Пресечение незаконной деятельности пользователей сети Интернет является одной из актуальных проблем обеспечения информационной безопасности в Российской Федерации. Пресечение деятельности лиц, совершающих противоправные действия с использованием цифровых технологий, в частности, при помощи анонимной сети «Тор», является одной из задач федеральных правоохранительных органов, обеспечивающих информационную безопасность. Сложность выявления и идентификации использования программного комплекса «Тор» в сетях передачи данных обусловлена целым рядом мер, предпринятых его разработчиками, направленными на маскирование потока данных комплекса, среди которых использование современных алгоритмов шифрования пакетов данных. Целью работы является создание и описание набора признаков установления https-соединения программным комплексом «Тор» в условиях применения TLS-шифрования данных протоколом версии v1.3. Задачами работы являются подготовка и анализ материалов трафика программного комплекса «Тор», а также создание на основе полученных данных набора признаков установления соединения между клиентом и сервером анонимной сети. В ходе анализа потока данных анонимной сети исследовался этап установления соединения между клиентом и входным сервером цепи узлов сети «Тор», так называемое «TLS-рукопожатие». Следует отметить, что данная работа дополняет предыдущие исследования по тематике анализа TLS-шифрования в части, касающейся применяемого с 2018 года протокола шифрования TLS v1.3, описывая его особенности как часть механизма реализации анонимизации программным комплексом «Тор». Авторы предлагают использовать размер пакетов «TLS-рукопожатия» в качестве основных признаков, несущих идентифицирующую информацию об установлении анонимного соединения между клиентом и узлом сети «Тор». Исследование выполнено при финансовой поддержке Минобрнауки России (грант ИБ) в рамках научного проекта №23/2020. Программный комплекс «Тор»; обфускация данных; TLS-рукопожатие; протокол шифрования версии TLS v1.3; законное блокирование доступа.
V.V. Lapshichyov, O.B. Makarevich
SET OF DISTINCTIVE FEATURES OF TLS V1.3 HTTPS-CONNECTION ESTABLISHING BY TOR SOFTWARE COMPLEXThe suppression of illegal activities of Internet users is one of the urgent problems of information security in the Russian Federation. The suppression of the activities of persons committing illegal actions using digital technologies, in particular, using the Tor anonymous network, is one of the tasks of federal law enforcement agencies that ensure information security. The difficulty of detecting and identifying the use of the Tor software package in data transmission networks is due to a number of measures taken by its developers aimed at masking the data flow of the complex, including the use of modern algorithms for encryption of data packets. The aim of the work is to create and describe a set of attributes for establishing an https-connection by the Tor software