Upload
jens-oberender
View
126
Download
0
Embed Size (px)
Citation preview
Widerstandsfähigkeit von Anonymisierungsnetzen
Jens O. Oberender
Freitag, 31.07.09Rigorosumsvortrag
0. Einführung
1. Störung durch Denial-of-Service Angriffe
2. Verhalten als Störeinfluss
3. Zusammenfassung
Überblick
2Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen
0.1 Anonymität
Anonymität
Ununterscheidbarkeit eines Subjekts in bestimmten Kontext(Anonymitätsmenge)
Anonyme Kommunikation
Schutz der Vertraulichkeit einer Kommunikationsverbindung vor Dritten
Senderanonymität: Identität des Absenders verbergen
Anonymisierungsnetz
Logische Netzstruktur, z.B. basierend auf Mixes
Ein Teilnehmer kommuniziert anonym, indem seine Nachrichten ununterscheidbar (in der Menge gesendeter Nachrichten) werden
3Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen
0.2 Schutzmechanismen in Anonymisierungsnetzen
Cover Traffic stärkt Unbeobachtbarkeit, indem zufällige Nachrichten die Anonymitätsmenge vergrößern
Rendezvous Point schützt Identität des Empfängers
4Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen
0.3 Offene Probleme und eigene Beiträge
Schutz von Empfängern anonymer Nachrichten
Verfügbarkeit: Anfragen werden verarbeitet
Richtlinien-basierter Schutzmechanismus
Anonyme Kommunikation für vereinbartes Verhalten
Bekämpfung von Richtlinien-verletzendem Sendeverhalten
Auswirkung rationalen Verhaltens auf Anonymisierungsnetze
Altruismus: Teilnehmer bringen Ressourcen ein zugunsten anderer
Voraussetzungen für rationales (=strategisches) Verhalten
Analyse der zugrundeliegenden Zielkonflikte
Bewertung der Verhaltensweisen nach Spielklassen
5Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen
0. Einführung
1. Störung durch Denial-of-Service Angriffe
Kontrollierte Unverkettbarkeit
Architektur zum Schutz von Verfügbarkeit
2. Verhalten als Störeinfluss
3. Zusammenfassung
Überblick
6Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen
1.1 Angriffe auf Anonymisierungsnetze
Fred: Angriff auf Verfügbarkeit von Rick
Denial-of-Service: Ressourcen eines Opfers erschöpfen
Attackiert Verfügbarkeit mittels ressourcenintensiver Anfragen
Keine Infiltration anderer Teilnehmer
(Keine kriminellen Vorbereitungshandlungen)
7Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen
1.2 Angriffe auf Anonymisierungsnetze
Eve: Angriff auf Anonymität von Alice
Teilweise Infiltration von Teilnehmern
Wissensgewinn mittels Profilbildung
Wissensgewinn mittels Schnittmengenangriff
8Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen
1.3 Angriffsbekämpfung
Analyse eingehender Nachrichten
Angriff erkennen, ohne vertraulichen Inhalt zu kennen
Kontext ermitteln, ohne Anonymität zu schwächen
Datenrate als Entscheidungskriterium für
Aufhebung von Unverkettbarkeit
Verwerfen Richtlinien-verletzender Nachrichten
Vorgehensweise
1. Umformen von Überflutungsangriffen
2. Privatsphäre schützen mittels Anonymität
3. Zulässiges Verhalten definieren
4. Architektur
5. Bewertung
9Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen
Einsatz bei Denial-of-Service Angriffen mit hohen Datenraten
Leaky Bucket: fixiert Ausgaberate
Arrival Kurve: zusätzliche Burstrate vorteilhaft bei Jitter
1.4 Modellierung der Nachrichten als Datenfluss
10Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen
1.5 Unverkettbarkeit zwischen Nachricht und Identität
Unverkettbarkeit
Eve besitzt keinen Beweis, dass Alice eine Nachricht gesendet hat
