DECENTデータ公開技術: 安全なノード間通信

ブロックチェーンと Torのようなデータ共有を使用することは、エンドツーエンドのセキュリティとノード間の匿名通信を実現するための強力で信頼性の高い方法です。ただし、特に分散ハッシュ テーブル (DHT) 実装などの軽量 RPC を実装する場合は、速度が遅く非効率的です。セキュリティ レイヤーを使用しないと、データを転送するノードによってユーザーの ID やアクティビティが明らかになる可能性があるため、ユーザーの匿名性が損なわれるリスクが高くなります。一例としては、マグネット リンクに基づくトレント ファイルがあります。分散ハッシュテーブル (DHT) 通信を傍受することで、攻撃者はユーザーが特定のファイルをダウンロードする意図を知ることができます。

こうした種類の攻撃を防ぐには、匿名性、機密性、および否認可能性を提供できる、柔軟で効率的なノード間通信メカニズムを実装する必要があります。選択されたメカニズムは、以下に説明する動的暗号化 UDP トンネル( DEUT) です。

動的に暗号化されたUDPチャネル

役割: DECENT ネットワーク内のすべてのノード。送信者、チャネル エンドポイント、リレー、または受信者として機能できます。

チャネル:マスター ノードとエンド ノード間の安全なチャネル。1 つ以上のリピーターに接続できます。

マスター ノード:特定のチャネルを開始して所有し、すべてのメッセージの最終的な宛先とソースが通過するノード。

エンドポイント:別のノード (マスター) と通信するためのゲートウェイとして機能し、特定のリスニング ポートを割り当てて、このポートで送信するノード。

リレー:チャネル内のマスター ノード、エンドポイント、およびその他のオプションのリレー間でメッセージを転送するノード。特定のチャネル内では、リレーの順序は固定されています。

ノードは IP とポートのペアによって識別されます。チャネルは送信者または受信者によって確立できます。この場合、送信者と受信者の両方に、エンドポイントとリレーとともに独自のチャネル セットが存在します。マスター ノードは、リスト内の任意のノードに送信される生のチャネル制御要求を介してチャネルを初期化します。受信ノードはリレーであり、その場合はリストからランダムにノードを次のホップとして選択します。またはエンドポイントであり、リスニング ポートを開いて、マスター ノードに代わって送信およびリスニングする準備ができています。その後、ゲートウェイはチャネル制御応答メッセージで応答します。このハンドシェイクでは、マスターとエンドポイントが RSA 公開キーを交換し、通信を暗号化するために使用されます。

マスターが特定のノードにデータを送信する場合、リストから 2 つのチャネルをランダムに選択し、関連付けられた公開鍵 (つまり、特定のエンドポイントの公開鍵) を使用してメッセージを暗号化し、最初のリレーに送信します。リレーは、メッセージが宛先に到達するまで転送します。このエンドポイントはメッセージを復号化し、送信元のまま対象の受信者に送信します。

受信者はマスターノードの IP アドレスとポートのペアを知っており、そのアドレスをピアと共有することができます (例: kademlia FIND_NODE プリミティブ メッセージ経由)。

送信者がマスター ノードに接続することを希望し、そのエンドポイントの 1 つのアドレスを把握している場合、そのエンドポイントにメッセージを送信します。エンドポイントは、受信ポートからメッセージが属するチャネルを学習し、マスター ノードの秘密キーを使用してメッセージを暗号化し、最初のリピーターに転送します。

すべてのチャネル通信は UDP に基づいているため、非常に高速かつ効率的であり、さまざまな RPC メッセージのトランスポートとして適しています。アプリケーションに応じて、マスターノードは数パーセントのチャネルを開き、各メッセージに対してランダムに新しいチャネルを選択するため、高いレベルの匿名性、機密性、および否認不能性を実現します。したがって、送信者は、通信が成功するかどうかは、必ずしも（そしておそらくは）送信元のアドレスからではなく、インターネット上のどこからでも予測する必要があります。これらの理由から、DEUT はメッセージ ID を実装し、要求と応答のペアを一致させます。

使用されるRSA キーは一時的なものであり、アプリケーションを再起動するたびに再作成されます。