Anonymisierungsprotokolle und Secret Sharing SS

Transkript

1 Anonymisierungsprotokolle und Secret Sharing Universität Klagenfurt Informatik Systemsicherheit SS 2011 Inhalt Problemstellung & Ziele Verfahren - Mixnets - Onion Routing - Crowds Secret Sharing Eigene Forschungstätigkeit Literatur Anonymisierungsprotokolle und Secret Sharing SS

2 Problemstellung & Ziele 1 Kommunikation ist idr nicht anonym - MAC-Adresse (Level 1) - IP-Adresse (Level 2) - -adresse (Level 4) (IP Src, IP Dst, m) Unverschlüsselte Verbindung (IPSrc, IPDst, m) (IPSrc, IPDst, m) (IP Src, IP Dst, m) Rückverfolgung von Nachrichten durch Protokollierung möglich Zwischenknoten (z.b. ISP) können Flussanalysen durchführen Szenarien - Zuordnung von Suchanfragen zu Benutzern - Identifizierung von häufig besuchten Webseiten - Aufdecken von -verkehr Anonymisierungsprotokolle und Secret Sharing SS Problemstellung & Ziele 2 Anonymität von Sender und bei Bedarf auch Empfänger Sender-Empfänger-Beziehung verbergen Zuverlässige Übermittlung Verkehrsflussanalysen verhindern Moderate Mehrbelastung des Netzwerks Gute Skalierbarkeit bei wachsender Anwenderzahl Anonymisierungsprotokolle und Secret Sharing SS

3 Verfahren Seit den frühen 80-Jahren entwickelt Verfahren - Mixnets (1981) - Onion Routing (1996) - Crowds (1998) Grundidee: Baue einen virtuellen Kanal über mehrere Router auf, die die Routeninformation geheim halten. Anonymisierungsprotokolle und Secret Sharing SS Mixnet Grundlagen 1 Von David L. Chaum 1981 vorgestellt Bei dem Mixnet-System sendet ein Client die Nachricht nicht direkt an den Server sondern entlang eines Pfades von (festen) Mixern, die jeweils die Nachricht verändern und weiterleiten. Ein Mixer entspricht einem Proxy-Server (store-and-forward). Um die Zuordnung von Eingangs- zu Ausgangsnachrichten eines Mixers zu erschweren, muss dieser folgende Aufgaben erfüllen: - Löschen von Duplikaten - Längentreues Umkodieren von Nachrichten - Umsortieren von Nachrichten Anonymisierungsprotokolle und Secret Sharing SS

4 Mixnet Sendevorgang 1 Idee - Der Initiator I (Client, Sender) wählt eine Folge von Mixern. - Die Nachricht m wird derart verschlüsselt, dass exakt diese Folge an Mixern durchlaufen werden muss, um die Daten zu entschlüsseln. - Die Reihenfolge der zu durchlaufenden Mixer wird in die Nachricht kodiert und muss auch verschlüsselt werden. - Zur Verschlüsselung werden die öffentlichen Schlüssel der Mixer in umgekehrter Reihenfolge verwendet. - Jeder Mixer entschlüsselt die Nachricht und sendet sie weiter. Anonymisierungsprotokolle und Secret Sharing SS Mixnet Sendevorgang 2 Bei der vorgestellten Methode gibt es zwei Probleme Duplikate - Mixer löschen identische Chiffrate um Flussanalysen zu verhindern. - Um jedoch identische Nutzdaten versenden zu können, müssen diese geeignet erweitert werden. - Eine Erweiterung um Zufallszahlen wird vorgeschlagen. Anonymisierungsprotokolle und Secret Sharing SS

5 Mixnet Sendevorgang 3 Reduktion der Nachrichtenlänge - Mixer entfernen Routeninformationen aus den Nachrichten. - Jeder Mixer hängt geeignet viele Zufallsdaten an das Chiffrat an. - Angreifer können Zufallsdaten nicht vom Chiffrat unterscheiden. - Durch global gleiche Chiffratgrößen wird die Flussanalyse erschwert - Die maximale Nutzdatenmenge sinkt mit steigender Pfadlänge. Anonymisierungsprotokolle und Secret Sharing SS Mixnet Antwort 1 Wie kann nun der Server dem Client eine Antwort zukommen lassen, ohne dass er diesen kennt? Idee (ähnlich dem Senden) - Der Client übermittelt dem Empfänger ein Routenpaket inklusive Schlüsselmaterial zur Verschlüsselung der Daten. - Im Retourpaket ist ein Pfad zum Client verschlüsselt abgelegt. - Die Antwortdaten werden mit den Schlüsseln aus dem Routenpaket verschlüsselt, um die Verkehrsanalyse zu erschweren. Anonymisierungsprotokolle und Secret Sharing SS