Perfekte Unverkettbarkeit
Eve kann keine Beobachtung B erlangen, die ihr Wissen über den Absender von Nachricht verändert
Bedingte Unverkettbarkeit
Das System legt vorab eine Bedingung fest
Tom besitzt einen Beweis über die Verkettung der Nachricht mit Alice
Der Beweis bleibt Eve verborgen, solange die Bedingung erfüllt ist
Aufhebung: Kommunikation zwischen Rick und Tom erforderlich
11Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen
1.6 Unverkettbarkeit zwischen Nachrichten
Totale Unverkettbarkeit
Eve besitzt keinen Beweis, dass Nachricht1und Nachricht2 vom gleichen Absender stammen
Partielle Unverkettbarkeit
Eve weiss, dass Nachricht1, Nachricht2 vom gleichen Absender stammen
Kontrollierte Unverkettbarkeit [O., Volkamer, de Meer 2007]
Rick definiert eine Richtlinie R für zulässiges Verhalten
Tom vergibt an Alice Pseudonyme gemäß R
Nachrichten von Alice bleiben unverkettbar,solange Richtlinie R nicht verletzt wird
12Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen
Rick definiert Zeitscheiben t(0),t(1),…
Alice erhält für jede Zeitscheibe ein eindeutiges Pseudonym von Tom
Alice hält Richtlinie R ein -> Nachrichten unverkettbar
Fred verletzt Richtlinie R -> Nachrichten verkettetTraffic Shaping lehnt überzählige DoS-Anfragen ab
1.7 Überwachung der Richtlinie R
13Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen
1.8 Protokoll zur Pseudonym-Übergabe
Steve publiziert seinen Dienst, erreichbar über Rendezvous Point Rick
Alice erhält ein Ticket Granting Ticket (TGT)
Alice baut Verbindung mit Rick auf und erfährt Zeitscheibe t
Kommunikationsablauf
Alice bittet einen Tom um ein Ticket für Zeitscheibe t
Alice sendet ihre Anfrage mit dem Ticket an Rick
Rick überprüft anhand des Pseudonyms, ob der Anfragende die Richtlinie verletzt
14Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen
1.9 Pseudonym-Eigenschaften und Vertrauen
Deterministisch berechenbar
Hash aus angeforderter Zeitscheibe t und Ticket Granting Ticket = { IDAlice, NonceAlice, Gültigkeit } Authority
Schutz vor Verifizierbarkeit
Geheime Nonce („number used once“) im TGT, verhindert dass Dritte zugewiesene Pseudonym verifizieren könnenPseudAlice(t) = hash ( IDAlice || t || NonceAlice )
Integrität, jedoch ohne identifizierbaren Signierer
Einsatz einer Gruppensignatur: { t, PseudAlice(t) } Tommys
Rick verifiziert Unterschrift eines Tommys,kann aber Tom nicht identifizieren
15Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen
Notation:
{ x } Signierer Digitale Signatur
|| Konkatenation
{ , , } Tupel
Fred führt DoS-Angriff auf Steve aus
DoS gegen Steve
Für Fred existiert nur ein einziges Pseudonym in Zeitscheibe t;wird Richtlinie R verletzt, werden die Nachrichten verkettet;Traffic Shaping verwirft überzählige Nachrichten
Distributed DoS gegen Steve
Pseudonyme für Fred 1..n unverkettbar-> lässt sich auch nicht mit Identitäten erkennen
Alle Freddies zusammen erhalten überproportional Ressourcen, können andere Anfragen jedoch nicht verdrängen
1.10 Bewertung Denial-of-Service (DoS) Angriffe
16Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen
1.11 Bewertung Angriffe auf Anonymität
Eve möchte Alice als Absender einer Klartextnachricht identifizieren
Nur Authority und Tom können Alice identifizieren
Nur Steve besitzt (neben Alice) den Klartext
Kollusion zwischen Tom, Rick und Steve
Identität kann nicht ins Ticket gelangen
