Widerstandsfähigkeit von Anonymisierungsnetzen

Widerstandsfähigkeit von Anonymisierungsnetzen

Jens O. Oberender

Freitag, 31.07.09Rigorosumsvortrag

0. Einführung

1. Störung durch Denial-of-Service Angriffe

2. Verhalten als Störeinfluss

3. Zusammenfassung

Überblick

2Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen

0.1 Anonymität

Anonymität

Ununterscheidbarkeit eines Subjekts in bestimmten Kontext(Anonymitätsmenge)

Anonyme Kommunikation

Schutz der Vertraulichkeit einer Kommunikationsverbindung vor Dritten

Senderanonymität: Identität des Absenders verbergen

Anonymisierungsnetz

Logische Netzstruktur, z.B. basierend auf Mixes

Ein Teilnehmer kommuniziert anonym, indem seine Nachrichten ununterscheidbar (in der Menge gesendeter Nachrichten) werden


0.2 Schutzmechanismen in Anonymisierungsnetzen

Cover Traffic stärkt Unbeobachtbarkeit, indem zufällige Nachrichten die Anonymitätsmenge vergrößern

Rendezvous Point schützt Identität des Empfängers


0.3 Offene Probleme und eigene Beiträge

Schutz von Empfängern anonymer Nachrichten

Verfügbarkeit: Anfragen werden verarbeitet

Richtlinien-basierter Schutzmechanismus

Anonyme Kommunikation für vereinbartes Verhalten

Bekämpfung von Richtlinien-verletzendem Sendeverhalten

Auswirkung rationalen Verhaltens auf Anonymisierungsnetze

Altruismus: Teilnehmer bringen Ressourcen ein zugunsten anderer

Voraussetzungen für rationales (=strategisches) Verhalten

Analyse der zugrundeliegenden Zielkonflikte

Bewertung der Verhaltensweisen nach Spielklassen


0. Einführung


Kontrollierte Unverkettbarkeit

Architektur zum Schutz von Verfügbarkeit


3. Zusammenfassung

Überblick


1.1 Angriffe auf Anonymisierungsnetze

Fred: Angriff auf Verfügbarkeit von Rick

Denial-of-Service: Ressourcen eines Opfers erschöpfen

Attackiert Verfügbarkeit mittels ressourcenintensiver Anfragen

Keine Infiltration anderer Teilnehmer

(Keine kriminellen Vorbereitungshandlungen)


1.2 Angriffe auf Anonymisierungsnetze

Eve: Angriff auf Anonymität von Alice

Teilweise Infiltration von Teilnehmern

Wissensgewinn mittels Profilbildung

Wissensgewinn mittels Schnittmengenangriff


1.3 Angriffsbekämpfung

Analyse eingehender Nachrichten

Angriff erkennen, ohne vertraulichen Inhalt zu kennen

Kontext ermitteln, ohne Anonymität zu schwächen

Datenrate als Entscheidungskriterium für

Aufhebung von Unverkettbarkeit

Verwerfen Richtlinien-verletzender Nachrichten

Vorgehensweise

1. Umformen von Überflutungsangriffen

2. Privatsphäre schützen mittels Anonymität

3. Zulässiges Verhalten definieren

4. Architektur

5. Bewertung


Einsatz bei Denial-of-Service Angriffen mit hohen Datenraten

Leaky Bucket: fixiert Ausgaberate

Arrival Kurve: zusätzliche Burstrate vorteilhaft bei Jitter

1.4 Modellierung der Nachrichten als Datenfluss


1.5 Unverkettbarkeit zwischen Nachricht und Identität

Unverkettbarkeit

Eve besitzt keinen Beweis, dass Alice eine Nachricht gesendet hat

Perfekte Unverkettbarkeit

Eve kann keine Beobachtung B erlangen, die ihr Wissen über den Absender von Nachricht verändert

Bedingte Unverkettbarkeit

Das System legt vorab eine Bedingung fest

Tom besitzt einen Beweis über die Verkettung der Nachricht mit Alice

Der Beweis bleibt Eve verborgen, solange die Bedingung erfüllt ist

Aufhebung: Kommunikation zwischen Rick und Tom erforderlich


1.6 Unverkettbarkeit zwischen Nachrichten

Totale Unverkettbarkeit

Eve besitzt keinen Beweis, dass Nachricht1und Nachricht2 vom gleichen Absender stammen

Partielle Unverkettbarkeit

Eve weiss, dass Nachricht1, Nachricht2 vom gleichen Absender stammen

Kontrollierte Unverkettbarkeit [O., Volkamer, de Meer 2007]

Rick definiert eine Richtlinie R für zulässiges Verhalten

Tom vergibt an Alice Pseudonyme gemäß R

Nachrichten von Alice bleiben unverkettbar,solange Richtlinie R nicht verletzt wird


Rick definiert Zeitscheiben t(0),t(1),…

Alice erhält für jede Zeitscheibe ein eindeutiges Pseudonym von Tom

Alice hält Richtlinie R ein -> Nachrichten unverkettbar

Fred verletzt Richtlinie R -> Nachrichten verkettetTraffic Shaping lehnt überzählige DoS-Anfragen ab

1.7 Überwachung der Richtlinie R


1.8 Protokoll zur Pseudonym-Übergabe

Steve publiziert seinen Dienst, erreichbar über Rendezvous Point Rick

Alice erhält ein Ticket Granting Ticket (TGT)

