При размышлении об анонимности опасно думать только "если использовать этот инструмент, будет безопасно".
меняет информацию, видимую ISP. Но VPN-провайдер становится новой доверенной стороной. Облако удобно, но приходится доверять облачному провайдеру и людям, с которыми вы делитесь. При использовании SecureDrop или сервиса анонимной публикации также важны доверие к адресату и оператору.
Модель доверия - это способ разобрать, кому и что вы готовы показывать.
В этой статье объясняются основы модели доверия в анонимности. Модель угроз и модель доверия тесно связаны, поэтому подробнее они рассматриваются в статье "Модель угроз и модель доверия".
Что такое модель доверия
Модель доверия - это способ разобрать, "кому доверять" и "что видно этой стороне".
В анонимности информация редко исчезает полностью; чаще меняется сторона, которой она видна.
Инструмент или ситуация
Доверенная сторона
Информация, которая может быть видна
Обычное подключение
ISP, сервис назначения
IP назначения, IP источника, данные входа
VPN
VPN-провайдер
Источник подключения, факт использования VPN, сведения, связанные с направлениями связи
Дизайн Tor, распределение узлов
Информация разделяется по входным и выходным узлам
Облачный обмен
Облачный провайдер, получатель доступа
Файл, владелец, история общего доступа
Анонимная площадка публикации
Оператор сервиса
Содержание публикации, журналы, время отправки
Нужно смотреть не как "никому не видно", а "кому теперь это видно".
Модель доверия VPN
VPN меняет IP-адрес, видимый месту назначения, на VPN-сервер.
Но взамен вы доверяете VPN-провайдеру. Именно поэтому проверяют политику журналов, оператора, юрисдикцию, приложение, аудит и отчеты прозрачности.
Сторона
Что видно при использовании VPN
На что обратить внимание
ISP
Подключение к VPN-серверу
Конечный сайт назначения напрямую виден хуже
VPN-провайдер
Информация, необходимая для оказания сервиса
Проверять политику журналов и оператора
Сайт назначения
IP VPN-сервера
и вход в аккаунт остаются
Сам пользователь
Управляет содержанием публикаций и логинами
Ошибки практики создают корреляцию
VPN - не инструмент, который удаляет доверенную сторону.
Это инструмент, который переносит доверенную сторону.
Модель доверия Tor
Tor не собирает маршрут связи у одного VPN-провайдера, а разделяет роли между несколькими промежуточными узлами.
Входной узел знает источник подключения пользователя, но не знает напрямую конечный сайт назначения. Выходной узел знает сайт назначения, но не знает напрямую исходный IP пользователя.
Сторона
Видимая информация
На что обратить внимание
Входной узел
Источник подключения пользователя
Конечный сайт назначения напрямую не виден
Средний узел
Часть маршрута
Общую картину видеть трудно
Выходной узел
Сайт назначения
При открытой связи видно содержимое
Сайт назначения
Выходной узел Tor
Логин и Cookie остаются
ISP
Факт использования Tor
Само использование Tor иногда заметно
Tor - это дизайн распределения доверия.
Тем не менее, если состояние входа или содержание публикации указывает на вас, анонимность ослабевает.
IP, содержание публикации, файл, связанных людей, время
Кому допустимо это видеть
VPN-провайдеру, облаку, получателю материалов
Остаются ли журналы
серверы, приложения, DNS, внутренние журналы организации
Каковы последствия ошибки
консультация, сообщение о нарушении, активность, защита источника
В высокорисковой активности бывают ситуации, где модель доверия лучше не оценивать в одиночку.
Если речь идет о сообщении о нарушениях, защите источника или физической безопасности, стоит рассмотреть консультацию с юристом, поддерживающей организацией или надежным специалистом.
Частые заблуждения
Частое заблуждение о модели доверия - думать, что доверенные стороны можно свести к нулю.
В реальности во многих ситуациях приходится доверять кому-то: VPN-провайдеру, дизайну Tor, облачному провайдеру, почтовому сервису, получателю материалов, консультанту. В анонимности это доверие выбирают осознанно.
Заблуждение
Правильный взгляд
С VPN никому ничего не видно
VPN-провайдер становится новой доверенной стороной
Tor скрывает и содержание публикации
Маршрут связи и содержание публикации - разные вещи
Облачная ссылка безопасна, если она непубличная
Могут оставаться имя владельца и история общего доступа
Адресат запроса на удаление всегда безопасен
При подтверждении личности иногда передают дополнительную информацию
Консультанту можно рассказывать все
Нужно смотреть надежность и конфиденциальность адресата
Когда доверенные стороны видны, выбор инструментов становится реалистичнее.
Доверие рассматривают по уровням
В модели доверия не делают простой выбор "доверять или не доверять".
По уровням смотрят, какая информация может быть видна, какую информацию показывать нельзя, к каким сторонам могут прийти юридические запросы, и какие стороны могут ошибиться в эксплуатации.
Уровень
Что учитывать
Низкое доверие
По возможности не передавать информацию
Ограниченное доверие
Передавать только необходимую информацию
Операционное доверие
Передать часть функций ради использования сервиса
Доверие с учетом правового риска
Учитывать юрисдикцию и запросы на раскрытие
Человеческое доверие
Смотреть конфиденциальность консультанта или получателя
В анонимности важно не столько свести доверие к нулю, сколько понимать, куда оно помещено.
Модель доверия пересматривают
Модель доверия не устанавливается один раз навсегда.
Условия сервиса, политика журналов, оператор, спецификация приложения, страна или регион использования меняются. Если анонимная активность продолжается, регулярно пересматривают используемые VPN, почту, облако, адресатов передачи и консультантов.
Что пересматривать
Причина
Политика журналов
Сохраняемая информация может измениться
Оператор
Может измениться компания или юрисдикция
Спецификация приложения
Могут измениться утечки информации и разрешения
Способ оплаты
Меняется корреляция с настоящими данными
Консультант
Нужно проверять конфиденциальность и безопасность
Модель доверия связана не только с выбором сервиса, но и с выбором адресата консультации.
При запросе на удаление, правовой консультации, передаче журналистам или обращении в поддерживающую организацию проверяют, какую информацию получает другая сторона, как хранит ее и кому передает.
Как читать статьи об инструментах
Когда читаете статьи о VPN, Tor, облаках и инструментах анонимной передачи, обязательно проверяйте модель доверия.
Что этот инструмент скрывает. Кому что видно. Насколько вы доверяете оператору. Остаются ли логины и содержание публикаций. Если выбирать только по слову "рекомендуется", не проверяя это, цель и мера защиты расходятся.
Вопрос при чтении
Причина
Что меняется
Понять эффект инструмента
Что остается
Избежать переоценки
Кому доверять
Понять перенос доверенной стороны
Как обрабатываются журналы
Учитывать последующую сверку
Подходит ли моей цели
Избежать избытка и недостатка
Модель доверия становится осью проверки при чтении статей.
Итоги
Модель доверия - это способ разобрать, кому вы доверяете и что видно этой стороне.
Инструменты анонимности часто не удаляют информацию полностью, а меняют сторону, которой она видна.
В VPN новой доверенной стороной становится VPN-провайдер. В Tor доверие распределяется между несколькими узлами. В облаке и на площадках анонимной публикации также важно доверие к провайдеру или оператору.
В анонимности проверяют не название инструмента, а то, куда переносится доверенная сторона.
Связанные инструменты
Public IP Check
WhatIsMyIP
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.