2. Überblick
0. Einführung
1. Störung durch Denial-of-Service Angriffe
2. Verhalten als Störeinfluss
3. Zusammenfassung
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 2
3. 0.1 Anonymität
Anonymität
Ununterscheidbarkeit eines Subjekts in bestimmten Kontext
(Anonymitätsmenge)
Anonyme Kommunikation
Schutz der Vertraulichkeit einer
Kommunikationsverbindung vor Dritten
Senderanonymität: Identität des Absenders verbergen
Anonymisierungsnetz
Logische Netzstruktur, z.B. basierend auf Mixes
Ein Teilnehmer kommuniziert anonym, indem seine Nachrichten
ununterscheidbar (in der Menge gesendeter Nachrichten) werden
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 3
4. 0.2 Schutzmechanismen in Anonymisierungsnetzen
Cover Traffic stärkt Unbeobachtbarkeit,
indem zufällige Nachrichten die Anonymitätsmenge vergrößern
Rendezvous Point schützt Identität des Empfängers
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 4
5. 0.3 Offene Probleme und eigene Beiträge
Schutz von Empfängern anonymer Nachrichten
Verfügbarkeit: Anfragen werden verarbeitet
Richtlinien-basierter Schutzmechanismus
Anonyme Kommunikation für vereinbartes Verhalten
Bekämpfung von Richtlinien-verletzendem Sendeverhalten
Auswirkung rationalen Verhaltens auf Anonymisierungsnetze
Altruismus: Teilnehmer bringen Ressourcen ein zugunsten anderer
Voraussetzungen für rationales (=strategisches) Verhalten
Analyse der zugrundeliegenden Zielkonflikte
Bewertung der Verhaltensweisen nach Spielklassen
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 5
6. Überblick
0. Einführung
1. Störung durch Denial-of-Service Angriffe
Kontrollierte Unverkettbarkeit
Architektur zum Schutz von Verfügbarkeit
2. Verhalten als Störeinfluss
3. Zusammenfassung
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 6
7. 1.1 Angriffe auf Anonymisierungsnetze
Fred: Angriff auf Verfügbarkeit von Rick
Denial-of-Service: Ressourcen eines Opfers erschöpfen
Attackiert Verfügbarkeit mittels ressourcenintensiver Anfragen
Keine Infiltration anderer Teilnehmer
(Keine kriminellen Vorbereitungshandlungen)
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 7
8. 1.2 Angriffe auf Anonymisierungsnetze
Eve: Angriff auf Anonymität von Alice
Teilweise Infiltration von Teilnehmern
Wissensgewinn mittels Profilbildung
Wissensgewinn mittels Schnittmengenangriff
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 8
9. 1.3 Angriffsbekämpfung
Analyse eingehender Nachrichten
Angriff erkennen, ohne vertraulichen Inhalt zu kennen
Kontext ermitteln, ohne Anonymität zu schwächen
Datenrate als Entscheidungskriterium für
Aufhebung von Unverkettbarkeit
Verwerfen Richtlinien-verletzender Nachrichten
Vorgehensweise
1. Umformen von Überflutungsangriffen
2. Privatsphäre schützen mittels Anonymität
3. Zulässiges Verhalten definieren
4. Architektur
5. Bewertung
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 9
10. 1.4 Modellierung der Nachrichten als Datenfluss
Einsatz bei Denial-of-Service Angriffen mit hohen Datenraten
Leaky Bucket: fixiert Ausgaberate
Arrival Kurve: zusätzliche Burstrate vorteilhaft bei Jitter
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 10
11. 1.5 Unverkettbarkeit zwischen Nachricht und Identität
Unverkettbarkeit
Eve besitzt keinen Beweis, dass Alice eine Nachricht gesendet hat
Perfekte Unverkettbarkeit
Eve kann keine Beobachtung B erlangen,
