Widerstandsfähigkeit von Anonymisierungsnetzen

                Jens O. Oberender
                 Freitag, 31.07.09
     ...
Überblick
         0. Einführung
         1. Störung durch Denial-of-Service Angriffe
         2. Verhalten als Störeinflu...
0.1 Anonymität

    Anonymität
      Ununterscheidbarkeit eines Subjekts in bestimmten Kontext
         (Anonymitätsmeng...
0.2 Schutzmechanismen in Anonymisierungsnetzen

    Cover Traffic stärkt Unbeobachtbarkeit,
     indem zufällige Nachrich...
0.3 Offene Probleme und eigene Beiträge

    Schutz von Empfängern anonymer Nachrichten
      Verfügbarkeit: Anfragen we...
Überblick
         0. Einführung
         1. Störung durch Denial-of-Service Angriffe
               Kontrollierte Unverk...
1.1 Angriffe auf Anonymisierungsnetze

    Fred: Angriff auf Verfügbarkeit von Rick
        Denial-of-Service: Ressource...
1.2 Angriffe auf Anonymisierungsnetze

    Eve: Angriff auf Anonymität von Alice
      Teilweise Infiltration von Teilne...
1.3 Angriffsbekämpfung

    Analyse eingehender Nachrichten
      Angriff erkennen, ohne vertraulichen Inhalt zu kennen
...
1.4 Modellierung der Nachrichten als Datenfluss

    Einsatz bei Denial-of-Service Angriffen mit hohen Datenraten
      ...
1.5 Unverkettbarkeit zwischen Nachricht und Identität

    Unverkettbarkeit
      Eve besitzt keinen Beweis, dass Alice ...
1.6 Unverkettbarkeit zwischen Nachrichten


    Totale Unverkettbarkeit
      Eve besitzt keinen Beweis, dass Nachricht1...
1.7 Überwachung der Richtlinie R




    Rick definiert Zeitscheiben t(0),t(1),…
    Alice erhält für jede Zeitscheibe e...
1.8 Protokoll zur Pseudonym-Übergabe

      Steve publiziert seinen Dienst, erreichbar über Rendezvous Point Rick
      ...
1.9 Pseudonym-Eigenschaften und Vertrauen

    Deterministisch berechenbar
      Hash aus angeforderter Zeitscheibe t un...
1.10 Bewertung Denial-of-Service (DoS) Angriffe

    Fred führt DoS-Angriff auf Steve aus
    DoS gegen Steve
      Für...
1.11 Bewertung Angriffe auf Anonymität

    Eve möchte Alice als Absender einer Klartextnachricht identifizieren
      N...
1.12 Skalierbarkeit

    Latenzzeit zwischen Alice und Steve
      Überwiegend Anonymisierung
      Bei Rick zusätzlich...
Überblick
         0. Einführung
         1. Störung durch Denial-of-Service Angriffe
         2. Verhalten als Störeinflu...
2.1 Widerstandsfähigkeit eines Anonymisierungsnetzes

    Voraussetzungen für anonyme Kommunikation
      Verfügbarkeit ...
2.2 Rationales Verhalten in Anonymisierungsnetzen

    Alle Spieler verhalten sich rational, vollständige Information
  ...
2.3 Zielsetzungen in Anonymisierungsnetzen

    Mögliche Zielsetzungen
        Große Anonymitätsmenge (Zielsetzung 1)
  ...
2.4 Auswirkungen von Zielkonflikten

    Angestrebte Qualität der Anonymität
      Einigung auf Angreifermodell und Unun...
0. Einführung
         1. Störung durch Denial-of-Service Angriffe
         2. Verhalten als Störeinfluss
         3. Zusa...
3. Zusammenfassung

    Schutz der Verfügbarkeit für Empfängern anonymer Nachrichten
      Kontrollierte Unverkettbarkei...
Nächste SlideShare
Wird geladen in …5
×

Widerstandsfähigkeit von Anonymisierungsnetzen

157 Aufrufe

Veröffentlicht am

Veröffentlicht in: Technologie
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Widerstandsfähigkeit von Anonymisierungsnetzen

