Boa noite povo
Seguimos a tradução de “The Sybil Attack”. Essa é a parte 3, no último versículo vimos a segunda.
Este modelo tem duas qualidades notáveis: primeiro, é bastante geral. Ao deixar o interior da nuvem não especificado, este modelo inclui virtualmente qualquer topologia de interconexão de segmentos compartilhados, links dedicados, roteadores, comutadores ou outros componentes. Segundo, o ambiente neste modelo é bastante amigável. Em particular, na ausência de restrições de recursos, ataques de negação de serviço (DoS) não são possíveis. Uma mensagem de uma entidade funcionando corretamente alcançará garantidamente todas as outras entidades funcionando corretamente.
Colocamos uma restrição mínima nos recursos computacionais disponíveis para cada entidade, ou seja, existe algum parâmetro de segurança n para o qual todas as entidades podem executar operações cuja complexidade computacional é polinomial (de ordem baixa) em n, mas para o qual nenhuma entidade pode executar operações que são superpolinomiais em n. Esta restrição permite que as entidades usem criptografia de chave pública [24] para estabelecer caminhos de comunicação ponto a ponto que sejam privados e autenticados. Embora esses caminhos virtuais sejam tão seguros como links físicos ponto a ponto, eles existem apenas quando criados por pares de entidades que se reconheceram. Nosso modelo exclui links diretos entre entidades porque um link físico provê uma forma de identificação fornecida centralmente de uma entidade remota distinta. Também, no mundo real, os pacotes podem ser farejados [sniffed] e falsificados, então a suposição básica de um meio de transmissão (aumentada por criptografia) não é irrealista.
Uma identidade é uma representação abstrata que persiste através de vários eventos de comunicação. Cada entidade e tenta apresentar uma identidade i para outras entidades no sistema. (Sem perda de generalidade, declaramos nossos resultados com relação à entidade local específica l que se supõe ser correta) Se e apresentar com sucesso a identidade i para l, dizemos que l aceita a identidade i.
Uma forma simples para uma identidade é um hash seguro de uma chave pública. Sob suposições criptográficas padrão, um identificador assim é não-forjável. Além disso, uma vez que pode gerar uma chave simétrica para uma sessão de comunicação, é também persistente em uma maneira útil.
Cada entidade correta c tentará apresentar uma identidade legítima. Casa entidade faltosa f pode tentar apresentar uma identidade legítima e uma ou mais identidades falsas. Idealmente, o sistema deveria aceitar todas as identidades legítimas, mas nenhuma identidade falsa.
3 Resultados
Esta seção apresenta quatro lemas simples, com provas quase triviais, que mostram coletivamente a impraticabilidade de estabelecer identidades distintas em um sistema distribuído de larga escala.
Uma entidade tem três potenciais fontes de informação sobre outras entidades: uma agência confiada, ela mesma, ou outras entidades (não confiadas). Na ausência de uma autoridade confiada, ou uma entidade aceita apenas identidades que ela validou diretamente (de alguma maneira) ou ela também aceita identidades atestadas por outras identidades que já aceitou.
Para validação direta, mostramos:
- Mesmo quando com recursos severamente restringidos, uma entidade faltosa pode falsificar um número constante de identidades múltiplas.
- Cada entidade correta deve simultaneamente validar todas as identidades que são apresentadas; caso contrário, uma entidade faltosa pode falsificar um número ilimitado de identidades.
Sistemas distribuídos de larga escala são inevitavelmente heterogêneos, levando a disparidade de recursos que exacerbam o resultado anterior. O último resultado apresenta um impedimento direto à escalabilidade.
Para validação indireta, na qual uma entidade aceita identidades que são atestadas por identidades já aceitas, mostramos:
- Um conjunto suficientemente grande de entidades faltosas pode falsificar um número ilimitado de identidades.
- Todas entidades no sistema devem executar suas validações de identidade simultaneamente; caso contrário, uma entidade faltosa pode falsificar um número constante de múltiplas identidades.
Uma vez que o número de entidades faltosas no sistema provavelmente vai crescer na medida em que o tamanho do sistema aumente, o resultado anterior coloca outro limite na escalabilidade do sistema. A última restrição fica cada vez mais difícil de satisfazer com o aumento do tamanho do sistema.
[24] A. J. Menezes, P. C. van Oorschot, S. A. Vanstone. Handbook of Applied Cryptography. CRC Press, 1997.
Vista a parte 3, continuamos no próximo com a quarta. Abraços!