2. Ali Ikinci Anonymität im Internet 2
Kommunikation im Internet
Internet
Client
132.41.2.4
Webserver
9.233.2.51
IP
IP
IP
IPIP
IP
IP
IP
IP IP-Router
Bidirektionale Komm.
Application L.
TCP/UDP
IP
Data Link L.
Physical L.
Schichtenmodell im Internet
3. Ali Ikinci Anonymität im Internet 3
Motivation
● Kommunikation im Internet erfolgt – im Normalfall:
– unverschlüsselt
● Jeder Zuhörer auf dem Weg kann die gesamte
Kommunikation belauschen
– ungeschützt
● Angreifer können Kommunikationen unterbinden
– unsicher
● Angreifer können sich zwischen eine Kommunikation
schalten
– nicht anonym
● Angreifer können verschiedene Techniken zur
Identifikation der Teilnehmer anwenden
4. Ali Ikinci Anonymität im Internet 4
Motivation
● Warum Anonymität?
– Privatsphäre
– Meinungsfreiheit
– Informationsfreiheit
– Wettbewerb
– Warum nicht?
● Die andere Seite der Medallie
– Cracking
– Industriespionage
– Umgehung von Sicherheitssystemen
5. Ali Ikinci Anonymität im Internet 5
Definition Anonymität
Nachrichten
Sender EmpfängerKommunikationsnetzwerk
6. Ali Ikinci Anonymität im Internet 6
Definition Anonymität
● Anonymität (anonymity)
● Senderanonymität (sender-anonymity)
● Empfängeranonymität (recipient-anonymity)
● Kommunikationsanonymität (unlinkabilty)
● Inhaltsanonymität (unobservability)
7. Ali Ikinci Anonymität im Internet 7
Definition Anonymität
Nachrichten
Sender EmpfängerKommunikationsnetzwerk
Senderanonymitätsmenge Empfängeranonymitätsmenge
8. Ali Ikinci Anonymität im Internet 8
Proxys
● Eine Zwischeninstanz
● einfache und schnelle Anwendung
● sehr unsicher – keine Chance gegen starke Angreifer
● unzuverlässig (Single Point of Failure)
● sehr anfällig für statistische Angriffe
● gut für eine einfache Senderanonymität
● anonymisierende Proxys verändern zusätzlich den Inhalt der
Kommunikation um Informationen über den Sender zu verschleiern
Client
132.22.2.1
Webserver
Proxy
34.62.66.2
9. Ali Ikinci Anonymität im Internet 9
Peer-to-Peer – Crowds
Client
132.22.2.1
Peer1
71.32.2.3
Peer2
54.73.7.3
Peer3
214.2.4.52
Webserver
Crowd
p=0.9 p=0.9
p=0.9
p=0.1 p=0.1 p=0.1
● Anonymität durch Eintauchen in
eine (Peer-)Menge
● Jeder Peer leitet ein empfangenes
Paket mit einer WK an das Ziel
weiter oder mit einer anderen WK
an einen anderen Peer
● Der Webserver sieht nur das letze
Peer in der Kette
● Ein Angreifer könnte auch einige
Peers kontollieren
10. Ali Ikinci Anonymität im Internet 10
Mix-Net – Chaumsche Mixe
Sender Y Mix M Empfänger X
Quelle: Y
Ziel: X
Nachricht N
verschlüsselt
Quelle: M
Ziel: X
● Verschlüsselung des Pfades zwischen M und Y
● Möglichkeit von mehreren M zwischen Y und X
● Neutralisierung der Pakete im Mix M durch
• Anpassung der zeitlichen Abfolge
• Anpassung der Größe der Pakete
11. Ali Ikinci Anonymität im Internet 11
Aktuelle Entwicklung bei Mix-Net
● Drei Systeme sind weit verbreitet
– Mixminion der Nachfolger von Mixmaster für die
anonyme E-Mail-Kommunikation (Remailer)
– JAP hat eine sehr gute Benutzerfreundlichkeit
erreicht und seine Vertrauenswürdigkeit unter
Beweis gestellt
– TOR die aktuell praktikabelste Implementierung der
Chaumschen Mixe und des Onion Routings
12. Ali Ikinci Anonymität im Internet 12
JAP
● Mixkaskaden sind eine Kette von Mixen
● Drei Komponenten:
– MIX: Nur vertrauenswürdige Mixe mit einer
Selbstverpflichtungserklärung
– InfoService: Verteilte Datenbank mit Informationen über
vorhandene Mix-Kaskaden
– Client: Arbeitet als Proxy für die zu anonymisierende Anwendung
● Mixkaskaden und deren Mixe sind fest vorgegeben
● Der Client kann nur zwischen verschiedenen Kaskaden auswählen
● Neutralisierung des Verkehrs zwischen den Mixen
14. Ali Ikinci Anonymität im Internet 14
Onion Routing
Sender
● Eine Anwendung der Chaumchen
Mixe
● Die Verschlüsselung hat eine
Zwiebelschalenstruktur
● Im innersten ist die eigentliche
Nachricht
● Die erste Schicht ist mit dem
public-key des letzten Mix
verschlüsselt
● Jeder Mix kann nur eine Schicht
entschlüsseln in der die
Zieladresse des nächsten steht Mix 1 Mix 2 Mix 3Sender
1
2
3
Empfänger
verschlüsseltes Paket
unverschlüsseltes Paket
15. Ali Ikinci Anonymität im Internet 15
TOR
● Basiert auf Chaumchen Mixen und
dem Onion-Routing
● Verzeichnisserver hält Liste aller TOR-
Server
● Jeder kann ein TOR-Server werden
● Der Client kann für jede
Kommunikation eine andere Route
bestimmen
● TOR-Server können Pakete sammeln
und dann senden
● Paketgröße wird fragmentiert
● Dummy Traffic erschwert statistische
Angriffe
● Randevue-Points für
Empfängeranonymität
Verzeichnisserver
Client TOR-Server TOR-Server
