<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><br class=""><div><blockquote type="cite" class=""><div class="">On 28 Oct 2015, at 14:31, Virgil Griffith <<a href="mailto:i@virgil.gr" class="">i@virgil.gr</a>> wrote:</div><br class="Apple-interchange-newline"><div class="">Instead of WOT, it seems more desirable, and better fit diversity, to have both your best friends and worst enemies on the same circuit.  Ergo, minimizing chance of collaboration.<br class=""></div></blockquote><div><br class=""></div><div>Like Tails' friends, foes, and neutral HTP pools…</div><div>"any member in a one pool should be unlikely to share logs (or other identifying data), or to agree to send fake time information, with a member from the the other pools"</div><div><a href="https://tails.boum.org/contribute/design/Time_syncing/#index4h2" class="">https://tails.boum.org/contribute/design/Time_syncing/#index4h2</a></div><div><br class=""></div><div>T</div><br class=""><blockquote type="cite" class=""><br class="">-V<br class=""><div class="gmail_quote"><div dir="ltr" class="">On Mon, 26 Oct 2015 at 01:30 grarpamp <<a href="mailto:grarpamp@gmail.com" class="">grarpamp@gmail.com</a>> wrote:<br class=""></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Wed, Sep 23, 2015 at 8:44 AM, tor-dev had:<br class="">
> I agree with Roger that ideally all relays can be exits (and since<br class="">
> we're being ideal, we'll assume that 'exit' means to every port). And<br class="">
> the network location distribution of relays by bandwidth is<br class="">
> proportional to both the client destination selection over time and<br class="">
> general Internet traffic over time, which match each other since we're<br class="">
> being ideal, and also matter since we're using an ideal trust-aware path<br class="">
> selection algorithm. And network wide route selection is such that<br class="">
> there is no congestion (generalizing Roger's assumption of infinite<br class="">
> exit capacity).<br class="">
<br class="">
Guessing that... assuming you can ship and calculate all the relay<br class="">
data / DHT / weights / KEX / circuits / preferences without<br class="">
bogging down your network or cpu...<br class="">
<br class="">
More relays being exits yields higher maximum possible path diversity.<br class="">
More relays being exits yields higher potential aggregate throughput<br class="">
between the network and clearnet.<br class="">
More exits yields broader more complete location overlay relavent to<br class="">
users (more relays yields more guards), datacenteres, and clearnet<br class="">
services (though there's as yet no attempt to exit near a service<br class="">
unless done manually).<br class="">
<br class="">
However when subject to global passive adversary tapping<br class="">
lots of the fiber, and you turn up more relays as exits (which<br class="">
are also non-exit relays by nature), you're adding lots more<br class="">
unused bandwidth over the same current consumption, leading<br class="">
to lots of unused quiet portions of the network.<br class="">
Which seems a greater potential for the adversary to "look, user<br class="">
just shot a unique traffic pattern completely through the quiet<br class="">
zone, gotcha".<br class="">
Whereas when the network links are full with clocked traffic<br class="">
(and fill traffic if there would otherwise be slack space) that<br class="">
observation attack is hardly as possible, to relavently impossible.<br class="">
<br class="">
If true, it seems to me adding more [non] exits should be pegged to<br class="">
some metrics and solicited on need / planning rather than turning<br class="">
up 6000 exits all at once.<br class="">
<br class="">
> In our ongoing work on trust-aware path selection, we assume a trust<br class="">
> distribution that will be the default used by a Tor client if another<br class="">
> distribution is not specified. (Most users will not have a reasoned<br class="">
> understanding of who they actually need to worry most about, and even<br class="">
> if they somehow got that right would not have a good handle how that<br class="">
> adversary's resources are distributed.)  We call this adversary "The<br class="">
> Man", who is equally likely to be everywhere (each AS) on the<br class="">
> network. For relay adversaries, we assume that standing up and running<br class="">
> a relay has costs so weight a bit to make relays that have been around<br class="">
> a long time slightly more likely to be trusted.<br class="">
<br class="">
tor-relays had talk of individual humans keyparty signing their relays<br class="">
and including that WOT along with other trust and meta metrics<br class="">
in the consensus or other queryable datastore that could be used<br class="">
by the user to select preferred relay sets in whichever sensible or<br class="">
silly ways suited them.<br class="">
<br class="">
