La red de igual a igual

Navega tus respuestas
5

Buenos días, chicos, actualmente estoy investigando el Project Maelstorm (Proyecto de navegador web BitTorrent Peer-To-Peer) , y surgió una pregunta en mente.

Cuando se encuentra en una red P2P, los usuarios comparten el archivo que se originó en una sola fuente, una vez que el primer usuario ha descargado la fuente, se puede usar una comprobación de hash para asegurar que el archivo que está transmitiendo ese usuario no sea modificado ( Con más usuarios, esto también bloquea los ataques MITM, porque puede comparar una gran cantidad de hashes y ver si coinciden antes de confiar en alguien).

Ahora viene mi (s) pregunta (s):

  • 1: ¿Qué pasa con los scripts del lado del servidor? Por ejemplo, digamos que tengo un sitio web con una página de inicio de sesión, ¿cómo se verificará la información de mi contraseña de inicio de sesión? Si eso requiriera un servidor principal, ya no estaremos en una red de igual a igual, si los archivos de la base de datos también se transfirieran con la estructura principal del sitio web, no sería eso:

    • A: ¿Inseguro? Las contraseñas se pueden cifrar, pero ¿qué pasa con la información personal? (¿Qué se necesita en el sitio web, por ejemplo, su dirección en Facebook?).
    • B: ¿Lento? Dado que una base de datos puede obtener actualizaciones constantes (pensemos en 1.5k usuarios que actualizan sus perfiles constantemente), esto requeriría una revisión constante del hash del archivo, que consumirá una gran cantidad de datos en ambos extremos.

  • 2: ¿Se enviarán DDoSes y Takedowns contra qué? La esencia de P2P es bloquear ambos, si todavía existiera una forma de servidor-cliente para la transferencia de datos, ¿no sería eso fácil para alguien con DDOS el servidor de base de datos? ¿Y para que govnt / isps envíe avisos de eliminación a los hosts del servidor de base de datos?

Gracias y que tengas un buen día. - Fabricio20

    
pregunta Fabricio20 03.01.2016 - 10:51
fuente

1 respuesta

6

He pensado mucho en esta área durante los últimos dos años, y la respuesta más simple a sus dos preguntas es que una red totalmente homogénea introduciría nuevas formas de manejar aquellos procesos que Tradicionalmente residen en un servidor. Los sitios web de igual a igual probablemente no recibirán los datos en línea. Como Meteor, probablemente trabajaría con una versión de los archivos del sitio web estático, y esos archivos incluirían scripts que se ejecutan en el lado del cliente para llenar la página con datos y enviar comandos / solicitudes a un "servidor" externo según sea necesario. En una red de igual a igual, el servidor se parecería más a una red pública de usuarios completa.

Piensa en un sitio web como Facebook. ¿Qué consigues al iniciar sesión y mantener una sesión? En primer lugar, usted obtiene acceso a toda la información privada que está autorizado a ver. Tradicionalmente, su cookie de sesión es toda la autenticación necesaria en una solicitud para acceder a datos privados.

Pero en una verdadera infraestructura peer-to-peer, ¿quién tiene esta información privada para empezar? Bueno, deberían ser otros compañeros como tú. Incluso si puede demostrar su identidad a un compañero, no debería estar manejando ninguno de sus datos privados en texto sin formato. Por lo tanto, el cifrado debería ser una parte importante de cualquier red segura de igual a igual. Cuando los datos se cifran correctamente y las claves se manejan con cuidado, la prueba de identidad es menos esencial: si puede descifrar los datos, está implícitamente autorizado para acceder a ellos.

Para volver al ejemplo de Facebook, compartir la información privada se puede hacer transmitiendo la clave de descifrado a los contactos a los que desea autorizar. La medida más cercana para revocar el acceso sería eliminar los datos por completo o volver a cifrar y transmitir una nueva clave a todos los contactos restantes que estén autorizados. Para cifrar los datos de un contacto en particular, la red de igual a igual probablemente utilice criptografía de clave pública: extraiga la clave pública de un contacto y luego la use para cifrar cualquier transmisión privada. Con criptografía inteligente, los mensajes podrían almacenarse en una red de igual a igual sin ninguna preocupación sobre la manipulación indebida o la intercepción.

Por supuesto, la autenticación va más allá de los derechos de acceso. En el Facebook real y tradicional, su sesión válida le permite actuar bajo su propia identidad: si publica algo en su muro, cualquier otro usuario confiará implícitamente que fue su tarea. Puede replicar este tipo de cosas, y con una certeza considerablemente mayor, utilizando firmas digitales para la autenticación de mensajes sobre la marcha. El proceso de autenticación de cualquier información en el sitio como válida ocurrirá en el lado del cliente y no se mostrarán publicaciones sin firmar porque no habría información válida sobre el autor.

Debido a que la información se movería indiscriminadamente por la red, cualquier sistema de intercambio de archivos distribuido debería servir de base para implementar una infraestructura como esta. La denegación de servicio debería, en teoría, ser una tarea difícil. Hay muchos pros y contras en la regulación de la privacidad solo con la criptografía, pero al final del día es mucho más fiel a la vida. No habría nadie a quien citar para la renuncia o el cese, excepto los propios usuarios (podría ser anónimo), y viene con más integridad en cada esquina.

    
respondido por el AJAr 03.01.2016 - 12:39
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son los peligros de crear bases de datos MySQL sobre la marcha? ¿Es lo suficientemente seguro firmar el archivo apk de Android con el resumen SHA1?