Fachbereich Informatik

Transkript

1 Projektarbeit Entwicklung einer dezentralen Pseudonymisierungsinfrastruktur Paul Weibert Betreuer: Prof. Dr. Paul Müller Dipl.-Ing. Dirk Henrici Fachbereich Informatik AG Integrierte Kommunikationssysteme Universität Kaiserslautern Postfach Kaiserslautern

2

3 Ich versichere, dass ich die vorliegende Projektarbeit selbstständig verfasst und keine anderen als die angegebenen Quellen und Hilfsmittel verwendet habe. Kaiserslautern,

4 Inhaltsverzeichnis Kapitel 1: Einleitung...1 Kapitel 2: Grundlagen Kryptographische Grundlagen Hash-Funktionen Verschlüsselungsverfahren Symmetrische Verschlüsselungsverfahren Asymmetrische Verschlüsselungsverfahren Angriffsarten auf die Sicherheit und Privatsphäre Anonymisierung Pseudonymisierung Mix-Netzwerke Existierende Lösungen Rewebber/JANUS Freedom-Netz Verfahren von Beresford und Stajano...21 Kapitel 3: Dezentrale Pseudonymisierungsinfrastruktur Aufbau der Infrastruktur DB-Struktur einer Server-Instanz Generieren eines Pseudonyms Weiterleiten der pseudonymisierten Nachrichten innerhalb der Infrastruktur Sicherheit und Effiziens des Verfahrens Direkter Angriff auf ein Pseudonym Angriff durch die Verfolgung von Nachrichten Denial-of-Service Angriffe Skalierbarkeit des Verfahrens Aufteilung des Geheimnisses auf mehrere Server-Instanzen Zusammenfassende Bewertung...38 Kapitel 4: Demonstrator-Programm Anforderungen an das System Entwurf des Systems...43

5 4.2.1 Statische Struktur des Systems Paket- und Klassenstruktur des Systems DB-Struktur des Systems Die Infrastruktur des Systems Dynamische Struktur des Systems Kernkomponenten des Systems Objekterzeugung beim Start Verarbeiten und Weiterleiten von pseudonymen Nachrichten Benutzerschnittstelle Erzeugen von pseudonymen Adressen Installation und Konfiguration des Systems DB-System DB-Tabellen ClassPath und Start des Systems Bewertung und Erweiterungsmöglichkeiten...66 Kapitel 5: Zusammenfassung...68 Literaturverzeichnis...69

6 Kapitel 1: Einleitung Die Begriffe Pervasive Computing bzw. Ubiquitous Computing sind in unserer Zeit kennzeichnend für das Ausmaß in dem rechnergestützte, technische Mittel zum Einsatz kommen. Pervasive steht für alles durchdringend, ubiquitous für allgegenwärtig [BSI04]. Diese Tendenz der fortschreitenden Computerisierung schlägt sich in fast jedem Lebensbereich nieder. Angefangen mit der massiven Entwicklung von zahlreichen Telecommunikationsdiensten und der Nutzung des Internets für die Zwecke des E-Commerce, bis zu der Digitalisierung der Patientenakten im Gesundheitswesen und verstärktem Einsatz von RFID-Technologie für Auto-ID- Systeme. Neben den marktwirtschaftlichen Vorteilen, die diese Technologien mit sich bringen, entstehen dabei auch Risiken für die Privatsphäre der Benutzer. Vielen ist es oft nicht bewußt, welche Daten man über sich beim Umgang diesen Technologien hinterlässt: Die Palette reicht von der Möglichkeit zur Erstellung von Bewegungsprofilen bis zu den abgespeicherten Daten über Gesundheitszustand einer Person in Patientenakten. Es würde zwar kein Unternehmen öffentlich zugeben solche Daten zu missbrauchen, jedoch gibt es auch keine endgültige Sicherheit für die Verbraucher. Denn die Versuchung, marktwirtschaftliche Vorteile daraus zu ziehen, ist groß: Digitalisierte Patientenakten könnten die Krankenkassen dazu ausnutzen, nur die profitablen (gesunde) Kunden aufzunehmen. Der Arbeitgeber kann streng private Informationen bezüglich des Gesundheitszustandes seiner Mitarbeiter rausfinden und die Mitarbeiter mit gesundheitlichen Risiken entlassen. Der massive Einsatz von RFID-Chips zur Kennzeichnung von Waren bringt nicht nur Vorteile im gesamten Produktlebenszyklus, sondern erlaubt den Anbietern auch, die Waren den Personen zuzuordnen und dadurch Personenprofile zu erstellen. Mit Hilfe von Personenprofilen können Anbieter die Kunden in ihrem Kaufverhalten besser beeinflüssen. Bei den Mobilfunkanbietern besteht die Gefahr, dass die Information über die räumliche Position einer Person weitergegeben wird, z.b. an staatliche Behörden.