An adversary standing up relays has costs.<br class="">
Adversaries standing their human agents in public, even if<br class="">
their undercover is maintained, has additional costs and risks.<br class="">
<br class="">
> You<br class="">
> would then be faced with the political nightmare of issuing default<br class="">
> policies that tells users they should route with a weighting that says<br class="">
> country foo has an x percent chance of being your adversary, but<br class="">
> country bar has a y percent chance. (Likewise also have similar<br class="">
> statements that substitute 'large multinational corp.', 'major<br class="">
> criminal organization', 'specific big government agency that is<br class="">
> getting all the press lately' etc.  for "country" in the last<br class="">
> sentence.)<br class="">
<br class="">
========<br class="">
In a sense this is like the original 'valid' flag, which you got<br class="">
by mailing me and having me manually approve your relay (and without<br class="">
which you would never be used as the entry or exit point in a circuit).<br class="">
Periodically I wonder if we should go back to a design like that, where<br class="">
users won't pick exit relays that don't have the "socially connected"<br class="">
badge. Then I opt against wanting it, since I worry that we'd lose<br class="">
exactly the kind of diversity we need most, by cutting out the relays<br class="">
whose operators we don't know.<br class="">
<br class="">
But both sides of that are just guessing. Let's find out!<br class="">
========<br class="">
<br class="">
<br class="">
These type of things may be better suited to a system<br class="">
where the users contribute their research and knowledge<br class="">
about the network into the network metadata db, and the<br class="">
users can query it to make their own decisions, follow<br class="">
other users prebuilt selection templates, or stick<br class="">
with the provided defaults.<br class="">
_______________________________________________<br class="">
tor-dev mailing list<br class="">
<a href="mailto:tor-dev@lists.torproject.org" target="_blank" class="">tor-dev@lists.torproject.org</a><br class="">
<a href="https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-dev" rel="noreferrer" target="_blank" class="">https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-dev</a><br class="">
</blockquote></div>
_______________________________________________<br class="">tor-dev mailing list<br class=""><a href="mailto:tor-dev@lists.torproject.org" class="">tor-dev@lists.torproject.org</a><br class="">https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-dev<br class=""></blockquote></div><br class=""><div class="">
<div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="orphans: auto; text-align: start; text-indent: 0px; widows: auto; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="orphans: auto; text-align: start; text-indent: 0px; widows: auto; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="orphans: auto; text-align: start; text-indent: 0px; widows: auto; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="orphans: auto; text-align: start; text-indent: 0px; widows: auto; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="orphans: auto; text-align: start; text-indent: 0px; widows: auto; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="orphans: auto; text-align: start; text-indent: 0px; widows: auto; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="orphans: auto; text-align: start; text-indent: 0px; widows: auto; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="orphans: auto; text-align: start; text-indent: 0px; widows: auto; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="orphans: auto; text-align: start; text-indent: 0px; widows: auto; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="orphans: auto; text-align: start; text-indent: 0px; widows: auto; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="orphans: auto; text-align: start; text-indent: 0px; widows: auto; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="color: rgb(0, 0, 0); letter-spacing: normal; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; orphans: auto; text-align: start; text-indent: 0px; widows: auto; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">Tim Wilson-Brown (teor)</div><div style="color: rgb(0, 0, 0); letter-spacing: normal; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; orphans: auto; text-align: start; text-indent: 0px; widows: auto; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><br class=""></div><div style="orphans: auto; text-align: start; text-indent: 0px; widows: auto; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">teor2345 at gmail dot com<br class="">PGP 968F094B<br class=""><br class="">teor at blah dot im<br class="">OTR CAD08081 9755866D 89E2A06F E3558B7F B5A9D14F</div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>
</div>
<br class=""></body></html>