6 Mixnet Beidseitige Anonymität 1 Es ist auch möglich beidseitige Anonymität zu gewährleisten. Client I greift auf einen Server E zu, ohne E zu kennen. E hat gleichermaßen keine Information darüber wer I ist. Hierfür muss jedoch ein Mixer als Angelpunkt gewählt werden. Dieser Mixer erhält Routenpakete vom Server und kann so Anfragen des Clients anonym weiterleiten. Anonymisierungsprotokolle und Secret Sharing SS Mixnet Beidseitige Anonymität 2 Der Initiator sendet Daten zum Mixer Der Mixer leitet die Daten an die passenden Server weiter Anonymisierungsprotokolle und Secret Sharing SS

7 Mixnet Analyse 1 Probleme - Mixer müssen bisher übertragenen Nachrichten speichern, um später Duplikate entfernen zu können (hoher Speicherbedarf) - Es müssen einige Nachrichten gepuffert werden, damit diese geeignet umsortiert werden können. Dies führt zu Verzögerungen in der Übertragung, wenn der Mixer schwach ausgelastet ist. - Bei steigender Anzahl von Benutzer steigt die Auslastung der Mixer. - Bei längeren Pfaden sinkt der Nutzdatenanteil der Nachrichten Anonymisierungsprotokolle und Secret Sharing SS Mixnet Analyse 2 Lokale Angreifer & Globale Angreifer - Keine Sender-Anonymität - Keine Empfänger-Anonymität - Kein Zuordnung zwischen Sender und Empfänger (Unlinkability) Kooperierende Mixer - Keine Sender-Anonymität (erster Mixer) - Keine Empfänger-Anonymität (letzter Mixer) - Kein Zuordnung zwischen Sender und Empfänger Anonymisierungsprotokolle und Secret Sharing SS

8 Onion Routing (OR) 1996 von D. Goldschlag, M. Reed und P. Syverson vorgestellt. Basiert auf dem Mixnet-Ansatz von Chaum. Zugeschnitten auf - anonyme, - bi-direktionale sowie - real-time Kommunikation Lebenszyklus einer OR-Sitzung - Verbindungsaufbau durch einen Create-Onion - Datenübertragung mittels Data-Onions - Verbindungsabbau durch einen Destroy-Onion Zusammenhänge mit dem Mixnet-Ansatz - Onions entsprechen den Routenpaketen im Mixnet-Ansatz. - Proxy-Server entsprechen den Mixern. Anonymisierungsprotokolle und Secret Sharing SS Onion Routing Ablauf 1 Verbindungsaufbau - Der Client I (vertreten durch den Proxy-Server P I ) sendet einen Create-Onion zum Proxy-Server P E des Servers E. - Jede Schicht des Create-Onions enthält Informationen über den nächsten Proxy und zwei (symmetrische) Schlüssel (k i,k i ). - Die beiden Schlüssel dienen zur Verschlüsselung der Nutzdaten (abhängig von der Senderichtung). - Die Proxies merken sich die Routeninformationen um Daten über diesen virtuellen Kanal weiterleiten zu können. (k 1,k 1 ) (k 2,k 2 ) I P I (k 4,k 4 ) (k 3,k 3 ) P E E Anonymisierungsprotokolle und Secret Sharing SS

9 Onion Routing Ablauf 2 Datenübertragung - Pro Kanal und Senderichtung ist der Folgeknoten eindeutig bestimmt. - Proxies ver- bzw. entschlüsseln mit denen beim Verbindungsaufbau vergebenen Schlüsseln (k i, k i ) die Daten (je nach Richtung). Beispiel: Client I Server E - I sendet Nachricht m zu P I. - P I bestimmt E k 1 (E k 2 (E k 3 (E k 4 (m)))). - Jeder Proxy entschlüsselt mit seinem Schlüssel k i. - P E entschlüsselt die Nachricht und sendet sie an E. Anonymisierungsprotokolle und Secret Sharing SS Crowds 1 Von M. Reiter und A. Rubin 1998 vorgestellt Ein Crowds-Netzwerk besteht aus einer Menge von Clients. Clients werden Jondos (von der Bezeichnung John Doe) genannt. Der Ansatz unterscheidet von vom OR/Mixnet-Ansatz durch - die Pfadwahl, - die fehlende schichtweise Verschlüsselung. Die Kommunikation zwischen je zwei Jondos ist verschlüsselt. Die Anonymität wird durch die Art der Pfadwahl gesichert. Anonymisierungsprotokolle und Secret Sharing SS

