Torネットワークが「Galois Onion Encryption (GOE)」を導入
Torプロジェクトは、従来のリレー暗号化システム「tor1」を、Counter Galois Onion (CGO)と呼ばれる最新の設計に置き換え始めました。このアップグレードは、Torの回路トラフィック保護における主要な弱点を標的とし、世界中のユーザーの匿名性を強化することを目的としています。
Torはユーザーデータを複数のリレーを介してルーティングし、それぞれが玉ねぎの皮のように暗号化の層を1つ剥がしていきます。古いtor1方式では、回路全体のデータ整合性をチェックするために、AES-128-CTRストリーム暗号と短い4バイトのSHA-1ダイジェストが使用されていました。初期には効果的でしたが、tor1は適切なホップバイホップ認証を欠いており、暗号化が改ざん可能(malleable)であるという問題がありました。
旧暗号化システム「tor1」の脆弱性
攻撃者は、tor1の改ざん可能性を悪用し、制御下にあるリレー上で暗号文を改変するタギング攻撃を実行することができました。カウンターモードでは、暗号文CがキーストリームSと平文Pを用いて C=S⊕P と計算されるため、パターンMでビットを反転させると C′=S⊕(P⊕M) となり、有効な改変データとして下流に渡ってしまいます。tor1の暗号化アルゴリズムは中間層で使用されていました。
悪意のあるリレーが回路の両端でタグを検出し、制御を確定し、実際のトラフィックが流れる前にユーザーを追跡することができます。これにより、パッシブな相関分析よりもはるかに強力な内部の隠れたチャネル(covert channels)が生成される可能性がありました。ただし、高い回路障害率がクライアントに警告を発する可能性もあります。
また、tor1は前方秘匿性(forward secrecy)を欠いており、数日間持続する回路全体で鍵を再利用していたため、鍵が漏洩した場合、過去のトラフィックが解読される恐れがありました。その小さなダイジェストは、偽造の可能性が40億分の1と非常に低く、堅牢なタグではなくパスベースの防御に依存していました。
CGO (Counter Galois Onion) の仕組みと利点
Torによると、CGOは暗号学者であるJean Paul Degabriele、Alessandro Melloni、Jean-Pierre Münch、Martijn Stamによって考案された「Rugged Pseudorandom Permutation (RPRP)」というUIV+を展開しています。CGOはセルを、調整可能なブロック暗号(LRW2-AES)処理用の短い左部分と、擬似乱数ストリームとXORされる長い右部分に分割します。
タグはセル間で連鎖されます。各暗号化されたタグTは次の調整T′をシードし、発信元のセルは不可逆変換を介して鍵とノンスを更新します。tor1暗号化アルゴリズムはメッセージの発信に使用されていました。いかなる改ざんもセル全体を破壊し、タグをブロックして連鎖させます。鍵はセルごとにラチェットされ、即時秘匿性を提供し、16バイトの認証子がSHA-1に置き換わることで、偽造の可能性が大幅に低減されます。
広範なブロック方式と比較しても効率は高く、帯域幅を肥大化させる各層のオーバーヘッドを回避しています。開発者は、CGOをRustベースのArtiクライアントとC Torリレーに統合し、柔軟なセル処理のためにリファクタリングを行いました。
今後の展開とユーザーへの影響
CGOは現在、実験段階であり、デフォルトでの有効化、オニオンサービスサポート、CPU調整などが保留されています。展開後、ユーザーは自動的にこの恩恵を受けることができ、Torは能動的な脅威(active threats)に対してさらに強化されます。