7 Insgesamt kann man festhalten, dass durch die Personalisierung von Daten, beim Nutzen von modernen Technologien, die Privatsphäre der Verbraucher gefährdet wird. Es muss also nach Lösungen gesucht werden, die personalisierten Daten zu vermeiden oder zumindestens die Kontrolle darüber den Nutzern selbst in die Hand geben. Eine mögliche Lösung, den Zusammenhang zwischen der Identität einer Person und deren Daten aufzulösen, wäre eine vollkommene Anonymisierung. Der Nachteil des volkommenen Anonymisierens ist aber, dass der umgekehrte Weg, d.h. Zuordnen von Daten einer Person, nicht möglich ist. Wenn man z.b. einen Brief anonym abschickt, kann der Empfänger die Adresse des Absenders nicht feststellen. Es gibt aber Situationen in denen es erwünscht ist, dass Teile der Identität einer Person und deren Daten bekannt werden (z.b. geographische Position bei Location Based Services ) [Ber03]. Außerdem würde kaum ein Internetversandhaus Waren an eine anonyme Person ausliefern, oder ein Mobilfunkanbieter seine Dienste einer Person anbieten, von der er nicht weiß, an welche Adresse er die Rechnung schicken soll. Deswegen ist eine vollkommene Anonymiät im Alltag sowie bei der Nutzung von modernen Technologien nicht möglich. Eine andere Alternative ist das Pseudonymisieren von Benutzerdaten. Mit Hilfe von Pseudonymen ist es möglich Daten einer Person zuzuordnen und gleichzeitig die Identität und die Privatsphäre der Person zu schützen. Man kann sich zahlreiche Anwendungsfelder für die Benutzung von Pseudonymen vorstellen: Von der Nutzung im Elektronischen Geschäftsverkehr bis zu der statistischen Forschung im Gesundheitswesen. Bei den digitalen Patientenakten ist es zum Beispiel nicht erlaubt, die Daten einer Person ohne ihre Zustimmung einzusehen. Durch den Einsatz von Pseudonymen anstelle von Patintendaten (Name, Adresse,..) könnte man Erstellen von Statistiken, etwa über die Erfolgswahrscheinlichkeit einer bestimmten Behandlungsmethode erheblich erleichtern ohne die Privatsphäre der Patienten dabei zu verletzen. Das bekannteste Beispiel für die Anwendung der Pseudonymisierung sind Chiffre-Anzeigen: Dort wird die Zuordnung zwischen dem Anzeigentext und persönlichen Daten (Name, Adresse,...) erst über den Umweg eines Pseudonyms, der Chiffre-Nummer, ermöglicht. Die Zuordnung

8 zwischen der Chiffre-Nummer und der Person wird dabei zentral vom Verlag vorgenommen. Eine derartige zentrale Verwaltung von Pseudonymen setzt jedoch das Vertrauen aller Beteiligten in die zentrale Instanz voraus und hat eine begrenzte Skalierbarkeit. Als Lösung bietet es sich an, die Zuordnung nur durch die Zusammenarbeit mehrer unabhängiger Instanzen zu ermöglichen ( shared trust ) und durch Hierarchiebildung skalierbarer zu machen. Im Rahmen dieser Projektarbeit soll auf der Grundlage vorhandener Arbeiten der AG ICSY solch eine skalierbare dezentrale Pseudonymisierungsinfrastruktur konzipiert und implementiert werden [He04a]. Am Anfang der Ausarbeitung, im zweiten Kapitel, werden die theoretischen Grundlagen (vor allem aus der Kryptographie) angesprochen und die Begriffe der Anonymität, Pseudonymität erläutert und gegeneinander abgegrenzt. Am Ende des zweiten Kapitels werden einige existierende Lösungsansätze vorgestellt um die Unterschiede zu dieser Projektarbeit deutlich zu machen. Das dritte Kapitel beschäftigt sich mit einem dezentrallen Pseudonymisirungsverfahren. Im vierten Kapitel wird der praktische Teil der Arbeit (Implementierung des Verfahrens) vorgestellt. Das fünfte Kapitel beinhaltet eine kurte Zusammenfassung der Arbeit.

