Upload
ali-ikinci
View
23
Download
1
Embed Size (px)
Citation preview
Seminararbeit:Anonymität im Internet
Anwendungen und Sicherheitsaspekte
Ali IkinciJanuar 2006
Universität Mannheim Lehrstuhl für Theoretische Informatik Dr. Stefan Lucks
Ali Ikinci Anonymität im Internet 2
Kommunikation im Internet
Internet
Client132.41.2.4
Webserver9.233.2.51
IP
IP
IP
IPIPIP
IPIP
IP IP-Router
Bidirektionale Komm.
Application L.
TCP/UDP
IP
Data Link L.
Physical L.
Schichtenmodell im Internet
Ali Ikinci Anonymität im Internet 3
Motivation● Kommunikation im Internet erfolgt – im Normalfall:
– unverschlüsselt● Jeder Zuhörer auf dem Weg kann die gesamte
Kommunikation belauschen– ungeschützt
● Angreifer können Kommunikationen unterbinden– unsicher
● Angreifer können sich zwischen eine Kommunikation schalten
– nicht anonym● Angreifer können verschiedene Techniken zur
Identifikation der Teilnehmer anwenden
Ali Ikinci Anonymität im Internet 4
Motivation● Warum Anonymität?
– Privatsphäre
– Meinungsfreiheit
– Informationsfreiheit
– Wettbewerb
– Warum nicht?● Die andere Seite der Medallie
– Cracking
– Industriespionage
– Umgehung von Sicherheitssystemen
Ali Ikinci Anonymität im Internet 5
Definition Anonymität
Nachrichten
Sender EmpfängerKommunikationsnetzwerk
Ali Ikinci Anonymität im Internet 6
Definition Anonymität
● Anonymität (anonymity)● Senderanonymität (sender-anonymity)● Empfängeranonymität (recipient-anonymity)● Kommunikationsanonymität (unlinkabilty)● Inhaltsanonymität (unobservability)
Ali Ikinci Anonymität im Internet 7
Definition Anonymität
Nachrichten
Sender EmpfängerKommunikationsnetzwerk
Senderanonymitätsmenge Empfängeranonymitätsmenge
Ali Ikinci Anonymität im Internet 8
Proxys● Eine Zwischeninstanz
● einfache und schnelle Anwendung
● sehr unsicher – keine Chance gegen starke Angreifer
● unzuverlässig (Single Point of Failure)
● sehr anfällig für statistische Angriffe
● gut für eine einfache Senderanonymität
● anonymisierende Proxys verändern zusätzlich den Inhalt der Kommunikation um Informationen über den Sender zu verschleiern
Client132.22.2.1
WebserverProxy
34.62.66.2
Ali Ikinci Anonymität im Internet 9
Peer-to-Peer – Crowds
Client132.22.2.1
Peer171.32.2.3
Peer254.73.7.3
Peer3214.2.4.52
Webserver
Crowd
p=0.9 p=0.9p=0.9
p=0.1 p=0.1 p=0.1
● Anonymität durch Eintauchen in
eine (Peer-)Menge
● Jeder Peer leitet ein empfangenes
Paket mit einer WK an das Ziel
weiter oder mit einer anderen WK
an einen anderen Peer
● Der Webserver sieht nur das letze
Peer in der Kette
● Ein Angreifer könnte auch einige
Peers kontollieren
Ali Ikinci Anonymität im Internet 10
Mix-Net – Chaumsche Mixe
Sender Y Mix M Empfänger XQuelle: Y
Ziel: X
Nachricht Nverschlüsselt
Quelle: MZiel: X
● Verschlüsselung des Pfades zwischen M und Y
● Möglichkeit von mehreren M zwischen Y und X
● Neutralisierung der Pakete im Mix M durch
• Anpassung der zeitlichen Abfolge
• Anpassung der Größe der Pakete
Ali Ikinci Anonymität im Internet 11
Aktuelle Entwicklung bei Mix-Net
● Drei Systeme sind weit verbreitet– Mixminion der Nachfolger von Mixmaster für die
anonyme E-Mail-Kommunikation (Remailer)
– JAP hat eine sehr gute Benutzerfreundlichkeit erreicht und seine Vertrauenswürdigkeit unter Beweis gestellt
– TOR die aktuell praktikabelste Implementierung der Chaumschen Mixe und des Onion Routings
Ali Ikinci Anonymität im Internet 12
JAP● Mixkaskaden sind eine Kette von Mixen
● Drei Komponenten:
– MIX: Nur vertrauenswürdige Mixe mit einer Selbstverpflichtungserklärung
– InfoService: Verteilte Datenbank mit Informationen über vorhandene Mix-Kaskaden
– Client: Arbeitet als Proxy für die zu anonymisierende Anwendung
● Mixkaskaden und deren Mixe sind fest vorgegeben
● Der Client kann nur zwischen verschiedenen Kaskaden auswählen
● Neutralisierung des Verkehrs zwischen den Mixen
Ali Ikinci Anonymität im Internet 14
Onion Routing
Sender
● Eine Anwendung der Chaumchen Mixe
● Die Verschlüsselung hat eine Zwiebelschalenstruktur
● Im innersten ist die eigentliche Nachricht
● Die erste Schicht ist mit dem public-key des letzten Mix verschlüsselt
● Jeder Mix kann nur eine Schicht entschlüsseln in der die Zieladresse des nächsten steht Mix 1 Mix 2 Mix 3Sender
1
2
3
Empfänger
verschlüsseltes Paketunverschlüsseltes Paket
Ali Ikinci Anonymität im Internet 15
TOR● Basiert auf Chaumchen Mixen und
dem Onion-Routing
● Verzeichnisserver hält Liste aller TOR-Server
● Jeder kann ein TOR-Server werden
● Der Client kann für jede Kommunikation eine andere Route bestimmen
● TOR-Server können Pakete sammeln und dann senden
● Paketgröße wird fragmentiert
● Dummy Traffic erschwert statistische Angriffe
