Колко устойчива на атаки е SAFE мрежата?

С излизането на SAFE-Fleming обединяваме всички компоненти необходими за пълното функциониране на децентрализирана без нужда от позволение мрежа. Нивото за съхранение на информация ще дойде скоро след това. Но това е голяма новина само по себе си. В предишната ни публикация по темата “Големите въпроси: SAFE Fleming и отвъд” хвърлихме светлина върху някои от предизвикателства, пред които сме изправени.

Критичната част тук е съчетанието: ‘без нужда от позволение’. То лежи в сърцето на множество решения, върху които се базира дизайна на SAFE Network. Едно от тях е подредения консенсус - нещо, което разглеждаме подробно в темата обясняваща “Какво е SAFE-Fleming?”. Друго, което допълва консенсуса е устойчивостта на Сибил атаки (Sybil Resistance), върху които ще се спрем малко по подробно сега.

Нека започнем с обяснението на Сибил атаките от Уикипедия:

“Нападателя разрушава системата на децентрализирана мрежа основана на репутация като създава голям брой фалшиви идентичности и ги използва за да придобие непропорционално голямо влияние спрямо другите участници.”

Може би познавате други мрежи по-добре. Нека вземем Биткойн за пример. При него механизмът за доказателство за работа (proof-of-work - PoW) е ефективно средство срещу Сибил атаки, защото независимо колко идентичности създаде нападателя, той все още трябва да контролира повече от 50% от изчислителната скорост в мрежата за да бъде ефективна атаката му.

Но както знаем PoW блокчейн не е подходящо решение за SAFE мрежата поради голям брой причини (включително невъзможността за разрастване на мащаба на мрежата и асинхроността). Затова се налага да постигнем сигурност чрез други методи.

Преди да продължим искаме да обърнем внимание, че Сибил атаките не са единствената възможна форма на атака срещу мрежата. Но е съществена категория от атаки и затова заслужава собствена тема.

Но, защо?

Когато мислим за Сибил атаките може да е полезно да се съсредоточим върху една от слабостите на съществуващите социални мрежи. В повечето случаи е доста лесно някой да създаде голям брой фалшиви идентичности за да придобие голямо влияние. Независимо дали тези идентичности са частично или напълно автоматизирани, резултата е същия. Когато се използват заедно те могат да манипулират дискусията в своя полза. В някои случаи това се използва просто за увеличаване на продажбата на ежедневни продукти. В други случаи обаче позволява на нападателя да подрие фундаментите на свободата и демокрацията.

В контекста на SAFE Network спирането на Сибил атаки е критично поради множество причини - включително спирането на злонамерена личност, опитваща се да включи в мрежата голям брой компютри за да придобие контрол върху Секции или за да открадне SafeCoins.

Как спираме Сибил атаките?

За да се предпазим от тях има няколко стъпки, които сме предприели. В основата си нещата опират до това да направим тази атака изключително скъпа за злонамерената личност, както измерено във време, така и в пари и ресурси. В Биткойн доказателството за работа прави Сибил атаките много скъпи, защото изисква, нападащия да има контрол над повече от 50% от изчислителната скорост в мрежата. По същия начин ние искаме да направим атаките срещу SAFE мрежата толкова скъпи, че да станат невъзможни.

По точно

Може да идентифицираме две свойства на мрежата, които ще вдигнат стойността на атаката драматично.

• Разреждане на ресурсите на атакуващия, за да се намали възможността да придобият локално преимущество.
• Разреждане на възможността на атакуващия да получи значимо влияние.

Може да постигнем това чрез комбинация от механизми:

1. Не приемай сляпо всеки компютър, който желае да се включи в мрежата

SAFE Network приема нови Трезори само когато има нужда от ресурси. Това значи, че злонамерена личност не може просто да създаде 10 милиона Трезора и да ги включи към мрежата. Разбира се това трябва да се балансира с желанието ни да позволим на максимален брой домашни потребители да се присъединят.

2. Балансирано преместване

Компютър, който се присъединява в мрежата няма избор. Местоположението му в мрежата се избира от другите компютри. Това значи, че компютрите на нападател се разпръскват из цялата мрежа и за него е невъзможно да получи локално влияние. Критичното тук е, че атакуващите компютри не могат да се натрупат на едно място.

3. Възраст на възлите (node ageing)

Регулиране на влиянието на всеки компютър във взимането на решенията според количеството работа, което е свършил за определено време значи, че нападател не може да получи контрол без преди това да е предоставил на мрежата реални и големи количества ресурси. Количеството и силата на компютрите, които атакуващия има са без значение ако те са от скоро време в мрежата, защото заради младата си “възраст” имат много малко влияние върху взимането на решенията (всъщност започват от 0). Докато трупат време на работа, компютрите също така биват местени от една секция в друга, което пречи на концентрирането на злонамерени компютри. Информацията от други P2P мрежи показва, че най-дълго свързаните компютри в мрежата са най-стабилни, което значи, че те е малко вероятно да се изключат и затова предоставят стабилно ядро, което е трудно да бъде превзето от Сибил компютри.

Може да се каже, че на практика въвеждането на “възраст на възлите” води до същия резултат като доказателството за залог (proof-of-stake), където е необходимо да заложите голямо количество пари преди да получите глас във взимането на решения.

Комбинирането на всичко това заедно с други добре обмислени SAFE параметри (като броя на компютрите в типична секция) прави атаката близка до невъзможното (по-същия начин както го прави и PoW при блокчейн проектите). И хубавото е, че колкото по-дълго мрежата работи, по-силна ще става защитата на Възрастта на възлите.

Звучи чудесно като цяло, но може ли още подробности

В следващите публикации по темата ще разгледаме по-подробно посочените механизми за защита и какво постигат. По точно ще се спрем на работата ни върху определянето на точния минимален размер на секциите и броя на Старейшините (компютрите с право на глас) в тях.