  1. 1. Widerstandsfähigkeit von Anonymisierungsnetzen Jens O. Oberender Freitag, 31.07.09 Rigorosumsvortrag
  2. 2. Überblick 0. Einführung 1. Störung durch Denial-of-Service Angriffe 2. Verhalten als Störeinfluss 3. Zusammenfassung Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 2
  3. 3. 0.1 Anonymität  Anonymität  Ununterscheidbarkeit eines Subjekts in bestimmten Kontext (Anonymitätsmenge)  Anonyme Kommunikation  Schutz der Vertraulichkeit einer Kommunikationsverbindung vor Dritten  Senderanonymität: Identität des Absenders verbergen  Anonymisierungsnetz  Logische Netzstruktur, z.B. basierend auf Mixes  Ein Teilnehmer kommuniziert anonym, indem seine Nachrichten ununterscheidbar (in der Menge gesendeter Nachrichten) werden Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 3
  4. 4. 0.2 Schutzmechanismen in Anonymisierungsnetzen  Cover Traffic stärkt Unbeobachtbarkeit, indem zufällige Nachrichten die Anonymitätsmenge vergrößern  Rendezvous Point schützt Identität des Empfängers Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 4
  5. 5. 0.3 Offene Probleme und eigene Beiträge  Schutz von Empfängern anonymer Nachrichten  Verfügbarkeit: Anfragen werden verarbeitet  Richtlinien-basierter Schutzmechanismus  Anonyme Kommunikation für vereinbartes Verhalten  Bekämpfung von Richtlinien-verletzendem Sendeverhalten  Auswirkung rationalen Verhaltens auf Anonymisierungsnetze  Altruismus: Teilnehmer bringen Ressourcen ein zugunsten anderer  Voraussetzungen für rationales (=strategisches) Verhalten  Analyse der zugrundeliegenden Zielkonflikte  Bewertung der Verhaltensweisen nach Spielklassen Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 5
  6. 6. Überblick 0. Einführung 1. Störung durch Denial-of-Service Angriffe  Kontrollierte Unverkettbarkeit  Architektur zum Schutz von Verfügbarkeit 2. Verhalten als Störeinfluss 3. Zusammenfassung Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 6
  7. 7. 1.1 Angriffe auf Anonymisierungsnetze  Fred: Angriff auf Verfügbarkeit von Rick  Denial-of-Service: Ressourcen eines Opfers erschöpfen  Attackiert Verfügbarkeit mittels ressourcenintensiver Anfragen  Keine Infiltration anderer Teilnehmer  (Keine kriminellen Vorbereitungshandlungen) Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 7
  8. 8. 1.2 Angriffe auf Anonymisierungsnetze  Eve: Angriff auf Anonymität von Alice  Teilweise Infiltration von Teilnehmern  Wissensgewinn mittels Profilbildung  Wissensgewinn mittels Schnittmengenangriff Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 8
  9. 9. 1.3 Angriffsbekämpfung  Analyse eingehender Nachrichten  Angriff erkennen, ohne vertraulichen Inhalt zu kennen  Kontext ermitteln, ohne Anonymität zu schwächen  Datenrate als Entscheidungskriterium für  Aufhebung von Unverkettbarkeit  Verwerfen Richtlinien-verletzender Nachrichten  Vorgehensweise 1. Umformen von Überflutungsangriffen 2. Privatsphäre schützen mittels Anonymität 3. Zulässiges Verhalten definieren 4. Architektur 5. Bewertung Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 9
  10. 10. 1.4 Modellierung der Nachrichten als Datenfluss  Einsatz bei Denial-of-Service Angriffen mit hohen Datenraten  Leaky Bucket: fixiert Ausgaberate  Arrival Kurve: zusätzliche Burstrate vorteilhaft bei Jitter Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 10