10 Crowds 2 Idee - Der Client sendet die Daten zu einen zufällig ausgewählten Jondo. - Ein Jondo, der eine Nachricht erhält, sendet sie entweder direkt an den Server oder mit einer gewissen Wahrscheinlichkeit (p f ) an einen weiteren Jondo, der mit der Nachricht gleich verfährt. E E Wer ist der Initiator? E E Anonymisierungsprotokolle und Secret Sharing SS Crowds Sicherheitsanalyse Lokale Angreifer - Keine Sender-Anonymität - Keine Empfänger-Anonymität - Kein Zuordnung zwischen Sender und Empfänger Kein Schutz gegen globale Angreifer Kooperierende Jondos - Sender-Anonymität gewährleistet - Keine Empfänger-Anonymität - Kein Zuordnung zwischen Sender und Empfänger - Durch häufige Pfadrekonstruktionen können Rückschlüsse auf den Sender gezogen werden (bei Fortführung der Sitzung). Anonymisierungsprotokolle und Secret Sharing SS

11 Secret Sharing 1 Teile Geheimnis auf, sodass wenige Teile zusammen nicht ausreichen, das Geheimnis oder Teile davon zu rekonstruieren. (t,n)-secret Sharing - t aus n Secret Sharing - Das Geheimnis wird auf n Teile aufgeteilt. - t Teile werden benötigt, um das Geheimnis zu rekonstruieren. XOR-Sharing - Geheimnis s wird auf n gleich lange Teile s i (Shares) aufgeteilt. - s = s 1 s 2 s 3 s n - Fehlt ein Share, kann s nicht bestimmt werden. - Daher: (n,n)-secret Sharing XOR-Verknüpfung Anonymisierungsprotokolle und Secret Sharing SS Secret Sharing 2 Shamir s Secret Sharing - Geheimnis s wird als Nullstelle eines Polynoms interpretiert. - f(x) = a t x t + a t-1 x t a x + s mod p, a i R Z p, p P - Es werden die Shares s i = (i, f(i)) verteilt. - t+1 Shares sind nötig, um das Polynom zu rekonstruieren. - t Shares bringen keinen Informationsgewinn (kein Bit ist bekannt) Die folgende Methode ist kein (n,n)-secret Sharing - Teile den Bitstring s in n Teilstrings zu je m Bit auf. - s = s 1 s 2 s 3 s n - Verteile (i, s i ) - Sind t-1 Shares bekannt, so sind nur noch m Bit unbekannt. Konkatenation Anonymisierungsprotokolle und Secret Sharing SS

12 Eigene Erweiterung Problemstellung Angreifermodell - Kooperierende Jondos (rot) - Sender/Empfänger sind ehrlich - Kein globaler Angreifer Analyse des Crowds-Systems - Bietet Senderanonymität - Bietet i.a. keine Empfängeranonymität. - Mit wachsender Größe des Netzes höhere Chance auf Empfängeranonymität. Ziel der Erweiterung - Identische Senderanonymität - Vom Sender beeinflussbare Empfängeranonymität - Keine zusätzliche Verschlüsselung Anonymisierungsprotokolle und Secret Sharing SS Crowds-Mix 1 Schritt 1 - Sender wählt eine Folge von Jondos R i (Routing-Jondo). - Der Empfänger ist der letzte Routing-Jondo. Schritt 2 - Der Sender schickt R 1 anonym t+1 Shares (t=1). - Die Shares werden gemäß dem Crowds-System übertragen. - Der Routing-Jondo erhält die Shares, kann die Inhalte kombinieren und erhält somit die Adresse des nächsten Routing-Jondos R 2. Anonymisierungsprotokolle und Secret Sharing SS

13 Crowds-Mix 2 Schritt 3 - R 1 kennt nun R 2 und sendet die in der ersten Nachrichte enthaltenen Daten an diesen anonym weiter (grün). - Der Sender sendet R 2 t Datenpakete, damit dieser die Daten rekonstruieren kann (im Beispiel t=1 Pakete, blau). I s 1 R 1 R 2 s 2 R 3 R 4 =E Anonymisierungsprotokolle und Secret Sharing SS Crowds-Mix 3 Schritt 4 - R 3 sendet die Daten R 4. - Der Sender schickt dem Empfänger t Shares. - R 4 erkennt durch ein Null-Feld im Header, dass er der Empfänger ist. Der Sender entscheidet, welche Routing-Jondos benutzt werden. Das System entscheidet, wie der Pfad zwischen den Routing- Jondos verläuft. Das System ist eine Mischung aus dem Crowds- und dem Mixnet- System. Anonymisierungsprotokolle und Secret Sharing SS

