オニオンルーティング

この記事は情報が古くなっているため、事実関係の正確性に欠けている可能性があります。最近の出来事や新たに入手した情報を反映させるため、この記事の更新にご協力ください。（2017年3月）

オニオンルーティングは、コンピュータネットワーク上で匿名通信を行う技術です。オニオンネットワークでは、メッセージはタマネギの層に似た多層暗号化でカプセル化されます。暗号化されたデータは、「オニオンルーター」と呼ばれる一連のネットワークノードを介して伝送されます。各ノードは層を1つずつ「剥がし」、データの次の宛先を明らかにします。最終層が復号されると、メッセージは宛先に到達します。各中継ノードは直前のノードと直後のノードの位置しか知らないため、送信者の匿名性は維持されます。^{[ 1 ]}オニオンルーティングは高いレベルのセキュリティと匿名性を提供しますが、タイミング解析など、この技術の匿名性を破る方法があります。^{[ 2 ]}

オニオンルーティングは、1990年代半ばに米国海軍研究所の職員であるポール・シバーソン、マイケル・G・リード、デビッド・ゴールドシュラッグによって、米国の諜報通信をオンラインで保護するために開発されました。^{[ 3 ] [ 4 ] [ 5 ]}その後、国防高等研究計画局（DARPA）によって改良され、1998年に海軍によって特許を取得しました。^{[ 4 ] [ 6 ] [ 7 ]}

この手法は、同じ年に同じ従業員によってIEEE Journal on Selected Areas in Communications誌に掲載された論文を通じて公開されました。論文では、ネットワークや外部の監視者による盗聴やトラフィック解析攻撃からユーザーを保護するための手法が示されていました。この研究の最も重要な部分は、仮想プライベートネットワーク、ウェブブラウジング、電子メール、リモートログイン、電子マネーといった既存の電子サービスにおけるオニオンルーティングの設定と適用です。^{[ 8 ]}

既存のオニオン ルーティング テクノロジをベースに、コンピューター サイエンティストのRoger Dingledine 氏とNick Mathewson氏が 2002 年にPaul Syverson氏に加わり、当時はオニオン ルーティング プロジェクト ( Torプロジェクト)と呼ばれていた、オニオン ルーティングの最大かつ最もよく知られた実装を開発しました。

海軍研究所がTorのコードを無料ライセンスで公開した後、^{[ 5 ] [ 9 ] [ 10 ]} 、ディングルダイン、マシューソンとその他5人が、電子フロンティア財団と他のいくつかの組織の財政的支援を受けて、2006年に非営利団体としてTorプロジェクトを設立しました。^{[ 11 ] [ 12 ]}

比喩的に言えば、タマネギとは、メッセージを暗号化の層で「包む」ことで形成されるデータ構造であり、メッセージが宛先に到達する前に、層の数と同じ数の中間コンピュータによって復号（「剥がされる」または「アンラップされる」）されます。元のメッセージは、あるノードから次のノードへと転送される間も隠されたままであり、データの送信元と最終的な宛先の両方を知る中間コンピュータは存在しないため、送信者は匿名のままです。^{[ 13 ]}

オニオンを作成して送信するために、発信者は「ディレクトリノード」が提供するリストからノードの集合を選択します。選択されたノードは「チェーン」または「サーキット」と呼ばれる経路に配置され、メッセージはこの経路を通って送信されます。送信者の匿名性を保つため、サーキット内のどのノードも、自分の前のノードが発信者なのか、それとも自分と同じような中継ノードなのかを判別できません。同様に、サーキット内のどのノードも、サーキット内に他にいくつのノードが存在するかを知ることはできず、最後のノードである「出口ノード」だけがチェーン内の自身の位置を判断できます。^{[ 13 ]}