  11. 11. 1.5 Unverkettbarkeit zwischen Nachricht und Identität  Unverkettbarkeit  Eve besitzt keinen Beweis, dass Alice eine Nachricht gesendet hat  Perfekte Unverkettbarkeit  Eve kann keine Beobachtung B erlangen, die ihr Wissen über den Absender von Nachricht verändert  Bedingte Unverkettbarkeit  Das System legt vorab eine Bedingung fest  Tom besitzt einen Beweis über die Verkettung der Nachricht mit Alice  Der Beweis bleibt Eve verborgen, solange die Bedingung erfüllt ist  Aufhebung: Kommunikation zwischen Rick und Tom erforderlich Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 11
  12. 12. 1.6 Unverkettbarkeit zwischen Nachrichten  Totale Unverkettbarkeit  Eve besitzt keinen Beweis, dass Nachricht1 und Nachricht2 vom gleichen Absender stammen  Partielle Unverkettbarkeit  Eve weiss, dass Nachricht1, Nachricht2 vom gleichen Absender stammen  Kontrollierte Unverkettbarkeit [O., Volkamer, de Meer 2007]  Rick definiert eine Richtlinie R für zulässiges Verhalten  Tom vergibt an Alice Pseudonyme gemäß R  Nachrichten von Alice bleiben unverkettbar, solange Richtlinie R nicht verletzt wird Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 12
  13. 13. 1.7 Überwachung der Richtlinie R  Rick definiert Zeitscheiben t(0),t(1),…  Alice erhält für jede Zeitscheibe ein eindeutiges Pseudonym von Tom  Alice hält Richtlinie R ein -> Nachrichten unverkettbar  Fred verletzt Richtlinie R -> Nachrichten verkettet Traffic Shaping lehnt überzählige DoS-Anfragen ab Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 13
  14. 14. 1.8 Protokoll zur Pseudonym-Übergabe  Steve publiziert seinen Dienst, erreichbar über Rendezvous Point Rick  Alice erhält ein Ticket Granting Ticket (TGT)  Alice baut Verbindung mit Rick auf und erfährt Zeitscheibe t  Kommunikationsablauf  Alice bittet einen Tom um ein Ticket für Zeitscheibe t  Alice sendet ihre Anfrage mit dem Ticket an Rick  Rick überprüft anhand des Pseudonyms, ob der Anfragende die Richtlinie verletzt Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 14
  15. 15. 1.9 Pseudonym-Eigenschaften und Vertrauen  Deterministisch berechenbar  Hash aus angeforderter Zeitscheibe t und Ticket Granting Ticket = { IDAlice, NonceAlice, Gültigkeit } Authority  Schutz vor Verifizierbarkeit  Geheime Nonce („number used once“) im TGT, verhindert dass Dritte zugewiesene Pseudonym verifizieren können PseudAlice(t) = hash ( IDAlice || t || NonceAlice )  Integrität, jedoch ohne identifizierbaren Signierer  Einsatz einer Gruppensignatur: { t, PseudAlice(t) } Tommys  Rick verifiziert Unterschrift eines Tommys, kann aber Tom nicht identifizieren Notation: { x } Signierer Digitale Signatur || Konkatenation {,,} Tupel Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 15
  16. 16. 1.10 Bewertung Denial-of-Service (DoS) Angriffe  Fred führt DoS-Angriff auf Steve aus  DoS gegen Steve  Für Fred existiert nur ein einziges Pseudonym in Zeitscheibe t; wird Richtlinie R verletzt, werden die Nachrichten verkettet; Traffic Shaping verwirft überzählige Nachrichten  Distributed DoS gegen Steve  Pseudonyme für Fred 1..n unverkettbar -> lässt sich auch nicht mit Identitäten erkennen  Alle Freddies zusammen erhalten überproportional Ressourcen, können andere Anfragen jedoch nicht verdrängen Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 16
  17. 17. 1.11 Bewertung Angriffe auf Anonymität  Eve möchte Alice als Absender einer Klartextnachricht identifizieren  Nur Authority und Tom können Alice identifizieren  Nur Steve besitzt (neben Alice) den Klartext  Kollusion zwischen Tom, Rick und Steve  Identität kann nicht ins Ticket gelangen  Rick wird von Alice ausgewählt, gegenüber Tom unbekannt  Verkettung prinzipiell möglich  Tom: (ID, Pseudonym, t)  Rick: (Pseudonym, t, n)  Steve: (n, Text)  Prävention: Alice wählt einen nicht-infiltrierten Tom Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 17
