trong lĩnh vực quân sự, mô hình đe dọa có một số khác biệt so với mô hình đã trình bày ở trên. Người ta giả thiết rằng, tất cả các bên gửi, nhận và tiếp sức đều tin cậy và sự nặc danh của họ phải được duy trì để chống lại đối phương tiến hành giám sát mạng hoặc thậm chí làm thay đổi liên lạc. Tính chất này được gọi là sự nặc danh bên thứ ba và các hệ thống cung cấp nó là các hệ thống ngăn chặn phân tích giao vận (TAP).

Các định nghĩa và độ đo kỹ thuật
Từ quan điểm kỹ thuật, nặc danh được định nghĩa theo nhiều cách. Các định nghĩa kỹ thuật thường cung cấp một cách thức để đo độ nặc danh, vì người ta cho rằng nó có thể được đưa ra ở những mức độ khác nhau.
Trong [RR98], một thang bậc các mức độ nặc danh đã được đề nghị. Thang bậc này thay đổi từ riêng tư tuyệt đối, không nghi ngờ, sự vô tội có thể chứng minh tới sự vô tội có thể, bị bóc trần, bị bóc trần có thể chứng minh. Tuy nhiên, định nghĩa và độ đo này chỉ mang tính chất định tính.
Cần chú ý rằng, việc không thể chứng minh điều nào đó về sự nhận dạng là khác biệt với việc cung cấp nặc danh hiệu quả. Hơn nữa, việc phá vỡ khả năng nặc danh có thể có những hậu quả. Trong khi mức độ nặc danh bảo đảm tính vô tội có thể sẽ đủ để tránh sự kết tội trong tòa án hình sự, thì tính vô tội có thể sẽ vẫn bị tuyên án không đầy đủ trong tòa án dân sự. Mức độ nặc danh của sự không nghi ngờ trong nhiều trường hợp sẽ được yêu cầu để không là đối tượng của những điều tra tiếp theo. Do đó, bậc này thể hiện rất hiệu quả sự tồn tại của nhiều mức độ nặc danh mà người ta có thể được cung cấp.
Trong [Cha88], Chaum giới thiệu mạng các nhà mật mã cùng ngồi họp (DC - the dining cryptographers), một cấu trúc cung cấp sự nặc danh (theo lý thuyết thông tin) khá điển hình. Mạng DC là việc tính toán nhiều phía trong một tập các phía, một vài cặp trong đó chia sẻ các khóa bí mật. Ở đó, Chaum định nghĩa tập nặc danh của mỗi thông báo là tập tất cả các bên liên lạc trong mạng. Số lượng của nó được sử dụng như độ đo sự nặc danh. 
Khái niệm tập nặc danh đã được chấp nhận rộng rãi và được sử dụng vượt khỏi phạm vi ban đầu của nó. Nó còn được sử dụng để mô tả các tính chất của mạng xáo trộn, các hệ thống và các kênh nặc danh khác. Các mạng xáo trộn bao gồm các rơ le đặc biệt, được gọi là những xáo trộn, chúng chuyển tiếp các thông báo trong khi che giấu sự tương ứng giữa các đầu vào và đầu ra của chúng.
Trong [PK00], nặc danh được định nghĩa như trạng thái của việc không thể nhận dạng bên trong tập các đối tượng, tập nặc danh. “Chất lượng” của tập nặc danh không được đo bởi số lượng của nó nhưng khả năng nặc danh là mạnh hơn, nếu tập tương ứng lớn hơn và việc gửi hoặc nhận của các chủ thể bên trong tập đó có phân phối gần nhau hơn.
Do đó, nếu những người gửi hoặc nhận có thể có các xác suất khác nhau được gắn với họ, thì sự nặc danh là cực đại khi các xác suất đó bằng nhau. Điều này không bị cản trở khi số lượng của tập nặc danh được sử dụng như số đo của nặc danh.
Những hạn chế trong biểu diễn lượng của nặc danh được nói ở trên đã khiến người ta phải hình thức hóa định nghĩa. Nguyên tắc của thước đo này là: mục đích của kẻ tấn công là nhận dạng duy nhất người liên lạc, trong khi mục đích của người gửi là làm tăng độ phức tạp của việc tấn công. Do đó, người ta định nghĩa nặc danh được cung cấp bởi một hệ thống tương ứng với tổng lượng thông tin mà kẻ tấn công phải mất đi để nhận dạng duy nhất người liên lạc có hành động tương ứng.
Chúng ta xác định xác suất trên tất cả người tham gia liên lạc Đó là xác suất để người liên lạc này thực hiện một hành động đặc biệt. Đương nhiên, mỗi một hành động đặc biệt này phải được thực hiện bởi một người liên lạc trong số những người liên lạc đã biết nên tổng các xác suất này phải bằng 1, nghĩa là: 
Ngay khi phân phối xác suất nói trên được biết, người ta có thể dùng độ đo của độ bất định tương ứng với phân phối xác suất này để tính nặc danh được cung cấp bởi hệ thống. Theo thuật ngữ lý thuyết thông tin, độ đo này được biểu diễn bởi entropy của phân phối xác suất rời rạc. Do đó chúng ta gọi entropy của phân phối xác suất quy một vai trò cho các người liên lạc khi cho một mô hình đe dọa là cỡ của tập nặc danh hiệu quả của hệ thống. Nó có thể được tính như sau:
Độ đo này có giá trị âm, biểu diễn số các bit thông tin mà đối phương sẽ mất trước khi họ có thể nhận dạng duy nhất đích chính xác.
Độ đo dựa trên entropy này cung cấp một cách trực quan sự biểu diễn cỡ của nhóm mà mỗi thành viên được giấu trong đó. Nó cũng biểu thị cho sự cố gắng cần có của đối phương để nhận dạng duy nhất người gửi hoặc người nhận.
Vấn đề nặc danh trong thông tin liên lạc đã được ứng dụng khá rộng rãi. Nặc danh rất quan trọng trên cả hai phương diện: đối với người muốn nặc danh và đối với người muốn khám phá sự nặc danh. Rõ ràng những người làm nhiệm vụ bảo vệ bí mật thông tin trong nhiều tình huống rất cần sự nặc danh. Hơn nữa, vấn đề này bao hàm nhiều nội dung khoa học, cần nhiều công cụ khoa học trợ giúp thực hiện. Chúng tôi hy vọng rằng nhiều nội dung mới hơn, cụ thể hơn về vấn đề này sẽ dần dần được nghiên cứu và giới thiệu