非対称鍵暗号を用いて、発信者はディレクトリノードから公開鍵を取得し、暗号化されたメッセージを最初の（「エントリ」）ノードに送信することで、接続と共有秘密（「セッション鍵」）を確立します。確立されたエントリノードとの暗号化リンクを用いて、発信者は最初のノードを経由してチェーン内の2番目のノードにメッセージを中継することができます。この暗号化は、最初のノードではなく、2番目のノードのみが復号可能です。2番目のノードがメッセージを受信すると、最初のノードとの接続を確立します。これにより、発信者からの暗号化リンクが拡張されますが、2番目のノードは最初のノードが発信者なのか、それとも回線内の単なる別のノードなのかを判断できません。発信者は、最初のノードと2番目のノードを経由して3番目のノードに、3番目のノードのみが復号可能なように暗号化されたメッセージを送信できます。3番目のノードは、2番目のノードと同様に、発信者とリンクされますが、2番目のノードとのみ接続します。このプロセスは、より大規模なチェーンを構築するために繰り返すことができますが、通常はパフォーマンスを維持するために制限されています。^{[ 13 ]}

チェーンが完了すると、発信者はインターネット経由で匿名でデータを送信できます。データの最終受信者がデータを送り返すと、中間ノードは発信者への同じリンクを維持し、データは再び階層化されますが、これは逆順で行われます。つまり、最終ノードが最初の暗号化レイヤーを追加し、最初のノードが最後の暗号化レイヤーを追加してから、データ（例えばウェブページ）を発信者に送信します。発信者はすべてのレイヤーを復号化できます。^{[ 13 ]}

一般的なインターネット接続が匿名とは見なされない理由の一つは、インターネットサービスプロバイダーがコンピュータ間の接続を追跡し、ログに記録できることです。例えば、ユーザーが特定のウェブサイトにアクセスすると、データ自体はHTTPSなどの接続によって保護されます。ユーザーのパスワード、メール、その他のコンテンツは外部から閲覧できませんが、接続自体、接続時刻、転送データ量は記録されます。オニオンルーティングは、2台のコンピュータ間にパスを作成し、それを隠蔽します。そのため、ユーザーからウェブサイトへの直接的な接続は識別できませんが、コンピュータ間の接続記録は残ります。トラフィック分析は、潜在的な送信元による接続の記録を検索し、タイミングとデータ転送を、潜在的な受信者への接続と照合しようとします。攻撃者がルートの両端を侵害した場合、送信元が未知のコンピュータに一定量のデータを転送したのと、別の未知のコンピュータが特定の宛先に全く同じサイズのデータ​​を転送したのとで、指定秒数前に転送されたことが確認されることがあります。^{[ 14 ] [ 15 ]}トラフィック分析を容易にする要因としては、ノードの障害やネットワークからの離脱^{[ 15 ]}や、チェーンが定期的に再構築される際に発生するセッションを追跡している侵害されたノードなどが挙げられます。^{[ 16 ]}

ガーリックルーティングは、 I2Pネットワークに関連したオニオンルーティングの変種であり、複数のメッセージをまとめて暗号化することで、データ転送速度が向上し、攻撃者がトラフィック分析を行うことが困難になります。^{[ 17 ] [ 18 ]}

送信されるメッセージは複数の暗号化層を経て送信されますが、チェーンの最終ノードである出口ノードの役割は、最終層を復号し、メッセージを受信者に届けることです。そのため、侵入された出口ノードは、送信されている生データを取得することができ、パスワード、プライベートメッセージ、銀行口座番号、その他の個人情報が含まれる可能性があります。スウェーデンの研究者であるダン・エガースタッドは、このような攻撃を用いて、外国大使館に関連する100以上のメールアカウントのパスワードを収集しました。^{[ 19 ]}

出口ノードの脆弱性は、セキュリティ保護されていない無線ネットワークの脆弱性に似ています。ネットワーク上のユーザーが送信するデータが、別のユーザーやルーターのオペレーターによって傍受される可能性があります。どちらの問題も、SSL/TLSやセキュアHTTP（S-HTTP）などの安全なエンドツーエンド接続を使用することで解決できます。送信者と受信者の間でエンドツーエンドの暗号化が行われ、送信者が出口ノードが提供する偽のSSL証明書を信頼しない限り、最後の中継ノードでさえ元のメッセージを見ることはできません。

• Onion-Router.net – 以前は米国海軍研究所の高保証コンピュータシステムセンターでホストされていたサイト
• Syverson, PF; Goldschlag, DM; Reed, MG (1997). 「匿名接続とオニオンルーティング」(PDF) . Proceedings. 1997 IEEE Symposium on Security and Privacy . pp.  44– 54. doi : 10.1109/SECPRI.1997.601314 . ISBN 0-8186-7828-3. S2CID  1793921 .