TOR-Server TOR-Server
TOR-ServerTOR-Server
Webserver
unverschlüsselt
verschlüsselt Route 1
verschlüsselt Route 2
16. Ali Ikinci Anonymität im Internet 16
Grad der Anonymität
● Hängt davon ab:
– Welche Hardware- und Softwarekombinationen für die Kommunikation
verwendet wird
– Über wen die Kommunikation erfolgen wird (ISP, Knoten)
– Ob der Angreifer ein passiver oder aktiver Angreifer ist
– Welche Mittel der Angreifer hat
– Wie sehr der Angreifer gewillt ist die Kommunikation aufzudecken
– Welche Anonymitätsparameter es für diese Kommunikation gibt
● Ist nur subjektiv abschätzbar, z.B. bei JAP: low, fair, high, Aufgrund Anzahl der
Nutzer
● Es gibt keine standartisierte Maßzahl für einen solchen Grad, u.a. auch weil jedes
System andere Parameter hat
● Parameter können gewisse objektive Aussagen über eine Kommunikation zulassen
17. Ali Ikinci Anonymität im Internet 17
Parameter für Anonymität (in Mix-Net)
● Benutzeranzahl
– Je mehr Benutzer ein System hat um so größer ist
die Senderanonymitätsmenge in die er „eintauchen“
kann
● Anzahl der verwendeten Mixe
– Je mehr Mixe zwischen einer Kommunikation sind
umso schwieriger wird es Informationen über die
Kommunikationspartner zu sammeln
18. Ali Ikinci Anonymität im Internet 18
Parameter für Anonymität (in Mix-Net)
● Zeitliche Korrelation
– Die Zeitliche Abfolge einer Kommunikation kann
einen Sender aus einer Menge identifizieren oder
helfen ihn zu identifizieren
● Korrelation des Kommunikationsvolumens
– Die Grösse der versandten Pakete liefern wichtige
Informationen für eine statistische Analyse des
Angreifers
19. Ali Ikinci Anonymität im Internet 19
Parameter für Anonymität (in Mix-Net)
● Kommunikationsmuster (traffic pattern)
– Verhaltensmuster können Informationen über den
Sender preisgeben
● Anzahl der Mixe unter einer Kontrolle
– Wieviele Mixe jeweils unter der Kontrolle einer
Instanz stehen
20. Ali Ikinci Anonymität im Internet 20
Parameter für Anonymität (in Mix-Net)
● Nachrichtenkorrelation
– Wann, in welchem Umfang und/oder auf welchem
Port Nachrichten ausgetauscht werden kann
aufschlussreich sein um den verwendeten Dienst
zu erkennen und statistische Informationen liefern
● Dummy Traffic
– In welchem Umfang es Dummy Traffic gibt kann die
statistische Datenerfassung erschweren
21. Ali Ikinci Anonymität im Internet 21
Angriffe auf Mix-Net
● Passive Angriffe
– Überwachung von Kommunikationsmustern
– Überwachung von Benutzerinformationen
– Überwachung der Unterscheidbarkeit
– Ende-zu-Ende zeitliche Überwachung
– Ende-zu-Ende größenmäßige Überwachung
– Website Fingerprinting
22. Ali Ikinci Anonymität im Internet 22
Angriffe auf Mix-Net● Aktive Angriffe
– Kompromittierung der Schlüssel
– Iterierte Kompromittierung
– einen Empfänger betreiben
– DoS von nicht überwachten TOR-Servern
– (einen) feindlichen TOR-Server betreiben
– Modifikation von Pakten
– Ersetzen von Inhalten bei unverschlüsselten Paketen
– Einschüchterungsversuche gegen TOR-Server
– Verteilen von kompromittierter Client- bzw. Serversoftware
● Angriffe auf den Verzeichnisserver
– Zerstören von Verzeichnisservern
– Übernehmen von Verzeichnisservern
– Manipulation von Verzeichnisservern
23. Ali Ikinci Anonymität im Internet 23
Zusammenfassung
● Es gibt keine endgültige Lösung für alle Anonymisierungprobleme sondern
Einzellösungen die bestimmte Problemstellungen besser lösen
● Je mehr Aufwand ((Dummy-) Traffic, mehr Mixe, stärkere Verschlüsselung, etc.)
betrieben wird umso stärker wird die Anonymität und umso langsamer wird das
Gesamtsystem
● Die meisten Ansätze werden (fast) wirkungslos wenn der Angreifer stark genug ist
● Angreifer könnten statistische Daten über Jahre hinweg sammeln
● Trotz der Laufzeiten und den Erfahrungen von JAP und TOR werden beide Systeme
als Betaversionen angesehen die man nicht für starke Anonymität verwenden sollte
● Die Anonymität von Remailern ist im allgemeinen leichter da hier nur ein Paket (die
E-Mail – der Textteil) übertragen werden soll welches nicht zeitkritisch ist
● Praktische Anonymität für den Alltag ist gut mit JAP und TOR , z.B. in Kombination
mit einem anonymisierenden Proxy möglich
24. Ali Ikinci Anonymität im Internet 24
Ausblick
● Anonymität ist keine Frage von Komfort
sondern sollte aus Datenschutzrechtlichen
Gründen grundsätzlich gewährleistet sein
● Anonymität kann für manche Zwecke
unabdingbar sein
● Low-Profile Anonymität ist ein Verfahren das in
Zukunft sicherlich einen großen Anwenderkreis
gewinnen wird
● Starke Anonymität ist immer noch ein
ungelöstes (unlösbares?) Problem