Rick wird von Alice ausgewählt, gegenüber Tom unbekannt
Verkettung prinzipiell möglich
Tom: (ID, Pseudonym, t)
Rick: (Pseudonym, t, n)
Steve: (n, Text)
Prävention: Alice wählt einen nicht-infiltrierten Tom
17Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen
1.12 Skalierbarkeit
Latenzzeit zwischen Alice und Steve
Überwiegend Anonymisierung
Bei Rick zusätzlich
Signatur des Tickets prüfen
Abgleich mit Arrival Curve, ggf. Verzögerung
Praktischer Einsatz
Beliebig viele Instanzen von (vertrauenswürdigen) Tommys
Integration: bei niedriger Last wird auf Ticket verzichtet
18Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen
0. Einführung
1. Störung durch Denial-of-Service Angriffe
2. Verhalten als Störeinfluss
Spieltheoretische Modellierung und Bewertung von Verhalten
Lösungsstrategien und Auswirkungen von Zielkonflikten
3. Zusammenfassung
Überblick
19Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen
Voraussetzungen für anonyme Kommunikation
Verfügbarkeit des Empfängers
Integrität des Nachrichteninhalts
Ununterscheidbarkeit in der Menge aktiver Nachrichtensender
Ökonomie der Struktur eines Anonymitätssystems[Acquisti, Dingledine, Syverson 2003]
Design Dilemma [O., de Meer 2008]
Widerstandsfähigkeit muss Verhalten aller Parteien miteinbeziehen(Interdependenz)
20
Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen
2.1 Widerstandsfähigkeit eines Anonymisierungsnetzes
2.2 Rationales Verhalten in Anonymisierungsnetzen
Alle Spieler verhalten sich rational, vollständige Information
Modellierung mittels Spieltheorie
Identifizieren von Klassenbeschreibungen mit geeignetem Spielausgang
Dilemma-Spiele
Symmetrische Strategien vorteilhaft?
Nicht-vereinbarte Kooperation vorteilhaft?
21Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen
2.3 Zielsetzungen in Anonymisierungsnetzen
Mögliche Zielsetzungen
Große Anonymitätsmenge (Zielsetzung 1)
Teilnahme mit geringem Ressourcenaufwand (Zielsetzung 2)
Hohe Robustheit gegenüber Störungen
Verdecktes Fehlverhalten
Verhandlungsraum
Verhandlungslösung, Ausgangspunkt
Identifizierung von Nash-Gleichgewichten und Bewertung
22Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen
2.4 Auswirkungen von Zielkonflikten
Angestrebte Qualität der Anonymität
Einigung auf Angreifermodell und Ununterscheidbarkeit
Anonymitätsmenge dann maximal, wenn eine Einigung erfolgen kann
Tatsächlichen Qualität der Anonymität
Prognose ist nicht verfügbar, vertrauenswürdig oder garantiert
Missbrauchsgefahr Schnittmengenangriff
Egoistisches Verhalten von Teilnehmern
Fehlender Cover Traffic beeinträchtigt Anonymität Dritter
23Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen
0. Einführung
1. Störung durch Denial-of-Service Angriffe
2. Verhalten als Störeinfluss
3. Zusammenfassung
24Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen
3. Zusammenfassung
Schutz der Verfügbarkeit für Empfängern anonymer Nachrichten
Kontrollierte Unverkettbarkeit: Privatsphäre der Teilnehmer gewährt
Richtlinie als Entscheidungskriterium für Unbedenklichkeit der Anfrage
Schutz vor Angriffen gegen Verfügbarkeit und Anonymität
Untersuchung von Widerstandsfähigkeit
Bewertung der Auswirkung unterschiedlicher Nutzenfunktionen
Wechselwirkungen zwischen Anonymität und Teilnehmerverhalten
Auflösung von Zielkonflikten durch Wahl geeigneter Lösungsklassen
Vision: Kooperative Anonymisierungsnetze
25Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen