3. Motivation
Anonymität
Ununterscheidbarkeit eines Subjekts in bestimmten Kontext
(Anonymitätsmenge)
Anonyme Kommunikation
Schutz vor Beobachtung der Nachrichten durch Ununterscheidbarkeit
Mix: verschlüsselt, verzögert, vertauscht Nachrichten
Kooperation
Steigende Anonymität mit Zahl gleichzeitiger Sender
Kooperatives Verhalten erzwingen, um Anonymität zu schützen
Oberender: Grundlagen Kooperativer Anonymisierungsnetze 3
4. Ziele von Kooperation in Anonymisierungsnetzen
Definition von Kooperation
Faires Verhalten jedes einzelnen Teilnehmers
Kein Einfluss auf (Ressourcen-)unabhängige Angreifer
Anforderungen für hohen Grad an Anonymität
Große Zahl unabhängiger Teilnehmer
Gleichverteilte, ununterscheidbares Senderverhalten
Konstruktion der höchstens „teilweisen“ Infiltration
Probleme beim Forcieren kooperativer Anonymität
Effektiver Grad der Anonymität abhängig vom Systemverhalten
Zugesicherte Aussagen zum Anonymitätsgrad?
Pseudonym-basierte Massnahmen
Whitewashing – Abstreifen „schlechter“ Reputation
Reglementierung von beabsichtigten Fehlverhalten
Oberender: Grundlagen Kooperativer Anonymisierungsnetze 4
5. Bekämpfen absichtlichen Fehlverhaltens
Zielkonflikt: Anonymität des Senders und Schutzmechanismen für
Verfügbarkeit des Empfängers
Denial-of-Service Angriffe
Ressourcen eines Opfers blockieren
Exit-Policies verhindern Erreichbarkeit für alle Teilnehmer
Angreifer mit einzelner Identität
Geringer Hemmschwelle
Großes Gefahrenpotential durch Script-Kiddies
Angreifer mit vielen Identitäten
Distributed Denial-of-Service, Out of Scope
Strafrechtliche relevante
Vorbereitungstaten
Oberender: Grundlagen Kooperativer Anonymisierungsnetze 5
6. Unverkettbarkeit zwischen Nachricht und Identität
Unverkettbarkeit
Eve besitzt keinen Beweis, dass Alice eine Nachricht gesendet hat
Perfekte Unverkettbarkeit
Eve kann keine Beobachtung B erlangen,
die ihr Wissen über den Absender von Nachricht verändert
Bedingte Unverkettbarkeit
Das System legt vorab eine Bedingung fest
Tom besitzt einen Beweis über
die Verkettung der Nachricht mit Alice
Der Beweis bleibt Eve verborgen,
solange die Bedingung erfüllt ist
Aufhebung: Kommunikation zwischen
Rick und Tom erforderlich
Oberender: Grundlagen Kooperativer Anonymisierungsnetze 6
7. Unverkettbarkeit zwischen Nachrichten
Totale Unverkettbarkeit
Eve besitzt keinen Beweis, dass Nachricht1
und Nachricht2 vom gleichen Absender stammen
Partielle Unverkettbarkeit
Eve weiss, dass Nachricht1, Nachricht2
vom gleichen Absender stammen
Kontrollierte Unverkettbarkeit [O., Volkamer, de Meer 2007]
Rick definiert eine Richtlinie R für zulässiges Verhalten
Tom vergibt an Alice Pseudonyme gemäß R
Nachrichten von Alice bleiben unverkettbar,
solange Richtlinie R nicht verletzt wird
Oberender: Grundlagen Kooperativer Anonymisierungsnetze 7
8. Vorgehen
Aspekte des Schutzmechanismus
Richtlinie zulässigen Verhaltens definieren
Kontrollierter Schutz der Unverkettbarkeit
Anonyme Kommunikation für vereinbartes Verhalten
Bekämpfung von Richtlinien-verletzendem Sendeverhalten
Rechtfertigen des methodischen Ansatzes
Vertrauensbeziehungen
Skalierbarkeit
Schutz vor Verifizierbarkeit
Fehlende, gemeinsame Zeitbasis
Anonyme Signaturen
Jitter
Oberender: Grundlagen Kooperativer Anonymisierungsnetze 8
9. Schutz vor Denial-of-Service Angriffen mittels
kontrollierter Unverkettbarkeit
Eindeutige Pseudonyme je Zeitintervall und Sender
Kontrollierte, verteilte Erstellung von Pseudonymen
Deterministische Berechnung mittels Hash
Geheimes Salt schützt vor Verifizierbarkeit
Mehrfache Pseudonym-Verwendung
Unverkettbarkeit zerstört
Analyse des Nachrichtenstroms nach Anomalien
Traffic Shaping
Gruppensignatur und Vertrauen
Integritätsschutz
Anonymität des Pseudonym-Erstellers
Verzicht auf gemeinsame Zeitbasis
Limitierung versendeter Nachrichten
durch Einmal-Tickets
[O., Widerstandsfähigkeit von Anonymisierungsnetzen, 2009]
Oberender: Grundlagen Kooperativer Anonymisierungsnetze 9
10. Zusammenfassung
Verbesserte Transparenz wann ausreichender Schutz vor Angriffen
auf Anonymität besteht
Zielkonflikte Transparenz und Anonymität
Widerstandsfähigkeit von Anonymisierungsnetzen
Bedeutender Einfluss von Kooperation auf anonyme
Kommunikation
Spezifikation erwünschtem Verhalten
Kontrollmechanismen
Schutz bei Verletzung / Umgehung etablierte Richtlinien
jens.oberender@uni-passau.de
Oberender: Grundlagen Kooperativer Anonymisierungsnetze 10
11. Lessons Learned
Bewertung diskutieren
Validität nachweisen -> Was verhindert einen Beweis?
Grenzen der Methodik dokumentieren
Zeitplan abstimmen
Milestones im Hinblick auf die Dissertation
Bezug zu Projekten, Proposals, Reviews festhalten
Eigene Beiträge formulieren
Fremde Arbeiten abgrenzen -> Weiterentwickeln
An Notation fremder Arbeiten anlehnen
Wo genau liegt die Novelty?
Oberender: Grundlagen Kooperativer Anonymisierungsnetze 11