die ihr Wissen über den Absender von Nachricht verändert
Bedingte Unverkettbarkeit
Das System legt vorab eine Bedingung fest
Tom besitzt einen Beweis über
die Verkettung der Nachricht mit Alice
Der Beweis bleibt Eve verborgen,
solange die Bedingung erfüllt ist
Aufhebung: Kommunikation zwischen
Rick und Tom erforderlich
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 11
12. 1.6 Unverkettbarkeit zwischen Nachrichten
Totale Unverkettbarkeit
Eve besitzt keinen Beweis, dass Nachricht1
und Nachricht2 vom gleichen Absender stammen
Partielle Unverkettbarkeit
Eve weiss, dass Nachricht1, Nachricht2
vom gleichen Absender stammen
Kontrollierte Unverkettbarkeit [O., Volkamer, de Meer 2007]
Rick definiert eine Richtlinie R für zulässiges Verhalten
Tom vergibt an Alice Pseudonyme gemäß R
Nachrichten von Alice bleiben unverkettbar,
solange Richtlinie R nicht verletzt wird
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 12
13. 1.7 Überwachung der Richtlinie R
Rick definiert Zeitscheiben t(0),t(1),…
Alice erhält für jede Zeitscheibe ein eindeutiges Pseudonym von Tom
Alice hält Richtlinie R ein -> Nachrichten unverkettbar
Fred verletzt Richtlinie R -> Nachrichten verkettet
Traffic Shaping lehnt überzählige DoS-Anfragen ab
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 13
14. 1.8 Protokoll zur Pseudonym-Übergabe
Steve publiziert seinen Dienst, erreichbar über Rendezvous Point Rick
Alice erhält ein Ticket Granting Ticket (TGT)
Alice baut Verbindung mit Rick auf und erfährt Zeitscheibe t
Kommunikationsablauf
Alice bittet einen Tom um ein Ticket für Zeitscheibe t
Alice sendet ihre Anfrage mit dem Ticket an Rick
Rick überprüft anhand des Pseudonyms,
ob der Anfragende die Richtlinie verletzt
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 14
15. 1.9 Pseudonym-Eigenschaften und Vertrauen
Deterministisch berechenbar
Hash aus angeforderter Zeitscheibe t und Ticket
Granting Ticket = { IDAlice, NonceAlice, Gültigkeit } Authority
Schutz vor Verifizierbarkeit
Geheime Nonce („number used once“) im TGT, verhindert
dass Dritte zugewiesene Pseudonym verifizieren können
PseudAlice(t) = hash ( IDAlice || t || NonceAlice )
Integrität, jedoch ohne identifizierbaren Signierer
Einsatz einer Gruppensignatur: { t, PseudAlice(t) } Tommys
Rick verifiziert Unterschrift eines Tommys,
kann aber Tom nicht identifizieren
Notation:
{ x } Signierer Digitale Signatur
|| Konkatenation
{,,} Tupel
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 15
16. 1.10 Bewertung Denial-of-Service (DoS) Angriffe
Fred führt DoS-Angriff auf Steve aus
DoS gegen Steve
Für Fred existiert nur ein einziges Pseudonym in Zeitscheibe t;
wird Richtlinie R verletzt, werden die Nachrichten verkettet;
Traffic Shaping verwirft überzählige Nachrichten
Distributed DoS gegen Steve
Pseudonyme für Fred 1..n unverkettbar
-> lässt sich auch nicht mit Identitäten erkennen
Alle Freddies zusammen erhalten überproportional
Ressourcen, können andere Anfragen jedoch nicht verdrängen
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 16
17. 1.11 Bewertung Angriffe auf Anonymität
Eve möchte Alice als Absender einer Klartextnachricht identifizieren
Nur Authority und Tom können Alice identifizieren
Nur Steve besitzt (neben Alice) den Klartext
Kollusion zwischen Tom, Rick und Steve
Identität kann nicht ins Ticket gelangen
Rick wird von Alice ausgewählt,
gegenüber Tom unbekannt
