• Save
Widerstandsfähigkeit von Anonymisierungsnetzen
Upcoming SlideShare
Loading in...5
×
 

Widerstandsfähigkeit von Anonymisierungsnetzen

on

  • 585 views

 

Statistics

Views

Total Views
585
Views on SlideShare
572
Embed Views
13

Actions

Likes
0
Downloads
1
Comments
0

3 Embeds 13

http://www.nymity.info 8
http://test.nymity.info 4
http://nymity.info 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Widerstandsfähigkeit von Anonymisierungsnetzen Widerstandsfähigkeit von Anonymisierungsnetzen Presentation Transcript

  • Widerstandsfähigkeit von Anonymisierungsnetzen Jens O. Oberender Freitag, 31.07.09 Rigorosumsvortrag
  • Überblick  0. Einführung 1. Störung durch Denial‐of‐Service Angriffe 2. Verhalten als Störeinfluss 3. ZusammenfassungOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 2
  • 0.1 Anonymität Anonymität Ununterscheidbarkeit eines Subjekts in bestimmten Kontext (Anonymitätsmenge) Anonyme Kommunikation Schutz der Vertraulichkeit einer  Kommunikationsverbindung vor Dritten Senderanonymität: Identität des Absenders verbergen Anonymisierungsnetz Logische Netzstruktur, z.B. basierend auf Mixes Ein Teilnehmer kommuniziert anonym, indem seine Nachrichten  ununterscheidbar (in der Menge gesendeter Nachrichten) werdenOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 3
  • 0.2 Schutzmechanismen in Anonymisierungsnetzen Cover Traffic stärkt Unbeobachtbarkeit,  indem zufällige Nachrichten die Anonymitätsmenge vergrößern Rendezvous Point schützt Identität des EmpfängersOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 4
  • 0.3 Offene Probleme und eigene Beiträge Schutz von Empfängern anonymer Nachrichten Verfügbarkeit: Anfragen werden verarbeitet Richtlinien‐basierter Schutzmechanismus Anonyme Kommunikation für vereinbartes Verhalten Bekämpfung von Richtlinien‐verletzendem Sendeverhalten Auswirkung rationalen Verhaltens auf Anonymisierungsnetze Altruismus: Teilnehmer bringen Ressourcen ein zugunsten anderer Voraussetzungen für rationales (=strategisches) Verhalten Analyse der zugrundeliegenden Zielkonflikte Bewertung der Verhaltensweisen nach SpielklassenOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 5
  • Überblick  0. Einführung 1. Störung durch Denial‐of‐Service Angriffe g Kontrollierte Unverkettbarkeit g Architektur zum Schutz von Verfügbarkeit 2. Verhalten als Störeinfluss 3. ZusammenfassungOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 6
  • 1.1 Angriffe auf Anonymisierungsnetze Fred: Angriff auf Verfügbarkeit von Rick Denial‐of‐Service: Ressourcen eines Opfers erschöpfen Attackiert Verfügbarkeit mittels ressourcenintensiver Anfragen Keine Infiltration anderer Teilnehmer (Keine kriminellen Vorbereitungshandlungen)Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 7
  • 1.2 Angriffe auf Anonymisierungsnetze Eve: Angriff auf Anonymität von Alice Teilweise Infiltration von Teilnehmern Wissensgewinn mittels Profilbildung  Wissensgewinn mittels SchnittmengenangriffOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 8
  • 1.3 Angriffsbekämpfung Analyse eingehender Nachrichten Angriff erkennen, ohne vertraulichen Inhalt zu kennen Kontext ermitteln, ohne Anonymität zu schwächen Datenrate als Entscheidungskriterium für Aufhebung von Unverkettbarkeit Verwerfen Richtlinien‐verletzender Nachrichten Vorgehensweise 1. Umformen von Überflutungsangriffen 2. Privatsphäre schützen mittels Anonymität 3. Zulässiges Verhalten definieren  4. Architektur 5. BewertungOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 9
