Полиция пришла за сервером, а там пусто: Новый Tor превращает оборудование в бесполезный лом

Сервер, который ничего не помнит, звучит как шутка. Но именно такую идею сейчас пытаются воплотить в сети Tor, чтобы защитить узлы от изъятий и взломов.

Операторы узлов Tor давно живут под давлением. Узлы пытаются ломать, отключать, а иногда просто изымают вместе с оборудованием. Подобные случаи происходили в Австрии, Германии, США и России. Когда сервер попадает в чужие руки, он превращается из средства защиты в источник риска. Если на устройстве остаются данные, их могут изучить и использовать против пользователей сети.

Tor задумывали как систему, в которой ни один узел не знает всю цепочку соединения. Журналисты, активисты и информаторы рассчитывают на такую архитектуру. Но если злоумышленник получает доступ к серверу и его содержимому, доверие к сети снижается. Поэтому появилась идея запускать узлы так, чтобы после перезагрузки на них не оставалось вообще ничего.

Речь идёт о так называемых «бездисковых» системах. Такой сервер каждый раз загружается заново из неизменяемого образа и работает только в оперативной памяти. После выключения все данные исчезают. Сервер полностью стирает себя при перезагрузке и не оставляет журналов и криптографических артефактов. Похожий подход давно применяет система Tails. Для узлов Tor идея не новая: ещё в 2015 году существовал проект Tor-ramdisk.

Подход даёт сразу несколько преимуществ. Если сервер изымут, анализировать будет нечего. Конфигурация остаётся неизменной, потому что при каждом запуске система разворачивается с нуля. Даже если злоумышленник получит доступ к системе во время работы, закрепиться в ней не получится – после перезагрузки следы исчезнут.

Но есть и сложность. Узлы Tor со временем накапливают репутацию внутри сети. Она привязана к криптографическому ключу. Если ключ потерять, узел начинает путь с нуля. Значит, ключ должен переживать перезагрузки, но при этом не должен попадать в руки злоумышленников.

Для решения используют модуль доверенной платформы – TPM. Такой чип хранит ключи внутри себя и не отдаёт их операционной системе. Он может «привязать» ключ к конкретному состоянию системы. Если программное окружение изменится, доступ к ключу закроется. Даже при физическом доступе извлечь ключ становится крайне сложно.

Однако TPM не закрывает все проблемы. Некоторые криптографические ключи Tor не поддерживаются напрямую и всё равно хранятся в зашифрованном виде. Обновления системы тоже создают трудности: после изменения программного кода приходится заново «привязывать» ключи, заранее угадывая, как будет выглядеть следующая загрузка.

Есть и практические ограничения. Работать только в оперативной памяти – значит аккуратно управлять ресурсами. Если памяти не хватает, система просто завершает процессы. У разработчиков получилось заметно снизить потребление памяти, но полностью проблема не исчезла. Кроме того, частые перезапуски могут ухудшить положение узла в сети и снизить объём трафика, который через него проходит.

Разные команды уже пробуют свои подходы. Одни просто запускают узлы в памяти и вручную переносят ключи. Другие используют виртуальные машины без дисков и хранят главный ключ отдельно. Есть и более сложные решения с загрузкой проверенных образов и хранением ключей в TPM.

Впереди остаются нерешённые задачи. Автоматически обновляться без потери состояния пока не получается. Проверить, какое именно программное обеспечение запущено на узле, тоже пока не удаётся. В будущем разработчики хотят добавить удалённую проверку состояния системы и открытые журналы, где можно будет убедиться в честности работы узлов.

Идея «забывающего» сервера выглядит радикально, но для анонимных сетей логика понятна. Чем меньше данных хранит узел, тем меньше шансов, что их используют против пользователей. Даже с учётом всех сложностей такой подход уже рассматривают как основу для более безопасной инфраструктуры приватности.