9 Kapitel 2: Grundlagen In diesem Kapitel werden die zum Verständnis dieser Arbeit relevanten Begriffe und Definitionen erklärt. In dem ersten Unterkapitel wird der Leser mit dem Begriff der Hash-Funktion und den grundlegen Formen der Verschlüsselungsverfahren bekanntgemacht. In den nächsten beiden Unterkapiteln werden die Begriffe der Anonymität und Pseudonymität diskutiert und voneinander abgegrenzt. Zum Schluss des Kapitels werden einige existierende Systeme vorgestellt, um später die Unterschiede zu dem, in dieser Projektarbeit, vorgestellten Verfahren deutlich zu machen. 2.1 Kryptographische Grundlagen Kryptographische Verfahren spielen eine sehr wichtige Rolle in der modernen Datenverarbeitung. Dabei geht es nicht nur um die Verschlüsselung von Daten, sondern auch um solche Fragestellungen wie Authentisierung von Benutzern beim Zugriff auf bestimmte Dienste, Gewährleistung der Anonymität oder der Pseudonymität von Daten, elektronische Bezahlsysteme, digitale Signaturen und vieles mehr. Ein relativ junger Zweig der Kryptographie beschäftigt sich mit den Verfahren, die es ermöglichen, eine eindeutige und schwer manipullierbare Kennzeichnung (eine Art mathematischer "Fingerabdruck") von Daten zu erstellen [Be01a]. Die Bemühungen dieses Forschungsbereichs resultieren in dem Aufstellen von Verfahren, die als Hash-Funktionen bezeichnet werden Kryptographische Hash-Funktionen Eine Hash-Funktion ist eine Einwegfunktion, die einen beliebig großen Datensatz D (ausgedrückt durch einen String von Bytes) auf einen Hash-Wert h = H(D) fester Länge abbildet. Eine wichtige Eigenschaft der Hashfunktionen ist, dass eine Änderung der Eingabedaten zu der Änderung der Ausgabedaten führt [Be01a, Mü99a]. Hashfunktionen sind Einwegfunktionen, weil sie sehr schwer zu invertieren sind. Das hat zur Folge,

10 dass man von einem Hashwert nicht auf die Originaldaten schließen kann. Selbst wenn man einen Byte-String findet, dessen Hash-Wert auf den gesuchten Hash-Wert passt, ist die Umkehrung nicht eindeutig [Be01a, Mü99a]. Ein Problem der Hashfunktionen stellen die sogenannten Kollisionen dar. Eine Kollision liegt vor, wenn zwei verschiedene Eingaben einer Hash-Funktion zu der gleichen Ausgabe führen H(E1)=H(E2) [Be01a, Mü99a]. Der Grund für Kollisionen ist, dass Hashfunktionen beliebig große Datensätze auf Hash-Werte fester Länge abbilden (die Länge des Hash-Wertes ist in der Regel viel kürzer ist als die Länge der Originaldaten). Deswegen kann es vorkommen, dass unter-schiedliche Datensätze auf den selben Hash-Wert abgebildet werden [Be01a, Mü99a]. Hashfunktionen werden in vielen Bereichen der Informatik verwendet [Be01a, Mü99a] z.b. : Für die Überprüfung der Datenintegrität (Prüfsummen) Authentifizierung von Benutzern Digitale Signaturen Einweg-Verschlüsselung Die bekanntesten Hashfunktionen sind: Secure Hash Algorithm, SHA-1: Diese Hashfunktion wurde von der NSA entwickelt und berechnet einen Wert von 160 Bit [Be01a]. MD5: Wurde 1991 von Ron Rivest veröffentlicht und berechnet einen Hash-Wert von 128 Bit. Am 17. August 2004 wurde MD5 von einer Gruppe chinesischer Mathematiker gebrochen [Wi05a]. Neben den verschiedensten Anwendungen der Hash-Funktionen spielt die Geheimhaltung von Daten ebenfalls eine sehr wichtige Rolle in der Informatik. In unserer Zeit gibt es eine Reihe unterschiedlicher Verschlüsselungsverfahren, die unterschiedliche Anforderungen bezüglich der Sicherheit und der Effizienz erfüllen. Der nächste Unterkapitel stellt zwei verschiedene Klassen von Verschlüsselungsverfahren vor und diskutiert deren Vor- und Nachteile.

11 2.1.2 Verschlüsselungsverfahren Verschlüsselungsverfahren kann man in zwei Klassen aufteilen [Be01b, Mü99b]: Symmetrische Verschlüsselungsverfahren und asymmetrische Verschlüsselungsverfahren Symmetrische Verschlusselüngsverfahren Das Hauptmerkmal dieser Verfahren ist, dass der Sender und der Empfänger den selben Schlüssel zum Ver- und Entschlüsseln benutzt [Be01b, Mü99b]. Der Sender und der Empfänger einigen sich vor dem Nachrichtenaustausch auf einen gemeinsamen Schlüssel. Vor dem Verschicken der Daten an den Empfänger, werden diese mit dem gemeinsamen Schlüssel von dem Sender verschlüsselt. Da der Empfänger den selben Schlüssel besitzt wie der Sender, kann er die empfangenen Daten entschlüsseln. Das folgende Bild veranschaulicht grob die Funktionsweise der symmetrischen Verschlüsselungsverfahren. Symmetrischer Schlüssel Klartext Verschlüsselung Verschlüsselter Text Entschlüsselung Klartext Bild 2.1: Symmetrische Verschlüsselung Der Vorteil dieser Verfahren, im Vergleich zu den asymmetrischen Verschlüsselungsverfahren, liegt in der relativ schnellen Durchführung der Verschlüsselung sowie in der einfachen Implementierung. Der bekannteste Vertreter der symmetrischen Verschlüsselüngsverfahren ist DES (Data Encryption Standard) [Be01b, Mü99b].

12 Der Nachteil der symmetrischer Verfahren liegt in der Notwendigkeit des Schlüssel-austausches zwischen dem Sender und dem Empfänger. Dies muss über einen sicheren Kanal vorgenommen werden Asymmetrische Verschlüsselungsverfahren Bei diesen Verfahren werden zwei Schlüssel benutzt: Ein öffentlicher Schlüssel zum Verschlüsseln und ein privater Schlüssel zum Entschlüsseln der Daten [Be01b, Mü99b]. Der öffentliche Schlüssel wird von seinem Inhaber für alle Interessenten zugänglich gemacht und der private Schlüssel wird geheim gehalten. Wenn eine Person A eine verschlüsselte Nachricht an die Person B schicken möchte, verschlüsselt A die Nachricht mir dem öffentlichen Schlüssel von B und leitet die Nachricht an B weiter. B kann dann die Nachricht mit seinem privaten Schlüssel entschlüsseln. Das folgende Bild veranschaulicht grob die Funktionsweise der asymmetrische Verschlüsselungsverfahren. Öffentlicher Schlüssel Privater Schlüssel Klartext Verschlüsselung Verschlüsselter Text Entschlüsselung Klartext Bild 2.2: Asymmetrische Verschlüsselung Im Vergleich zu den symmetrischen Verschlüsselungsverfahren entfällt hier die Notwendigkeit des Schlüsselaustausches. Der Bekannteste Vertreter dieser Verfahren ist der im Jahr 1978 von R. Rivest, A. Shamir und L. Adleman entwickelte RSA-Algorithmuss [Be01b, Mü99b].

13 Allgemein können mit einem modernen Verfahren verschlüsselte Daten von einem Angreifer nur mit einem sehr hohen Aufwand wieder entschlüsselt werden. Jedoch bieten die wachsende Vernetzung der Computer sowie der zunehmende Einsatz von rechnergestützten Informationssystemen in beinah allen Lebensbereichen zahlreiche andere Möglichkeiten für Angriffe auf die Sicherheit. Nachfolgend werden einige Arten von Angriffen auf Sicherheit vorgestellt Angriffsarten auf die Sicherheit und Privatsphäre Die Angriffsarten unterscheiden sich grob in zwei Klassen [Mü99c]: die passiven und die aktiven Angriffe. Unter einem passiven Angriff versteht man das Abhören des Übertragungsmediums, das "Sniffen". Da Sniffen keine sichtbaren Veränderungen des Systems oder der Daten verursacht, ist es schwer zu entdecken. Sniffen kann die Vertaulichkeit der Daten verletzen (sofern die Daten nicht verschlüsselt worden sind). Die einzige Möglichkeit das Abhören der eigenen Daten zu entdecken ist, wenn man feststellt, dass die vertraulichen Daten einer dritten, unautorusierten Partei bekannt geworden sind. Die aktiven Angriffe bringen im Gegensatz zu den passiven Angriffen eine sichtbare Veränderung des Systems mit sich (z.b. Lahmlegen des Systems, ferhlerhafte Verhalten des Systems, verfälschte Daten...). Zu den aktiven Angriffen zählen solche, wie: Denial of Service: Darunter versteht man jegliche Aktivitäten, die das System für Benutzer eine längere Zeit unerreichbar machen. Man in the Middle: Darunter versteht man die unzulässige Manipulation von Daten zwischen dem Sender und dem Empfänger. Spoofing: Ein Angreifer gibt sich für jemand anderen aus und führt unter der falschen Identität schädigende oder manipulierende Aktionen durch.

14 Im Zeitalter des pervasive Computing werden allerdings nicht nur die persönlichen Daten der Nutznießer der modernen Technologien gefährdet, sondern auch solche Bürgerrechte wie Privatsphäre und Anonymität. Die Diskussion um die Privatsphäre und Anonymität entflammte vor allem im Zusammenheng mit der massiven Verbreitung der drahtlosen Technologien (WLAN, RFID, GSM,...), als neben den technologischen und den marktwirtschaftlichen Vorteilen auch die großen Potentiale für den Missbrauch dieser Technologien klar wurden. Als Auslöser diente ein Skandal um den Missbrauch der RFID-Chips von dem Handelskonzern Metro [Big03, He04b]. Durch die drahtlosen Technologien wird vor allem die Locationprivacy der Benutzer gefährdet. Die Gefährdung der Locationprivacy resultiert dabei vor allem aus der Möglichkeit der Psitionsbestimmung einer Person [Bü04] (Der Betreiber eines Mobilfunknetzes kann z.b. die geographische Position der Netz-Teilnehmer bestimmen). Hinzu kommt noch, dass die Identität einer unbekannten Person (z.b. im Supermarkt beim Einkaufen) ohne deren Einverständniss bestimmt werden kann (Der massive einsatz der RFID-Chips im gesamten Produktlebenszyklus erlaubt Sammeln von Kundendaten und erstellung von Kundenprofilen ). Aber nicht nur allein die drahtlosen Technologien gefährden die Privatsphäre und die Anonymität, sondern auch die traditionellen Internetdienste und Informationssysteme (Onlineshops, Auktione, Foren,...) bieten meist nich genügend Schutz für die Identität von Benutzern und ihre Daten. Während z.b. beim Einkauf in einem normalen Geschäft eine Person weitgehend anonym bleibt (es sei denn sie benutzt die Kreditkarte oder Ähnliches), muss man beim Einkaufen im Internet fast alle personenrelevanten Daten bekannt geben (Adresse, Bankleitzahl, Kontonummer,...). Allein schon die IP-Adressen ermöglichen die Bestimmung der Position und der Identität der Internetnutzer. Dabei zählt die Anonymität zu den Grundrechten jedes Bürgers in einem demokratischen Staat [Ber03]. Um den Grad der Anonymität und Privatsphäre einer Person bei der Nutzung von modernen Technologien (drahtlose Technologien, Internet,...) dem Grad der Anonymität und Privatsphäre im normalen Leben anzupassen, müssen Mechanismen eingeführt werden, die den Zusammenhang zwischen der Identität einer Person und deren Daten auflösen bzw. der Person selbst die Kontrolle überlassen, ob sie ihre Identität oder Daten bekannt geben will.

15 Die radikalste Lösung wäre dabei ein vollkommen anonymes Auftreten. Eine vollkommene Anonymität ist aber im Alltag sowie bei der Nutzung von modernen Technologien nicht möglich. Das hat zur Folge, dass Teile der Identität preisgegeben werden müssen [Wi05b]. Eine Alternative zu der vollkommenen Anonymität wäre in diesem Fall die Verwendung von Pseudonymen. Nachfolgend werden die beiden Begriffe: Anonymität und Pseudonymität erläutert und die Vor- und Nachteile der beiden Alternativen diskutiert. 2.2 Anonymisierung Das Wort Anonymität stammt aus dem Griechischen und heißt wörtlich Namenlosigkeit. Unter dem anonymen Auftreten versteht man, in Erscheinung treten, ohne seine Identität preiszugeben. In seiner weitesten Bedeutung beschränkt sich jedoch dieses Wort nicht nur auf Personen, sondern kann auch z.b. Computersysteme (anonymes Einlogen) oder Daten betreffen [Wi05b]. Es gibt viele Gründe, wieso Menschen ihre Identität verbergen und anonym bleiben wollen z.b.: Zum Selbstschutz ziehen es einige Bürger vor bestimmte Vorkommnisse anonym an die Behörden zu melden, um negative Konsequenzen für sich selbst zu vermeiden. In einer Diktatur wollen die Regimegegner ihre Schriften verbreiten und dabei unbekannt bleiben. Beim Umgang mit den Daten, die der Schweigepflicht unterliegen (z.b. ärztliche Schweigepflicht, Schweigepflicht eines Pfarrers,...), spielt die Anonymität eine große Rolle. Viele Dienste wie Telefonseelsorge werden anonym angeboten. Im Gesundheitswesen werden viele Daten für die Zwecke der Statistik (z.b. Statistik über AIDS-kranke Patienten) anonym gespeichert. Auch bei der Organspende/Blutspende kennt (aus ethischen Gründen) weder der Spender noch der Empfänger die Identität des jeweils anderen. Oft wird auch Anonymität vorgezogen um die eigene Würde und Integrität zu wahren (Anonyme Alkoholiker, ein hoher Beamter auf Beate-Use Seiten,...). Dem allgemeinen Wunsch nach der Anonymität wird auch durch die Gesetzgebung Rechnung getragen. Das Recht auf die Privatsphäre gehört zu den Bürgerrechten und ist auch z.b. in der

16 "Universal Declaration of Human Rights" aus dem Jahre 1948 gesetzlich verankert [He04b, Ber03]. In der Praxis räumen sich jedoch einige staatliche Organe (Polizei, BND,...) ein umfassendes Zugriffsrecht auf das Privatleben der Bürger ein [En03]. Im täglichen Leben ist vieles von Natur aus anonym: Beim Bezahlen mit Bargeld oder beim Betreten eines Lokals muss man die Identität in der Regel nicht preisgeben, oder beim Anrufen der Telefonauskunft braucht man nicht mitzuteilen, wo man sich gerade befindet. Im Umgang mit dem Internet und einigen drahtlosen Technologien ist es jedoch ganz anders. Der Anbieter eines Mobilfunknetzes kann die geographische Position seiner Teilnehmer bestimmen, und auch im traditionellen Internet gibt es nur wenige Dienste, die wirklich anonym genutzt werden können z.b.: Beim Bezahlen im Online-Shop werden persönliche Daten bekannt und spätestens bei der Angabe der Lieferadresse kennt der Anbieter die vollständige Identität des Kunden. Zwar gibt kein Unternehmen öffentlich zu von diesen Daten gebrauch zu machen (es sei denn man wird wie Metro AG auf der frischen Tat ertappt, und selbst dann wird es abgestriten), jedoch gibt es auch keine endgültige Sicherheit für die Verbraucher. Wie man sieht, ist die Anonymität ein sehr vielfältiger Begriff und kann auf verschiedene Sachverhalte bezogen werden. Für diese Projektarbeit ist jedoch nicht die Anonymität in dem weitesten Sinne des Wortes interessant, sondern lediglich die Anonymität der Kommunikationsbeziehung. Es gibt viele Situationen, in denen es erforderlich ist, dass nicht nur der Inhalt der Nachricht, sondern auch die Identität des Senders, des Empfängers oder sogar selbst die Tatsache der Kommunikation zwischen zwei Parteien unbekannt bleibt: Ein Unternehmen soll nicht, anhand des Datenverkehrs im Internet, die Kunden seiner Konkurrenz ausspionieren können, um diese für sich selbst zu gewinnen. Oder ein Angreifer soll nicht rausfinden, bei welcher Bank jemand ein Konto hat. In diesem Zusammenhang unterscheiden die meisten Autoren folgende Ausprägungen der Anonymität der Kommunikationsbeziehung [Be01c]: Senderanonymität: Empfänger einer Nachricht soll nicht die wahre Identität des Senders kennen.

17 Empfängeranonymität: Sender einer Nachricht soll nicht die wahre Identität des Empfängers kennen. Anonymität der Kommunikationsbeziehung: In diesem Fall soll die Tatsache der Kommunikationsbeziehung zwischen dem Absender und dem Empfänger für Dritte verborgen bleiben. Wie schon oben angedeutet, kommt man mit der vollkommenen Anonymität im täglichen Leben nicht aus. Irgendjemand muss wissen, wohin die Daten wirklich geschickt werden bzw. wer die Daten empfängt. Andererseits will man auch nicht die wahre Identität preisgeben. Einen Ausweg bietet eine Zwischenform zwischen der vollkommenen Anonymität und der vollkommenen Identität, die Pseudonymität [Wi05b]. 2.3 Pseudonymisierung Das Wort Pseudonym stammt aus dem Griechischen und heißt wörtlich der falsche Name. Im normalen Sprachgebrauch wird dieses Wort vor allem mit dem Verbergen der Identität von Künstlern, Schriftstellern oder Spionen assoziiert [Wi05c]. Genauso wie für die Anonymität gibt es auch für die Wahl eines Pseudonyms eine Vielzahl von Gründen: Manche Künstler oder Schriftsteller wählen Pseudonyme um ihre Originalität zum Ausdrück zu bringen und sich dem Rest der Welt als etwas besonderes zu präsentieren. Furcht vor Verfolgung oder Skandalen kann ebenfalls ein Grund für die Wahl eines Pseudonyms sein [Wi05c]. Pseudonyme spielen in unserer Zeit eine sehr große Rolle in verschiedenen Lebensbereichen: Zum Beispiel werden die Künstlerpseudonyme sogar namesrechtlich geschützt [Wi05c]. Aus der Sicht des Datenschutzes sind Pseudonyme wichtig für die Wahrung der Privatsphäre und der Anonymität. Die exakte Definition eines Pseudonyms ist sogar gesetzlich verankert.

