190 likes | 265 Views
Webmixe – Ein System für die anonyme unbeobachtbare Internetnutzung. Schutzziele. Anonymität Schutz der Identität zusätzlich auch gegenüber dem Kommunikationspartner Anonymität als Sender von Nachrichten Anonymität als Empfänger von Nachrichten Unbeobachtbarkeit
E N D
Webmixe – Ein System für die anonyme unbeobachtbare Internetnutzung
Schutzziele Anonymität Schutz der Identität zusätzlich auch gegenüber dem Kommunikationspartner • Anonymität als Sendervon Nachrichten • Anonymität als Empfängervon Nachrichten Unbeobachtbarkeit Schutz von Sender und/oder Empfänger gegenüber allen Unbeteiligten (inkl. Netzbetreiber) • Niemand kann Kommunikationsbeziehungen verfolgen. • Unbeobachtbares Senden und/oder Empfangen von Nachrichten
Motivation Teledienstedatenschutzgesetz (TDDSG) § 4 Absatz 6: Der Diensteanbieter hat dem Nutzer die Inanspruchnahme von Telediensten und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.
JAP • Registrieren der Nutzer des Mixes • Periodischer Aufbau des Zeitscheibentunnels (generieren und senden der asymmetrisch verschlüsselten Kanalaufbaunachricht) • Senden und empfangen von Daten, Dummy messages • Lesen von Browseranfragen • Filtern von gefährlichen Inhalten (Cookies, JavaScript, ActiveX...) • Umwandeln von Daten ins Mix-Format und senden über sicheren Kanal • Empfangen von Daten über den Mix-Kanal und weiterleiten an die entsprechende Anwendung • Periodischer Info-Service über den momentanen Grad der Sicherheit
Mix • Nachrichten in einem »Schub« sammeln, Wiederholungen ignorieren, umkodieren (asymmetrische Verschlüsselung), umsortieren, gemeinsam ausgeben. • Alle Nachrichten haben die gleiche Länge. • Mehr als einen Mix verwenden. • Wenigstens ein Mix darf nicht angreifen.
Proxy • Untersuchen der vom Web Server empfangenen Daten auf versteckte Objekte • Weiterleiten der erwünschten Daten verschlüsselt zum JAP-Nutzer • Server erfährt nichts über Client, Proxy kann mitlesen
Info-Service • Adressen und öffentliche Schlüssel der Mixe • Informationen über die Verkehrssituation • Verfügbarkeit der Mixe • Erreichter Grad an Anonymität (Anzahl der momentanen Nutzer des anonymen Netzwerkes)
Mögliche Angriffe Angreifer kann: • alle Kommunikationsleitungen passiv überwachen (Verkehrsanalysen durchführen), • ggf. aktiv eigene Nachrichten beisteuern, • ggf. fremde Nachrichten blockieren/verzögern, ggf. selbst eine »Unbeobachtbarkeitsstation« sein • Empfänger oder Sender sein
Flooding-Attack Blocking/Flooding-Attack Ziel: eine bestimmte Nachricht enttarnen Angriff 1: Angreifer in Rolle »Teilnehmer« Der Angreifer flutet den Mix mit eigenen Nachrichten, so dass im Idealfall die eine zu beobachtende Nachricht und n-1 vom Angreifer bearbeitet werden. (n ist die Schubgröße)
Flooding-Attack Angriff 2: Mix greift an Angreifender Mix blockiert die n-1 uninteressanten Nachrichten und ersetzt diese durch eigene Beobachtung des Outputs des folgenden Mixes führt zur Überbrückung des Mixes, da n-1 Nachrichten dem Angreifer bekannt sind.
Flooding-Attack Verhindern Angriff 1: Angreifer in Rolle »Teilnehmer« • Jeder Teilnehmer darf nur begrenzte Zahl Eingabenachrichten liefern. • Authentisierung der Eingabenachricht gegenüber erstem Mix
Flooding-Attack Verhindern Angriff 2: Mix greift an Ticket-Methode: Jeder Teilnehmer erhält für jeden Mix ein »Ticket« (blind geleistete Signatur). Durch organisatorische Maßnahmen wird sichergestellt, dass jeder Teilnehmer je Schub genau 1 Ticket erhält, also den Mix nicht mehr flutenkann.
Denial-of-Service Angriff Denial-of-Service Angriff (DoS-attack) Ziel: Auskundschaften der Nutzer oder stoppen des Services Angriff aufdecken Basis: 1. Alle Nachrichten sind vom Absender digital signiert. 2. Alle Mixe sigieren Ausgabenachrichten.
Denial-of-Service Angriff aufdecken Methode: • Angriff wird bei Mix x erkannt (fehlerhafte Signatur) • Mix deckt Entschlüsselung öffentlich auf; Beweis des Angriffs • Mixe x-1 bis 1 müssen korrekte Bearbeitung der Nachricht nachweisen • Sender der Nachricht (von Mix 1 veröffentlicht) muss korrekte Erstellung der Nachricht nachweisen • Kann oder will ein Mix/Teilnehmer den Nachweis nicht erbringen, gilt er als Angreifer. Leistungsfähigkeit • verhindert keine Angriffe, aber identifiziert nachweisbar den Angreifer
Technische Daten/Nutzerzahlen Implementierung bestehend aus: • Java-Client-Programm »JAP« • Mix-Server (C++) • Info-Service (Java) Schätzung: • insgesamt ca. 20000 Nutzer Netzwerkverkehr ist zur Zeit der Hauptengpass: • ca. 3000 Gigabyte pro Monat • bei ca. 1000 Nutzern gleichzeitig online • zu Spitzenzeiten etwa 4000 Transaktionen (URLs) pro Minute • 3 Mix-Kaskaden im Betrieb
Nutzerbefragung Warum nutzen Sie JAP? Sonstige 11,99 % Weiß nicht 1,63 % Plattformunabhängig 47,15 % Sicher gegen Betreiber 54,88 % Verschlüsselt Dateien 43,50 % Schneller 38,62 % Kostenlos 76,02 % Easy to use 51,42 % Kenne keinen anderen 11,79 % (1800 Befragte)