  • 1.4 Modellierung der Nachrichten als Datenfluss Einsatz bei Denial‐of‐Service Angriffen mit hohen Datenraten Leaky Bucket: fixiert Ausgaberate Arrival Kurve: zusätzliche Burstrate vorteilhaft bei JitterOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 10
  • 1.5 Unverkettbarkeit zwischen Nachricht und Identität Unverkettbarkeit  Eve besitzt keinen Beweis, dass Alice eine Nachricht gesendet hat Perfekte Unverkettbarkeit  Eve kann keine Beobachtung B erlangen,  die ihr Wissen über den Absender von Nachricht verändert Bedingte Unverkettbarkeit  Das System legt vorab eine Bedingung fest Tom besitzt einen Beweis über  die Verkettung der Nachricht mit Alice Der Beweis bleibt Eve verborgen,  solange die Bedingung erfüllt ist Aufhebung: Kommunikation zwischen  Rick und Tom erforderlichOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 11
  • 1.6 Unverkettbarkeit zwischen Nachrichten Totale Unverkettbarkeit Eve besitzt keinen Beweis, dass Nachricht1 und Nachricht2 vom gleichen Absender stammen Partielle Unverkettbarkeit  Eve weiss, dass Nachricht1, Nachricht2  vom gleichen Absender stammen Kontrollierte Unverkettbarkeit [O., Volkamer, de Meer 2007] Rick definiert eine Richtlinie R für zulässiges Verhalten Tom vergibt an Alice Pseudonyme gemäß R Nachrichten von Alice bleiben unverkettbar, solange Richtlinie R nicht verletzt wirdOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 12
  • 1.7 Überwachung der Richtlinie R Rick definiert Zeitscheiben t(0),t(1),… Alice erhält für jede Zeitscheibe ein eindeutiges Pseudonym von Tom Alice hält Richtlinie R ein ‐> Nachrichten unverkettbar Fred verletzt Richtlinie R ‐> Nachrichten verkettet Traffic Shaping lehnt überzählige DoS‐Anfragen abOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 13
  • 1.8 Protokoll zur Pseudonym‐Übergabe Steve publiziert seinen Dienst, erreichbar über Rendezvous Point Rick Alice erhält ein Ticket Granting Ticket (TGT) Alice baut Verbindung mit Rick auf und erfährt Zeitscheibe t Kommunikationsablauf  Alice bittet einen Tom um ein Ticket für Zeitscheibe t Alice sendet ihre Anfrage mit dem Ticket an Rick Rick überprüft anhand des Pseudonyms,  ob der Anfragende die Richtlinie verletztOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 14
  • 1.9 Pseudonym‐Eigenschaften und Vertrauen Deterministisch berechenbar Hash aus angeforderter Zeitscheibe t und Ticket  Granting Ticket = { IDAlice, NonceAlice, Gültigkeit } Authority Schutz vor Verifizierbarkeit Geheime Nonce („number used once“) im TGT, verhindert  dass Dritte zugewiesene Pseudonym verifizieren können PseudAlice(t) = hash ( IDAlice || t || NonceAlice ) Integrität, jedoch ohne identifizierbaren Signierer Einsatz einer Gruppensignatur: { t, PseudAlice(t) } Tommys Rick verifiziert Unterschrift eines Tommys, kann aber Tom nicht identifizieren Notation: { x } Signierer Digitale Signatur || Konkatenation {,,} TupelOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 15