14 Crowds-Mix Analyse Analyse - Sender-Anonymität ist gewährleistet, weil der Sender durch das Crowds-Protokoll geschützt ist. - Der Routing-Jondo kann nicht entscheiden, ob der nächste Routing- Jondo der Empfänger ist (es fehlen ihm einige Shares). - Gleiches gilt auch für jeden weiteren Jondo im Netzwerk, der selbst nicht als Routing-Jondo ausgewählt wurde. R 3 weiß nicht, ob R 4 der Empfänger, oder ob er nur ein weiter Routing-Jondo im Pfad ist. Anonymisierungsprotokolle und Secret Sharing SS Crowds-Mix kooperierende Angreifer Ein Angriff ist erfolgreich, wenn der Angreifer alle Shares abfängt, die zur Rekonstruktion der Daten des Empfängers ausreichen. Ein Angreifer müsste zumindest t Nachrichten erhalten. Solange es einen Weg durch das Netzwerk gibt, der nicht abgehört wird, ist die Wahrscheinlichkeit p, dass ein Share unbehelligt zum Empfänger gelangt größer 0. Somit ist die Wahrscheinlichkeit, dass alle Nachrichten abgefangen werden (1-p) t <1. Der Sender kann durch die Anzahl der Shares die Wahrscheinlichkeit für einen erfolgreichen Angriff senken. Anonymisierungsprotokolle und Secret Sharing SS

15 Crowds-Mix Erweiterung 1 Die Nachrichtengröße nimmt an jedem Routing-Jondo ab - Padding notwendig - Begrenzte Pfadlänge (bezogen auf Routing-Jondos) Dies kann durch eine besser Wahl der Shares verhindert werden. - pd: Protokolldaten (Seriennummern, Anzahl Shares, ) - ad: Adresse des nächsten Routing-Jondos (Klartext) - an: Share der Adresse des übernächsten Routing-Jondos - nd: Share der Nutzdaten Anonymisierungsprotokolle und Secret Sharing SS Crowds-Mix Erweiterung 2 Empfängt R i, alle für ihn bestimmten Shares, so kennt er R i+1. Diesem sendet er einen Share, der als Adresse des übernächsten Knotens den Wert NULL enthält (wegen XOR). pd ad an 1 nd 1 pd ad an 2 nd 2 I an R 1 pd ad an 1 an 2 nd 1 nd 2 pd an 1 an 2 NULL nd 1 nd 2 R 1 an R 2 Anonymisierungsprotokolle und Secret Sharing SS

16 Crowds-Mix Fazit Anonymisierungsprotokolle und Secret Sharing SS Crowds-Mix Zukunft Gefahr durch den NULL-Wert den die Routing-Jondos senden? Analyse auf Schwachstellen (Angriffe) Genaue Sicherheitsanalyse Protokolldaten mit übertragen, ohne den Sender zu entlarven Mechanismus, um Antwortdaten anonym zu senden Dummy Nachrichten, um Angriffe von globalen Angreifern zu verhindern. Analyse bei nicht vollständig verbundenem Netzwerk Variable Anzahl von Shares pro Routing-Jondo Anonymisierungsprotokolle und Secret Sharing SS

17 Anwendungen Protokolle für: , HTTP, ISDN, P2P-Dienste, generelle synchrone Protokolle, Anonymisierungsdienste - (Onion Routing) Anonymisierungsprotokolle und Secret Sharing SS Literatur D.L. Chaum: Untraceable Electronic Mail, Return Addresses, and Digital Pseudonyms, Communications of the ACM, Volume 24, Number 2, D.M. Goldschlag, M.G. Reed, P.F. Syverson: Hiding Routing Information, Workshop on Information Hiding, M.K. Reiter, A.D. Rubin: Crowds: Anonymity for Web Transactions, ACM Transactions on Information and System Security, B.N. Levine, C. Shields: Hordes: A Multicast Based Protocol für Anonymity, Journal of Computer Security, D.L. Chaum: The Dining Cryptographers Problem: Unconditional Sender and Recipient Untraceability, Journal of Cryptology, C. Gülcü, G. Tsudik: Mixing with BABEL, SNDSS, D.A. Cooper, K.P. Birman: Preserving Privacy in a Network of Mobile Computers, IEEE Symposium on Security and Pricacy, M.K. Wright, M. Adler, B.N. Levine: The Predecessor Attack: An Analysis of a Threat to Anonymous Communications Systems, TISSEC, Anonymisierungsprotokolle und Secret Sharing SS