18 Laut der Definition von Paragraph 3 Abs. 6A des Bundesdatenschutzgesetzes versteht man unter der Pseudonymisierung das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen (meistens eine Zeichenfolge oder eine Zahlenkombination) zu dem Zweck, die Identifizierung des Betroffenen auszuschließen oder wesentlich zu erschweren [Wi05d]. Der entscheidende Unterschied zu der Anonymisierung ist, dass Pseudonyme die Identifizierung einer Person nicht volkommen ausschließen sondern einen Rückweg bieten, wie von einem Pseudonym auf die Identität oder zumindestens auf Teile der Identität geschlossen werden kann. Wie schon oben erwähnt, ist die Pseudonymität eine Zwischenstufe zwischen der Anonymität und der Identität. Das hat zur Folge, dass die Auflösung eines Pseudonyms nicht unbedingt die ganze Identität preisgeben muss, sondern nur bestimmte Teile, die vielleicht auf weitere Teile der Identität verweisen. Dabei wird der Grad der Pseudonymität davon bestimmt, wie leicht oder schwer es ist auf weitere Teile der Identität zu schließen [Wi05b]. Nachdem die, für diese Projektarbeit relevanten, Begriffe erläutert und die nötigen theoretischen Grunglagen gelegt wurden, werden nun einige schon existierende Arbeiten und Verfahren im Zusammenhang mit der Pseudonymisierung vorgestellt. Zunächst beschreibe ich aber das Konzept der Mix-Netzwerke von David Chaum, welche eine wichtige Grundlage für viele existierende Verfahren bildet. 2.4 Mix-Netzwerke Die meisten Ansätze zum Erzwingen der Anonymität beruhen auf dem, von David Chaum 1981 entwickelten, Verfahren der Mix-Netzwerke [Ch81]. Sie garantieren die Senderanonymität und die Anonymität der Kommunikationsbeziehung zwischen dem Sender und dem Empfänger. Die Kernkomponente des Systems ist ein Netwerk von Mix-Rechnern. Um die Inhalte der Kommunikation zu verbergen, benutzen die Mix-Rechner ein asymmetrisches Verschlüsselungsverfahren. Die Funktionsweise der Mix-Netzwerke wird im folgenden in aller Kürze, grob angand

19 eines Beispiels demonstriert. Angenommen eine Person mit der Adresse A möchte eine an eine andere Person mit der Adresse B schicken. Um ihre Identität und die Kommunikationsbeziehung mit der Person B geheim zu halten, möchte Person A die Mixe M1, M2 und M3 nutzen. Dazu nimmt Person A die öffentlichen Schlüssel der drei Mixe (K1, K2, K3) und verschlüsselt ihre Nachricht n auf folgende Art und Weise: K1( K2( K3(n, B), M3), M2). Anschließend wird das ganze an den Mix M1 geschickt. M1 entpackt die Nachricht mit seinem privaten Schlüssel und sieht, dass er die Nachricht an M2 weiterleiten muss. Das folgende Bild veranschaulicht das Vorgehen der drei Mixe. A Mix 1 K1( K2( K3(n, B), M3), M2) K2( K3(n, B), M3) Mix 2 K3(n, B) Mix 3 B n Bild 2.3: Mix-Netzwerk Damit ein Angreifer die Zieladresse einer Nachricht nicht an der Reihenfolge der in einen Mix reinkommenden und wieder rausgehenden Nachrichten ausspionieren kann, ist jeder Mix in der Lage die Reihenfolge der Nachrichten zu vertauschen, die Weiterleitung der Nachrichten zu verzögern und wenn es nötig ist Nachrichtenattrappen zu verschicken. 2.5 Bekannte Systeme Die Breite der Einsatzgebiete für Pseudonyme zur Wahrung der Privatsphäre erstreckt sich von der Verwendung im traditionellen Internet bis zu der Verwendung im Zusammenhang mit den sogenannten Outdoor Location Systemen (Systeme, mit deren Hilfe die geographische Positin einer