  • 1.10 Bewertung Denial‐of‐Service (DoS) Angriffe Fred führt DoS‐Angriff auf Steve aus DoS gegen Steve Für Fred existiert nur ein einziges Pseudonym in Zeitscheibe t; wird Richtlinie R verletzt, werden die Nachrichten verkettet; Traffic Shaping verwirft überzählige Nachrichten Distributed DoS gegen Steve Pseudonyme für Fred 1..n unverkettbar  ‐> lässt sich auch nicht mit Identitäten erkennen Alle Freddies zusammen erhalten überproportional  Ressourcen, können andere Anfragen jedoch nicht verdrängenOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 16
  • 1.11 Bewertung Angriffe auf Anonymität Eve möchte Alice als Absender einer Klartextnachricht  identifizieren Nur Authority und Tom können Alice identifizieren Nur Steve besitzt (neben Alice) den Klartext Kollusion zwischen Tom, Rick und Steve Identität kann nicht ins Ticket gelangen Rick wird von Alice ausgewählt,  gegenüber Tom unbekannt Verkettung prinzipiell möglich Tom: (ID, Pseudonym, t) Rick: (Pseudonym, t, n) Steve: (n, Text) Prävention: Alice wählt einen nicht‐infiltrierten TomOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 17
  • 1.12 Skalierbarkeit Latenzzeit zwischen Alice und Steve Überwiegend Anonymisierung Bei Rick zusätzlich Signatur des Tickets prüfen Abgleich mit Arrival Curve, ggf. Verzögerung Praktischer Einsatz Beliebig viele Instanzen von  (vertrauenswürdigen) Tommys Integration: bei niedriger Last  wird auf Ticket verzichtetOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 18
  • Überblick  0. Einführung 1. Störung durch Denial‐of‐Service Angriffe 2. Verhalten als Störeinfluss g Spieltheoretische Modellierung und Bewertung von Verhalten g Lösungsstrategien und Auswirkungen von Zielkonflikten 3. ZusammenfassungOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 19
  • 2.1 Widerstandsfähigkeit eines Anonymisierungsnetzes Voraussetzungen für anonyme Kommunikation Verfügbarkeit des Empfängers Integrität des Nachrichteninhalts Ununterscheidbarkeit in der Menge aktiver Nachrichtensender Ökonomie der Struktur eines Anonymitätssystems [Acquisti, Dingledine, Syverson 2003] Design Dilemma [O., de Meer 2008] Widerstandsfähigkeit muss Verhalten  aller Parteien miteinbeziehen (Interdependenz) 20Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen
  • 2.2 Rationales Verhalten in Anonymisierungsnetzen Alle Spieler verhalten sich rational, vollständige Information Modellierung mittels Spieltheorie  Identifizieren von Klassenbeschreibungen  mit geeignetem Spielausgang Dilemma‐Spiele Symmetrische Strategien vorteilhaft? Nicht‐vereinbarte Kooperation vorteilhaft?Oberender: Widerstandsfähigkeit von Anonymisierungsnetzen 21
  • 2.3 Zielsetzungen in Anonymisierungsnetzen Mögliche Zielsetzungen Große Anonymitätsmenge (Zielsetzung 1) Teilnahme mit geringem Ressourcenaufwand (Zielsetzung 2) Hohe Robustheit gegenüber Störungen Verdecktes Fehlverhalten Verhandlungsraum Verhandlungslösung, Ausgangspunkt  Identifizierung von Nash‐Gleichgewichten       und BewertungOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 22
  • 2.4 Auswirkungen von Zielkonflikten Angestrebte Qualität der Anonymität Einigung auf Angreifermodell und Ununterscheidbarkeit Anonymitätsmenge dann maximal, wenn eine Einigung erfolgen kann Tatsächlichen Qualität der Anonymität Prognose ist nicht verfügbar, vertrauenswürdig oder garantiert Missbrauchsgefahr Schnittmengenangriff Egoistisches Verhalten von Teilnehmern Fehlender Cover Traffic beeinträchtigt Anonymität DritterOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 23