Verkettung prinzipiell möglich
Tom: (ID, Pseudonym, t)
Rick: (Pseudonym, t, n)
Steve: (n, Text)
Prävention: Alice wählt einen nicht-infiltrierten Tom
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 17
18. 1.12 Skalierbarkeit
Latenzzeit zwischen Alice und Steve
Überwiegend Anonymisierung
Bei Rick zusätzlich
Signatur des Tickets prüfen
Abgleich mit Arrival Curve, ggf. Verzögerung
Praktischer Einsatz
Beliebig viele Instanzen von
(vertrauenswürdigen) Tommys
Integration: bei niedriger Last
wird auf Ticket verzichtet
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 18
19. Überblick
0. Einführung
1. Störung durch Denial-of-Service Angriffe
2. Verhalten als Störeinfluss
Spieltheoretische Modellierung und Bewertung von Verhalten
Lösungsstrategien und Auswirkungen von Zielkonflikten
3. Zusammenfassung
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 19
20. 2.1 Widerstandsfähigkeit eines Anonymisierungsnetzes
Voraussetzungen für anonyme Kommunikation
Verfügbarkeit des Empfängers
Integrität des Nachrichteninhalts
Ununterscheidbarkeit in der Menge aktiver Nachrichtensender
Ökonomie der Struktur eines Anonymitätssystems
[Acquisti, Dingledine, Syverson 2003]
Design Dilemma [O., de Meer 2008]
Widerstandsfähigkeit muss Verhalten
aller Parteien miteinbeziehen
(Interdependenz)
20
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen
21. 2.2 Rationales Verhalten in Anonymisierungsnetzen
Alle Spieler verhalten sich rational, vollständige Information
Modellierung mittels Spieltheorie
Identifizieren von Klassenbeschreibungen
mit geeignetem Spielausgang
Dilemma-Spiele
Symmetrische Strategien vorteilhaft?
Nicht-vereinbarte Kooperation vorteilhaft?
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 21
22. 2.3 Zielsetzungen in Anonymisierungsnetzen
Mögliche Zielsetzungen
Große Anonymitätsmenge (Zielsetzung 1)
Teilnahme mit geringem Ressourcenaufwand (Zielsetzung 2)
Hohe Robustheit gegenüber Störungen
Verdecktes Fehlverhalten
Verhandlungsraum
Verhandlungslösung, Ausgangspunkt
Identifizierung von Nash-Gleichgewichten und Bewertung
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 22
23. 2.4 Auswirkungen von Zielkonflikten
Angestrebte Qualität der Anonymität
Einigung auf Angreifermodell und Ununterscheidbarkeit
Anonymitätsmenge dann maximal, wenn eine Einigung erfolgen kann
Tatsächlichen Qualität der Anonymität
Prognose ist nicht verfügbar, vertrauenswürdig oder garantiert
Missbrauchsgefahr Schnittmengenangriff
Egoistisches Verhalten von Teilnehmern
Fehlender Cover Traffic beeinträchtigt Anonymität Dritter
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 23
24. 0. Einführung
1. Störung durch Denial-of-Service Angriffe
2. Verhalten als Störeinfluss
3. Zusammenfassung
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 24
25. 3. Zusammenfassung
Schutz der Verfügbarkeit für Empfängern anonymer Nachrichten
Kontrollierte Unverkettbarkeit: Privatsphäre der Teilnehmer gewährt
Richtlinie als Entscheidungskriterium für Unbedenklichkeit der Anfrage
Schutz vor Angriffen gegen Verfügbarkeit und Anonymität
Untersuchung von Widerstandsfähigkeit
Bewertung der Auswirkung unterschiedlicher Nutzenfunktionen
Wechselwirkungen zwischen Anonymität und Teilnehmerverhalten
Auflösung von Zielkonflikten durch Wahl geeigneter Lösungsklassen
Vision: Kooperative Anonymisierungsnetze
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 25