  18. 18. 1.12 Skalierbarkeit  Latenzzeit zwischen Alice und Steve  Überwiegend Anonymisierung  Bei Rick zusätzlich  Signatur des Tickets prüfen  Abgleich mit Arrival Curve, ggf. Verzögerung  Praktischer Einsatz  Beliebig viele Instanzen von (vertrauenswürdigen) Tommys  Integration: bei niedriger Last wird auf Ticket verzichtet Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 18
  19. 19. Überblick 0. Einführung 1. Störung durch Denial-of-Service Angriffe 2. Verhalten als Störeinfluss  Spieltheoretische Modellierung und Bewertung von Verhalten  Lösungsstrategien und Auswirkungen von Zielkonflikten 3. Zusammenfassung Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 19
  20. 20. 2.1 Widerstandsfähigkeit eines Anonymisierungsnetzes  Voraussetzungen für anonyme Kommunikation  Verfügbarkeit des Empfängers  Integrität des Nachrichteninhalts  Ununterscheidbarkeit in der Menge aktiver Nachrichtensender  Ökonomie der Struktur eines Anonymitätssystems [Acquisti, Dingledine, Syverson 2003]  Design Dilemma [O., de Meer 2008]  Widerstandsfähigkeit muss Verhalten aller Parteien miteinbeziehen (Interdependenz) 20 Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen
  21. 21. 2.2 Rationales Verhalten in Anonymisierungsnetzen  Alle Spieler verhalten sich rational, vollständige Information  Modellierung mittels Spieltheorie  Identifizieren von Klassenbeschreibungen mit geeignetem Spielausgang  Dilemma-Spiele  Symmetrische Strategien vorteilhaft?  Nicht-vereinbarte Kooperation vorteilhaft? Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 21
  22. 22. 2.3 Zielsetzungen in Anonymisierungsnetzen  Mögliche Zielsetzungen  Große Anonymitätsmenge (Zielsetzung 1)  Teilnahme mit geringem Ressourcenaufwand (Zielsetzung 2)  Hohe Robustheit gegenüber Störungen  Verdecktes Fehlverhalten  Verhandlungsraum  Verhandlungslösung, Ausgangspunkt  Identifizierung von Nash-Gleichgewichten und Bewertung Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 22
  23. 23. 2.4 Auswirkungen von Zielkonflikten  Angestrebte Qualität der Anonymität  Einigung auf Angreifermodell und Ununterscheidbarkeit  Anonymitätsmenge dann maximal, wenn eine Einigung erfolgen kann  Tatsächlichen Qualität der Anonymität  Prognose ist nicht verfügbar, vertrauenswürdig oder garantiert  Missbrauchsgefahr Schnittmengenangriff  Egoistisches Verhalten von Teilnehmern  Fehlender Cover Traffic beeinträchtigt Anonymität Dritter Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 23
  24. 24. 0. Einführung 1. Störung durch Denial-of-Service Angriffe 2. Verhalten als Störeinfluss 3. Zusammenfassung Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 24
  25. 25. 3. Zusammenfassung  Schutz der Verfügbarkeit für Empfängern anonymer Nachrichten  Kontrollierte Unverkettbarkeit: Privatsphäre der Teilnehmer gewährt  Richtlinie als Entscheidungskriterium für Unbedenklichkeit der Anfrage  Schutz vor Angriffen gegen Verfügbarkeit und Anonymität  Untersuchung von Widerstandsfähigkeit  Bewertung der Auswirkung unterschiedlicher Nutzenfunktionen  Wechselwirkungen zwischen Anonymität und Teilnehmerverhalten  Auflösung von Zielkonflikten durch Wahl geeigneter Lösungsklassen  Vision: Kooperative Anonymisierungsnetze Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 25

×