  • 0. Einführung 1. Störung durch Denial‐of‐Service Angriffe 2. Verhalten als Störeinfluss 3. ZusammenfassungOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 24
  • 3. Zusammenfassung Schutz der Verfügbarkeit für Empfängern anonymer Nachrichten Kontrollierte Unverkettbarkeit: Privatsphäre der Teilnehmer gewährt Richtlinie als Entscheidungskriterium für Unbedenklichkeit der Anfrage Schutz vor Angriffen gegen Verfügbarkeit und Anonymität Untersuchung von Widerstandsfähigkeit Bewertung der Auswirkung unterschiedlicher Nutzenfunktionen Wechselwirkungen zwischen Anonymität und Teilnehmerverhalten Auflösung von Zielkonflikten durch Wahl geeigneter Lösungsklassen Vision: Kooperative AnonymisierungsnetzeOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 25
  • 0. Einführung 1. Störung durch Denial‐of‐Service Angriffe 2. Verhalten als Störeinfluss 3. Zusammenfassung Spare Slides Ziele Gruppensignatur Taxonomie Ökonomie Gefangenen Dilemma Dining Cryptographer Netz SpieltheorieOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 26
  • Offene Probleme und Ziele Schutz vor einem Überflutungsangriff im Anonymisierungsnetz Problem: Anonymität behindert Klassifizierung Unverkettbarkeit vs. Verkettbarkeit zwischen Nachrichten Ziel: Unverkettbarkeit zwischen zulässigen Nachrichten  Verkettbarkeit zwischen Angriffsnachrichten  Konfiguration eines widerstandsfähigen Anonymisierungsnetzes Problem: Wechselwirkungen zwischen altruistischem und  Kosten/Nutzen‐getriebenem Handeln Lösungsansatz: spieltheoretische Modellierung mit verschiedenen  LösungskonzeptenWiderstandsfähigkeit von Anonymisierungsnetzen 27
  • Gruppensignatur Pseudonym‐Ersteller besitzen gemeinsame Gruppensignatur  [Camenisch+Groth2004] Verhindert Eingrenzung der Anonymitätsmenge durch Identifizieren  der verwendeten Pseudonym‐Erstellung Bedingte Pseudonymität innerhalb der Gruppe: Missbraucht ein bösartiger Pseudonym‐Ersteller seine Signaturen für  einen Überflutungsangriff, kann der Gruppenverwalter die bedingte  Pseudonymität  der Signatur aufheben und den Betreffenden aus der  Gruppe ausschliessenWiderstandsfähigkeit von Anonymisierungsnetzen 28
  • Taxonomie von Anonymisierungstechniken Prognose Garantie A‘ = AnonymitätKeine zus. Annahmen Wahrgenommene A’ (4) Zugesicherte A’ (3) Vertrauen notwendig Berichtete A’(1) Richtlinien-gestützte A’ (2) Größenprognose der Anonymitätsmenge in JAP An.On Mixerkaskade: Annahme: Anonymitätsmenge bleibt konstant (1) Vertrauen in die funktionale Integrität der Aggregation Füllstand‐getriggerte Pool‐Mixes:  Annahmen: Nachrichten verschiedener Sender, keine Kollusion (2) Vertrauen des Senders in die korrekte Funktion des Mixes Dining Cryptographer Netz: Annahme: Knotengrad übersteigt Kollusion (3) Garantie für Anonymitätsmenge, wenn Schlüsselgraph unverändert bleibt (4) Prognose verfälscht, wenn Knoten unbenachrichtigt ausscheidetOberender: Widerstandsfähigkeit von Anonymisierungsnetzen 29
  • Ökonomische Störungen Schutz von Anonymität und Verfügbarkeit im kooperativen Betrieb Eigene Anonymität hängt vom Verhalten dritter Teilnehmern ab Selten altruistisches Verhalten wegen begrenzte Ressourcen Pseudonymität verhindert Anreize gegen Fehlverhalten Widerstandsfähigkeit stark beeinträchtigt Prävention Festlegung eines Systemmodells Modellierung strategischen Verhaltens Bewertung von Systemparametern nach WiderstandsfähigkeitWiderstandsfähigkeit von Anonymisierungsnetzen 30