20 Person bestimmt werden kann) [Ber03]. Die bekanntesten rechnergestützten Systeme, die zur Wahrung der Privatsphäre Pseudonyme einsetzten, entstammen dem traditionellen Internet. Die Bandbreite der Lösungsansätze reicht hier von den Pseudonymisierungs- bzw. Anonymisierungsdiensten wie Rewebber bis zu den pseudonymen IP-Netzwerken wie das Freedom-Network. Da der Umfang einer Projektarbeit nicht ausreicht, alle existirenden Ansätze in ganzer Breite zu behandeln, werden nachfolgend einige Vertreter der existierenden Systeme aus verschiedenen Einsatzgebieten kurz erläutert. Um die Systeme aus der Domäne des traditionelen Internets vorzustellen habe ich den Anonymisierungsdienst Rewebber und Freedom-Network gewählt. Aus der Domäne der Outdoor Location Systeme wird der Ansatz von Beresford und Stanjano vorgestellt Rewebber/JANUS Das Project JANUS wurde von Thomas Demuth und Andreas Reike an der FernUniversität Hagen durchgeführt und fand anschließend (durch Hagener Firma ISL) eine öffentlich zugängliche Realisierung in dem Projekt Rewebber [De02]. Die Nachfolgende Beschreibung des JANUS-Projektes ist eine kurze Zusammenfassung des unter [De02] aufgelisteten Dokuments. Rewebber ist ein öffentlich zugänglicher Server, welcher es seinen Clients erlaubt anonym im Web zu surfen. Im Gegensatz zu den anderen Anonymisierungsdiensten bietet Rewebber außer der Clientanonymität zusätzlich noch die Serveranonymität. Das heißt, dass ein Web-Server seine Dienste anonym den Clients zur Verfügung stellen kann. Damit Client und Server die wahre Identität voneinander nicht erfahren, kommunizieren sie über ein Mix-Netzwerk. Mix-Netzwerke verbergen die Identität des Senders. Also muss der Sender, wenn er eine Antwort auf seine Nachricht erhalten will, seine Return-Adresse dem Empfänger mitteilen. Diese Return-Adresse setzt sich aus dem Pfad durch den Mix-Netzwerk zusammen und wird dem Empfänger mit der eigentlichen Nachricht übermittelt.

21 Die Anonymität der Server wird bei JANUS/Rewebber durch die Kombination von Pseudonymen und Mix-Netzwerken erreicht. Mit Hilfe eines Pseudonyms wird eine anonyme URL gebildet. Diese URL stellt einen Pfad durch den Mix-Netzwerk dar. Bei der Entwicklung des Konzeps für die Serveranonymität haben die Autoren versucht, vor allem für folgenden Probleme eine Lösung zu finden: Problem 1: Im WWW werden die Dienste von den Nutzern in der Regel mehrmals hintereinander abgerufen (z.b. werden oft mehrmals hintereinander Web-Seiten aufgerufen, oder Nachrichten verschickt). Damit ein Angreifer die wirkliche Adresse des Servers durch das Verfolgen der Kommunikationspakete nicht herausfinden kann, müssen die Server eine sehr große Zahl von Pseudonymen (anonyme URL's) veröffentlichen oder den Zugang zu ihren Diensten nach einer bestimmten Anzahl von Zugiffen einschränken. Problem 2: Auf der Basis eines Mix-Netzwerks gebildete Server-Pseudonyme (Anonyme URL's) sind in der Regel sehr lang und kompliziert. Deswegen sind sie für normale Benutzer schwer zu handhaben. Problem 3: Bei einer anonymen Kommunikation kennt weder der Client die wirkliche Identität des Servers, noch der Server die wirkliche Identität des Clients. Da aber das Verfahren asymmetrische Verschlüsselung benutzt (um die Inhalte der Nachrichten zu verschlüsseln, oder zum Signieren von Daten), müssen die Clients und die Server sicher sein, dass die öffentlichen Schlüssel wirklich zu der entsprechenden Person gehören. Das stellt aber in einem anonymen Netzwerk ein Problem dar. Wie soll man die Verifikation eines Schlüssels durchführen und gleichzeitig die Anonymität dessen Inhabers gewährleisten? Um das dritte Problemm zu lösen wurde von den Autoren, von Shamir entwickelte, Verfahren der pseudonym basierten Signaturen eingesetzt. Die wesentliche Idee dieses Verfahrens ist, die eigene eindeutige Adresse als öffentlichen Schlüssel einer Instanz zu verwenden. Bei JANUS/Rewebber wird das eindeutige Pseudonym des Servers als öffentlicher Schlüssel verwendet. Die JANUS/Rewebber Architektur beinhaltet folgende Komponenten: