オニオンルーティング
オニオンルーティング とは何ですか?
オニオンルーティングメッセージを入れ子の暗号化で多層に包み、各リレーが 1 層ずつ剥がして宛先まで届ける匿名通信方式。
オニオンルーティング(Onion Routing)は、Tor を始めとする mixnet の暗号設計です。クライアントはリレーの経路を選び、各リレーごとに別個の対称鍵を導出し、内側から順にメッセージを多重暗号化します。回路を進むにつれ、各リレーは自分の層だけを復号でき、直前・直後のホップのみを認識します。両端を同時に把握できる単一のノードが存在しないため、ネットワーク観測者、ISP、単一リレーのいずれも送信元と宛先を結びつけられません。オニオンルーティングは隠れサービスも実現しており、クライアントとサーバが半回路を構築してネットワーク内のランデブーポイントで合流します。制約としてはトラフィック解析攻撃、平文通信時の悪性 Exit ノード、遅延などがあり、対策には Guard リレー固定、エンドツーエンド TLS、一定レートのカバートラフィックがあります。
● 例
- 01
Tor の Guard・Middle・Exit からなる回路で、各リレーが AES の 1 層を剥がしていく。
- 02
Onion サービスの Introduction Point と Rendezvous Point のハンドシェイクが、クライアントとサーバ双方のアドレスを秘匿する。
● よくある質問
オニオンルーティング とは何ですか?
メッセージを入れ子の暗号化で多層に包み、各リレーが 1 層ずつ剥がして宛先まで届ける匿名通信方式。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
オニオンルーティング とはどういう意味ですか?
メッセージを入れ子の暗号化で多層に包み、各リレーが 1 層ずつ剥がして宛先まで届ける匿名通信方式。
オニオンルーティング はどのように機能しますか?
オニオンルーティング(Onion Routing)は、Tor を始めとする mixnet の暗号設計です。クライアントはリレーの経路を選び、各リレーごとに別個の対称鍵を導出し、内側から順にメッセージを多重暗号化します。回路を進むにつれ、各リレーは自分の層だけを復号でき、直前・直後のホップのみを認識します。両端を同時に把握できる単一のノードが存在しないため、ネットワーク観測者、ISP、単一リレーのいずれも送信元と宛先を結びつけられません。オニオンルーティングは隠れサービスも実現しており、クライアントとサーバが半回路を構築してネットワーク内のランデブーポイントで合流します。制約としてはトラフィック解析攻撃、平文通信時の悪性 Exit ノード、遅延などがあり、対策には Guard リレー固定、エンドツーエンド TLS、一定レートのカバートラフィックがあります。
オニオンルーティング からどのように防御しますか?
オニオンルーティング に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
● 関連用語
- attacks№ 1165
Tor / Tor Browser
通信を 3 つのリレー経由でオニオンルーティング転送し、利用者と接続先を匿名化する匿名ネットワークと、その専用に強化された Firefox ベースのブラウザ。
- attacks№ 503
I2P
Invisible Internet Project。各ノードがそのままルータも兼ねる P2P 匿名ネットワークで、単方向トンネルと garlic ルーティングを用いる。
- attacks№ 271
ダークウェブ
Tor や I2P など専用ソフトでのみアクセスでき、クライアントとサーバ双方の身元を意図的に隠すインターネットの一部。
- attacks№ 296
ディープウェブ
公開検索エンジンにインデックスされない Web 全般。プライベート DB・イントラネット・認証ポータルなどを含み、ダークウェブとは別物。
- privacy№ 274
データ匿名化
他の利用可能な情報と組み合わせても直接的・間接的に個人を識別できないよう、個人データを不可逆に変換する処理。
- network-security№ 1212
VPN(仮想プライベートネットワーク)
公衆網上に暗号化・認証されたトンネルを構築し、あたかも専用網経由のように通信を扱う技術。