Alice baut Verbindung mit Rick auf und erfährt Zeitscheibe t

Kommunikationsablauf

Alice bittet einen Tom um ein Ticket für Zeitscheibe t

Alice sendet ihre Anfrage mit dem Ticket an Rick

Rick überprüft anhand des Pseudonyms, ob der Anfragende die Richtlinie verletzt


1.9 Pseudonym-Eigenschaften und Vertrauen

Deterministisch berechenbar

Hash aus angeforderter Zeitscheibe t und Ticket Granting Ticket = { IDAlice, NonceAlice, Gültigkeit } Authority

Schutz vor Verifizierbarkeit

Geheime Nonce („number used once“) im TGT, verhindert dass Dritte zugewiesene Pseudonym verifizieren könnenPseudAlice(t) = hash ( IDAlice || t || NonceAlice )

Integrität, jedoch ohne identifizierbaren Signierer

Einsatz einer Gruppensignatur: { t, PseudAlice(t) } Tommys

Rick verifiziert Unterschrift eines Tommys,kann aber Tom nicht identifizieren


Notation:

{ x } Signierer Digitale Signatur

|| Konkatenation

{ , , } Tupel

Fred führt DoS-Angriff auf Steve aus

DoS gegen Steve

Für Fred existiert nur ein einziges Pseudonym in Zeitscheibe t;wird Richtlinie R verletzt, werden die Nachrichten verkettet;Traffic Shaping verwirft überzählige Nachrichten

Distributed DoS gegen Steve

Pseudonyme für Fred 1..n unverkettbar-> lässt sich auch nicht mit Identitäten erkennen

Alle Freddies zusammen erhalten überproportional Ressourcen, können andere Anfragen jedoch nicht verdrängen

1.10 Bewertung Denial-of-Service (DoS) Angriffe


1.11 Bewertung Angriffe auf Anonymität

Eve möchte Alice als Absender einer Klartextnachricht identifizieren

Nur Authority und Tom können Alice identifizieren

Nur Steve besitzt (neben Alice) den Klartext

Kollusion zwischen Tom, Rick und Steve

Identität kann nicht ins Ticket gelangen

Rick wird von Alice ausgewählt, gegenüber Tom unbekannt

Verkettung prinzipiell möglich

Tom: (ID, Pseudonym, t)

Rick: (Pseudonym, t, n)

Steve: (n, Text)

Prävention: Alice wählt einen nicht-infiltrierten Tom


1.12 Skalierbarkeit

Latenzzeit zwischen Alice und Steve

Überwiegend Anonymisierung

Bei Rick zusätzlich

Signatur des Tickets prüfen

Abgleich mit Arrival Curve, ggf. Verzögerung

Praktischer Einsatz

Beliebig viele Instanzen von (vertrauenswürdigen) Tommys

Integration: bei niedriger Last wird auf Ticket verzichtet


0. Einführung



Spieltheoretische Modellierung und Bewertung von Verhalten

Lösungsstrategien und Auswirkungen von Zielkonflikten

3. Zusammenfassung

Überblick


Voraussetzungen für anonyme Kommunikation

Verfügbarkeit des Empfängers

Integrität des Nachrichteninhalts

Ununterscheidbarkeit in der Menge aktiver Nachrichtensender

Ökonomie der Struktur eines Anonymitätssystems[Acquisti, Dingledine, Syverson 2003]

Design Dilemma [O., de Meer 2008]

Widerstandsfähigkeit muss Verhalten aller Parteien miteinbeziehen(Interdependenz)

20

Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen

2.1 Widerstandsfähigkeit eines Anonymisierungsnetzes

2.2 Rationales Verhalten in Anonymisierungsnetzen

Alle Spieler verhalten sich rational, vollständige Information

Modellierung mittels Spieltheorie

Identifizieren von Klassenbeschreibungen mit geeignetem Spielausgang

Dilemma-Spiele

Symmetrische Strategien vorteilhaft?

Nicht-vereinbarte Kooperation vorteilhaft?


2.3 Zielsetzungen in Anonymisierungsnetzen

Mögliche Zielsetzungen

Große Anonymitätsmenge (Zielsetzung 1)

Teilnahme mit geringem Ressourcenaufwand (Zielsetzung 2)

Hohe Robustheit gegenüber Störungen

Verdecktes Fehlverhalten

Verhandlungsraum

Verhandlungslösung, Ausgangspunkt

Identifizierung von Nash-Gleichgewichten und Bewertung


2.4 Auswirkungen von Zielkonflikten

Angestrebte Qualität der Anonymität

Einigung auf Angreifermodell und Ununterscheidbarkeit

Anonymitätsmenge dann maximal, wenn eine Einigung erfolgen kann

Tatsächlichen Qualität der Anonymität

Prognose ist nicht verfügbar, vertrauenswürdig oder garantiert

Missbrauchsgefahr Schnittmengenangriff

Egoistisches Verhalten von Teilnehmern

Fehlender Cover Traffic beeinträchtigt Anonymität Dritter


0. Einführung



3. Zusammenfassung


3. Zusammenfassung

Schutz der Verfügbarkeit für Empfängern anonymer Nachrichten

Kontrollierte Unverkettbarkeit: Privatsphäre der Teilnehmer gewährt

Richtlinie als Entscheidungskriterium für Unbedenklichkeit der Anfrage

Schutz vor Angriffen gegen Verfügbarkeit und Anonymität

Untersuchung von Widerstandsfähigkeit

Bewertung der Auswirkung unterschiedlicher Nutzenfunktionen

Wechselwirkungen zwischen Anonymität und Teilnehmerverhalten

Auflösung von Zielkonflikten durch Wahl geeigneter Lösungsklassen

Vision: Kooperative Anonymisierungsnetze


Technology

Widerstandsfähigkeit von Anonymisierungsnetzen