保护敏感元数据，使其不能用于监视

麻省理工学院的研究人员设计了一个可扩展的系统，该系统可以保护通信网络中数百万用户的元数据，如通信对象和通信时间，以帮助保护信息免受可能的国家级监视。

保护在线通信内容的数据加密方案如今很流行。例如，WhatsApp等应用程序使用了“端到端加密”(E2EE)，这是一种确保第三方窃听者无法读取终端用户发送的信息的方案。

但是大多数这些方案都忽略了元数据，元数据包含关于谁在说话、何时发送消息、消息大小和其他信息的信息。很多时候，这就是政府或其他黑客追踪个人所需了解的全部信息。这对于政府告密者或生活在专制政权下的人与记者交谈尤其危险。

完全保护用户元数据和密码隐私的系统是复杂的，它们面临着可伸缩性和速度问题，这些问题迄今限制了它们的实用性。有些方法运行速度快，但安全性差得多。的一篇论文中提出的USENIX研讨会上网络系统设计和实现中,麻省理工学院的研究人员描述“XRD”(十字路口),metadata-protection方案可以处理加密通信从数百万用户在几分钟内,而传统方法与相同级别的安全要花费几个小时的时间,发送每个人的消息。

“对元数据的保护严重缺乏，而元数据有时非常敏感。第一作者Albert Kwon博士说。他是计算机科学和人工智能实验室(CSAIL)的一名应届毕业生。“加密可以很好地保护内容。但是，我们如何才能完全保护用户不受州级对手利用的元数据泄露的影响呢?”

参与Kwon论文写作的还有电子工程与计算机科学系的本科生David Lu;Srinivas Devadas是CSAIL电子工程和计算机科学的Edwin Sibley Webster教授。

新的旋转混合网

从2013年开始，爱德华·斯诺登(Edward Snowden)披露的机密信息揭露了美国政府在全球范围内的广泛监控。尽管美国国家安全局(National Security Agency)随后停止了大规模收集元数据的工作，但在2014年，美国国家安全局(NSA)和中央情报局(cia)前局长迈克尔·海登(Michael Hayden)解释说，政府通常可以完全依靠元数据来找到它要找的信息。巧的是，这正是权开始他的博士研究的时候。

“这就像是对密码学和安全社区的一记重击，”权说。“这意味着，加密并没有真正阻止这方面的间谍活动。”

权相权博士的大部分时间都在研究元数据隐私。通过XRD, Kwon表示，他将传统的E2EE元数据保护方案“mix nets”进行了“新的调整”，该方案是几十年前发明的，但存在可扩展性问题。

Mix网使用服务器链，即所谓的Mix和公钥-私钥加密。第一个服务器接收来自许多用户的加密消息，并从每个消息解密单层加密。然后，它随机打乱消息的顺序，将它们传输到下一个服务器，下一个服务器执行相同的操作，以此类推。最后一个服务器解密最后一个加密层并将消息发送到目标接收方。

服务器只知道即时源(前一个服务器)和即时目的地(下一个服务器)的身份。基本上，变换和有限的身份信息切断了源用户和目标用户之间的联系，使得窃听者很难获得这些信息。只要链中的一个服务器是“诚实的”——即它遵循协议——元数据几乎总是安全的。

然而，“主动攻击”也可能发生，在这种情况下，恶意服务器会混合使用网络篡改消息，从而暴露用户源和目的地。简而言之，恶意服务器可以删除消息或修改发送时间，以创建显示用户之间直接链接的通信模式。

一些方法在服务器之间添加加密证明，以确保没有篡改。它们依赖于公钥加密，公钥加密是安全的，但它也很慢，并且限制了可伸缩性。对于XRD，研究人员发明了一种更有效的密码证明，称为“聚合混合洗牌”，它保证服务器正确地接收和洗牌消息，以检测任何恶意的服务器活动。

每个服务器都有一个秘密私钥和两个共享公钥。每个服务器必须知道所有的密钥来解密和洗牌消息。用户在层中加密消息，在各自的层中使用每个服务器的秘密私钥。当服务器接收到消息时，它使用其中一个公钥和自己的私钥组合对消息进行解密和洗牌。然后，它使用第二个公钥生成一个证明，确认它确实在没有删除或操作任何消息的情况下打乱了所有消息。链中的所有其他服务器都使用它们的秘密私有密匙和其他服务器的公共密匙来验证这个证明。如果在链的任何地方，服务器没有提供证明或提供了不正确的证明，那么它将立即被识别为恶意的。

这依赖于流行的公钥方案与一种称为“认证加密”的方案的巧妙组合，后者仅使用私钥，但在生成和验证证明方面非常迅速。这样，XRD在快速高效运行的同时，实现了公钥加密的严密安全性。

为了进一步提高效率，他们将服务器分成多个链，并在用户之间分配使用。(这是他们改进的另一项传统技术。)使用一些统计技术，他们根据IP地址和其他信息，估计每个链中有多少服务器可能是恶意的。然后，他们计算每个链中需要多少服务器才能保证至少有一个可靠的服务器。然后，他们将用户分成不同的组，这些组向多个随机链发送重复的消息，从而在加快速度的同时进一步保护用户的隐私。

要实时

通过计算机模拟200万用户在100台服务器上发送信息的活动，XRD能够在大约四分钟内让每个人的信息都通过。使用相同服务器和用户编号并提供相同密码安全性的传统系统需要一到两个小时。

Kwon说:“在今天的通讯世界中，就绝对速度而言，这似乎有点慢。”“但重要的是要记住，目前最快的系统(用于元数据保护)需要几个小时，而我们的系统只需要几分钟。”

下一步，研究人员希望能让网络在少数用户和服务器离线的情况下更稳定，并加快运行速度。Kwon说:“对于两个人都有生命危险的敏感信息和电子邮件来说，四分钟是可以接受的，但它不像今天的互联网那么自然。”“我们希望达到这样一种境界，即我们几乎实时地发送受元数据保护的消息。”