Servidor con amnesia: Tor Project convierte el olvido en su principal medida de seguridad
La nueva arquitectura de Tor protegerá los datos de los usuarios ante la captura física de un servidor.
Un servidor que no recuerda nada suena a broma. Pero esa es precisamente la idea que ahora intentan implementar en la red Tor, para proteger los nodos de confiscaciones y ataques.
Los operadores de nodos Tor han vivido durante mucho tiempo bajo presión. Intentan sabotear y desconectar los nodos, y a veces simplemente los incautan junto con el equipo. Casos así ocurrieron en Austria, Alemania, Estados Unidos y Rusia. Cuando un servidor cae en manos ajenas, deja de ser un medio de protección y se convierte en una fuente de riesgo. Si en el dispositivo quedan datos, pueden analizarlos y utilizarlos contra los usuarios de la red.
Tor fue concebido como un sistema en el que ningún nodo conoce la cadena completa de conexión. Periodistas, activistas e informantes confían en esa arquitectura. Pero si un atacante obtiene acceso al servidor y a su contenido, la confianza en la red disminuye. Por eso surgió la idea de ejecutar nodos de modo que, tras reiniciarlos, no quede nada en ellos.
Se trata de los llamados sistemas «sin disco». Un servidor así se inicia cada vez desde una imagen inmutable y funciona únicamente en la memoria RAM. Tras apagarlo, todos los datos desaparecen. El servidor se borra por completo al reiniciarse y no deja registros ni artefactos criptográficos. Un enfoque similar lo utiliza desde hace tiempo el sistema Tails. Para los nodos Tor la idea no es nueva: ya en 2015 existía el proyecto Tor-ramdisk.
El enfoque ofrece varias ventajas. Si se incauta el servidor, no habrá nada que analizar. La configuración permanece inalterada porque en cada arranque el sistema se despliega desde cero. Incluso si un atacante accede al sistema mientras está en funcionamiento, no podrá afianzarse en él: tras el reinicio las huellas desaparecen.
Pero hay una dificultad. Con el tiempo los nodos Tor acumulan reputación dentro de la red. Esta está vinculada a una clave criptográfica. Si se pierde la clave, el nodo empieza desde cero. Por tanto, la clave debe sobrevivir a los reinicios, pero sin caer en manos de atacantes.
Para resolverlo se usa el módulo de plataforma confiable — TPM. Ese chip almacena las claves en su interior y no las entrega al sistema operativo. Puede «vincular» una clave a un estado concreto del sistema. Si el entorno de software cambia, el acceso a la clave se cerrará. Incluso con acceso físico resulta extremadamente difícil extraer la clave.
Sin embargo, el TPM no resuelve todos los problemas. Algunas claves criptográficas de Tor no son compatibles directamente y siguen almacenándose cifradas. Las actualizaciones del sistema también plantean dificultades: tras cambiar el código del software hay que «vincular» de nuevo las claves, anticipando cómo será el siguiente arranque.
También hay limitaciones prácticas. Trabajar solo en la memoria RAM implica gestionar con cuidado los recursos. Si la memoria no es suficiente, el sistema simplemente finaliza procesos. Los desarrolladores han logrado reducir significativamente el consumo de memoria, pero el problema no ha desaparecido por completo. Además, los reinicios frecuentes pueden empeorar la posición del nodo en la red y reducir el volumen de tráfico que atraviesa por él.
Distintos equipos ya prueban sus enfoques. Unos simplemente ejecutan los nodos en memoria y trasladan las claves manualmente. Otros usan máquinas virtuales sin disco y guardan la clave principal por separado. También existen soluciones más complejas que cargan imágenes verificadas y guardan las claves en el TPM.
Quedan tareas sin resolver. Aún no es posible actualizarse automáticamente sin pérdida de estado. Tampoco se logra verificar exactamente qué software se está ejecutando en un nodo. En el futuro los desarrolladores quieren añadir comprobación remota del estado del sistema y registros abiertos donde se pueda verificar la integridad del funcionamiento de los nodos.
La idea del servidor «olvidadizo» parece radical, pero para las redes anónimas la lógica es clara. Cuantos menos datos almacene un nodo, menos probabilidades habrá de que se utilicen contra los usuarios. Incluso teniendo en cuenta todas las dificultades, este enfoque ya se considera una base para una infraestructura de privacidad más segura.