● Randevue-Points für Empfängeranonymität
Verzeichnisserver
Client TOR-Server TOR-Server
TOR-Server TOR-Server
TOR-ServerTOR-Server
Webserver
unverschlüsseltverschlüsselt Route 1verschlüsselt Route 2
Ali Ikinci Anonymität im Internet 16
Grad der Anonymität
● Hängt davon ab:
– Welche Hardware- und Softwarekombinationen für die Kommunikation verwendet wird
– Über wen die Kommunikation erfolgen wird (ISP, Knoten)
– Ob der Angreifer ein passiver oder aktiver Angreifer ist
– Welche Mittel der Angreifer hat
– Wie sehr der Angreifer gewillt ist die Kommunikation aufzudecken
– Welche Anonymitätsparameter es für diese Kommunikation gibt
● Ist nur subjektiv abschätzbar, z.B. bei JAP: low, fair, high, Aufgrund Anzahl der Nutzer
● Es gibt keine standartisierte Maßzahl für einen solchen Grad, u.a. auch weil jedes System andere Parameter hat
● Parameter können gewisse objektive Aussagen über eine Kommunikation zulassen
Ali Ikinci Anonymität im Internet 17
Parameter für Anonymität (in Mix-Net)
● Benutzeranzahl– Je mehr Benutzer ein System hat um so größer ist
die Senderanonymitätsmenge in die er „eintauchen“ kann
● Anzahl der verwendeten Mixe– Je mehr Mixe zwischen einer Kommunikation sind
umso schwieriger wird es Informationen über die Kommunikationspartner zu sammeln
Ali Ikinci Anonymität im Internet 18
Parameter für Anonymität (in Mix-Net)
● Zeitliche Korrelation– Die Zeitliche Abfolge einer Kommunikation kann
einen Sender aus einer Menge identifizieren oder helfen ihn zu identifizieren
● Korrelation des Kommunikationsvolumens– Die Grösse der versandten Pakete liefern wichtige
Informationen für eine statistische Analyse des Angreifers
Ali Ikinci Anonymität im Internet 19
Parameter für Anonymität (in Mix-Net)
● Kommunikationsmuster (traffic pattern)– Verhaltensmuster können Informationen über den
Sender preisgeben
● Anzahl der Mixe unter einer Kontrolle– Wieviele Mixe jeweils unter der Kontrolle einer
Instanz stehen
Ali Ikinci Anonymität im Internet 20
Parameter für Anonymität (in Mix-Net)
● Nachrichtenkorrelation– Wann, in welchem Umfang und/oder auf welchem
Port Nachrichten ausgetauscht werden kann aufschlussreich sein um den verwendeten Dienst zu erkennen und statistische Informationen liefern
● Dummy Traffic– In welchem Umfang es Dummy Traffic gibt kann die
statistische Datenerfassung erschweren
Ali Ikinci Anonymität im Internet 21
Angriffe auf Mix-Net
● Passive Angriffe– Überwachung von Kommunikationsmustern
– Überwachung von Benutzerinformationen
– Überwachung der Unterscheidbarkeit
– Ende-zu-Ende zeitliche Überwachung
– Ende-zu-Ende größenmäßige Überwachung
– Website Fingerprinting
Ali Ikinci Anonymität im Internet 22
Angriffe auf Mix-Net● Aktive Angriffe
– Kompromittierung der Schlüssel
– Iterierte Kompromittierung
– einen Empfänger betreiben
– DoS von nicht überwachten TOR-Servern
– (einen) feindlichen TOR-Server betreiben
– Modifikation von Pakten
– Ersetzen von Inhalten bei unverschlüsselten Paketen
– Einschüchterungsversuche gegen TOR-Server
– Verteilen von kompromittierter Client- bzw. Serversoftware
● Angriffe auf den Verzeichnisserver
– Zerstören von Verzeichnisservern
– Übernehmen von Verzeichnisservern
– Manipulation von Verzeichnisservern
Ali Ikinci Anonymität im Internet 23
Zusammenfassung● Es gibt keine endgültige Lösung für alle Anonymisierungprobleme sondern
Einzellösungen die bestimmte Problemstellungen besser lösen
● Je mehr Aufwand ((Dummy-) Traffic, mehr Mixe, stärkere Verschlüsselung, etc.) betrieben wird umso stärker wird die Anonymität und umso langsamer wird das Gesamtsystem
● Die meisten Ansätze werden (fast) wirkungslos wenn der Angreifer stark genug ist
● Angreifer könnten statistische Daten über Jahre hinweg sammeln
● Trotz der Laufzeiten und den Erfahrungen von JAP und TOR werden beide Systeme als Betaversionen angesehen die man nicht für starke Anonymität verwenden sollte
● Die Anonymität von Remailern ist im allgemeinen leichter da hier nur ein Paket (die E-Mail – der Textteil) übertragen werden soll welches nicht zeitkritisch ist
● Praktische Anonymität für den Alltag ist gut mit JAP und TOR , z.B. in Kombination mit einem anonymisierenden Proxy möglich
Ali Ikinci Anonymität im Internet 24
Ausblick● Anonymität ist keine Frage von Komfort
sondern sollte aus Datenschutzrechtlichen Gründen grundsätzlich gewährleistet sein
● Anonymität kann für manche Zwecke unabdingbar sein
● Low-Profile Anonymität ist ein Verfahren das in Zukunft sicherlich einen großen Anwenderkreis gewinnen wird
● Starke Anonymität ist immer noch ein ungelöstes (unlösbares?) Problem