  • Dining Cryptographer (DC) Netz Überlagerte Nachrichten schützen Unverkettbarkeit Disrupter Angriff := gleichzeitig Belegung eines  Übertragungsblockes führt zu Kollision Gesendete Nachrichten überlagern sich Integrität zerstört Erneute Übermittlung notwendigWiderstandsfähigkeit von Anonymisierungsnetzen 31
  • Systemmodell Anonymisierungstechnik: Dining Cryptographer Netzwerk Garantierte untere Schranke für Anonymitätsmenge Integritätsverletzungen durch böswillige Teilnehmer Welche Ziele verfolgen die rational‐handelnde Parteien? Designer: störungsfreie, unbeobachtbare Kommuniktion  Teilnehmer: unbeobachtbare Kommunikation mit geringen Kosten Angreifer: verhindert eigene Identifizierung, verhindert  KommunikationWiderstandsfähigkeit von Anonymisierungsnetzen 32
  • Gefangenen Dilemma Ohne bindende Vereinbarungen Nash Gleichgewicht :=   Strategievektoren,  bei denen  kein Spieler alleine seinen  Nutzen erhöhen kann Iteriertes Gefangen‐Dilemma Egoistisches Handeln  verschlechtert   durchschnittlichen NutzenWiderstandsfähigkeit von Anonymisierungsnetzen 33
  • Modellierung mit Spieltheorie Designer:  Teilnehmer:  Angreifer:  leicht zu entdecken, falls nicht  Interdependenz  rational Wirksamkeit hängt vom Verhalten vieler Beteiligter ab Perfekte Rationalität Alle Beteiligten handeln strikt nach dem erwarteten Nutzen Vollständige Information Nutzenfunktionen Schätzung von Anonymität wird berücksichtigt Perfekte Information  Berücksichtigung vergangener Aktionen in einem sequentiellen Spiel Validität? Verhalten des Mitspielers vorhersagbar? Beruht die Einschätzung  auf Aussagen Dritter?Widerstandsfähigkeit von Anonymisierungsnetzen 34
  • Modellierung Nicht‐kooperative Spieltheorie Autonome Entscheidungen basierend auf  erwartetem Verhalten Nash‐Gleichgewichte abhängig von  Modellierungs‐Parametern von  zwei/drei Spielern Modellierte Eigenschaften Kollisionsrobustheit des Protokolls Teilnahmerate Präferenz für Robustheit Angriffe auf Verfügbarkeit Kosten für Senden/Empfang tragbarWiderstandsfähigkeit von Anonymisierungsnetzen 35
  • Bewertung der Modellierungsergebnisse I α =1 Sequentiell Nicht kooperativ Vergleich des  Defektieren 1 Robust nicht‐ Designer kooperativem mit  Kooperieren 0 Effizient 0 0.5 1 sequentiellen Spiel Defektieren 1 Verlassen p2 Gibt es Parameter,  Teilnehmer Kooperieren 0 Teilnehmen für die Teilnehmer  0 0.5 1 Defektieren 1 Störung und Angreifer  Angreifer p3 kooperieren? Kooperieren 0 Konform 0 0.5 1 γ Präferenz für hohe Anonymität 1−β Fähigkeit zur Disrupter-Identifizierung Widerstandsfähigkeit von Anonymisierungsnetzen 36
  • Bewertung der Modellierungsergebnisse II Risikoeinschätzung  β =0.75 γ=0.25 Sequentiell Nicht kooperativ Defektieren 1 anhand der  Robust Nutzendifferenz Designer Kooperieren 0 Effizient Verhalten  Defektieren 1 0 0.5 1 Verlassen unbestimmbar,  p2 wenn Nutzen‐ Teilnehmer Kooperieren 0 Teilnehmen differenz gering 0 0.5 1 Defektieren 1 Störung Wie wirkt sich  Angreifer p3 Widerstandsfähigkeit  Kooperieren 0 Konform auf das Verhalten der  0 0.5 1 Spieler aus? α Kodierungsschema kollisionsrobust Widerstandsfähigkeit von Anonymisierungsnetzen 37