Technische Verfahren zur anonymen Nutzung des Internet und deren Folgen für Strafverfolgung

Transkript

1 Technische Verfahren zur anonymen Nutzung des Internet und deren Folgen für Strafverfolgung Prof. Dr. Universität Regensburg Lehrstuhl Management der Informationssicherheit

2 Rollen im Internet Content- Ebay-Anbieter -Absender Chat/P2P-Nutzer verbreitet illegale Inhalte Host- Nutzer Ebay-Käufer -Empfänger Chat/P2P-Nutzer lädt illeg. Inhalte Ebay Postfach des Empfängers Chat-Forum / P2P-Netz

3 Rollen im Internet Content- Ebay-Anbieter -Absender Chat/P2P-Nutzer verbreitet illegale Inhalte Host- Nutzer Ebay-Käufer -Empfänger Chat/P2P-Nutzer lädt illeg. Inhalte Ebay Postfach des Empfängers Chat-Forum / P2P-Netz

4 Rollen im Internet Content- Ebay-Anbieter -Absender Chat/P2P-Nutzer verbreitet Inhalte Host- Nutzer Ebay-Käufer -Empfänger Chat/P2P-Nutzer lädt Inhalte Ebay Postfach des Empfängers Chat-Forum / P2P-Netz

5 Rollen im Internet Content- speichern ggf. Stammdaten (Name,...) und protokollieren zugewiesene IP- Adresse Host- Host- protokolliert ggf. IP-Adressen Nutzer

6 Rollen im Internet Online-Shop speichern ggf. Stammdaten (Name,...) und protokollieren zugewiesene IP- Adresse Host- Host- protokolliert ggf. IP-Adressen Nutzer Kunde zahlt mit falscher Kreditkartennummer

7 Rollen im Internet Content- Anonymisierer speichern ggf. Stammdaten (Name,...) und protokollieren zugewiesene IP- Adresse Nutzer Ausgehende Nachrichten erhalten IP-Adresse des Anonymisierers Anonymisierer Host- Host- protokolliert ggf. IP-Adressen

8 Rollen im Internet Content- Anonymisierer Rückverfolgung ist nur möglich, wenn alle Beteiligten Protokolle führen. Host- Nutzer Anonymisierer

9 Content- Anonymisierer als verteiltes System realisiert Anon2 AP(A2) Anonymisierer kann als verteiltes System realisiert sein Primäres Schutzziel: Schutz vor Beobachtung durch den Betreiber des Anonymisierers Weiterhin gilt: Rückverfolgung ist nur möglich, wenn alle Beteiligten Protokolle führen. Host- AP(A2) Nutzer Anon2 verteiltes System

10 Auch Host- kann als verteiltes System realisiert sein Beispiel: Blind-Message-Service Schutzziel: Unbeobachtbares Abrufen von Inhalten Replizierte Datenbanken: exakt gleiche Inhalte auf allen Servern Mehrere Server werden angefragt Schutz vor Beobachtung durch die Datenbank Einzelne Datenbank erfährt nicht, welcher Inhalt abgefragt wird Schutz vor externen Beobachtern Abfrage ist verschlüsselt Nutzer Host- als verteiltes System

11 Content- Einstellen der Inhalte ist beobachtbar Nutzer Host- als verteiltes System

12 Content- Anonymisierer Einstellen der Inhalte ist beobachtbar Ausweg: Verwendung eines Anonymisierers Nutzer Host- als verteiltes System

13 Content- Anonymisierer als verteiltes System realisiert Anon2 AP(A2) Einstellen der Inhalte ist beobachtbar Ausweg: Verwendung eines Anonymisierers Nutzer Host- als verteiltes System

14 Konkrete Systeme Zentralisierte Anonymisierstation Proxy Anonymisierer Anonymisierer als verteiltes System Proxy-Kaskaden Mixe Crowds Anonymisier als verteiltes System Anon2 AP(A2) Host- als verteiltes System Blind-Message-Service Host- als verteiltes System

15 Proxy Erreichbare Sicherheit Server besitzt keinerlei Information über den wirklichen Absender eines Requests Kein Schutz gegen den Betreiber des Proxy Kein Schutz gegen Verkehrsanalysen zeitliche Verkettung Verkettung über Inhalte (Aussehen, Länge) Nutzer 1 Nutzer 2. Nutzer x. GET page.html INTRANET http-proxy GET page.html INTERNET Webserver Verschlüsselung zwischen Browser und Proxy verhindert Korrelation über»aussehen«, aber nicht über Nachrichtenlänge und Zeit und hilft nicht gegen den Proxy.

16 Proxy-Produktbeispiele Schutz vor beobachtbarem Abrufen Web-basiert, ohne Softwareinstallation Anonymizer Rewebber Benutzt ständig wechselnde "offene" Proxies Steganos Internet Anonym Schutz vor beobachtbarem Anbieten Rewebber Network Anwendung/Motivation: Verhindern von Zensur, Ermöglichen von free speech Funktionsprinzip:Verschlüsselte URL wird von einem zwischengeschalteten Proxy entschlüsselt und aufgerufen a4uyt3iaqeqrxxd7oxevwr8wj3cnrnbpiwutlgw0urll0bgkav3fx8wecbd1jpwg PL7OvuV0xtbMPsRbQg0iY=RKLBaUYedsWTE1nuoh_J5J_yg1CfkaN9jSGkdf51-g Vyxfupgc8VPsSyFdEeR0dj9kMHuPvLivf8mc44QBN0fMVJjpeyHSa79KdTQ5EGlP 6i8DOat-NrOIndpz5xgwZKc=/

17 Konkrete Systeme Zentralisierte Anonymisierstation Proxy Anonymisierer Anonymisierer als verteiltes System Proxy-Kaskaden Mixe Crowds Anonymisier als verteiltes System Anon2 AP(A2) Host- als verteiltes System Blind-Message-Service Host- als verteiltes System

18 Proxy-Kaskaden Angreifer vertrauenswürdig Angreifer Server S User U A B C page.html page.html page.html k UA (page.html) k AB (page.html) k BC (page.html) k CS (page.html) Verschlüsselung zwischen den Proxies hilft gegen Außenstehende, aber nicht gegen deren Betreiber.

19 Konkrete Systeme Zentralisierte Anonymisierstation Proxy Anonymisierer Anonymisierer als verteiltes System Proxy-Kaskaden Mixe Crowds Anonymisier als verteiltes System Anon2 AP(A2) Host- als verteiltes System Blind-Message-Service Host- als verteiltes System

20 Grundidee Mix-Netz Nachrichten in einem»schub«: sammeln, Wiederholungen ignorieren, umkodieren, umsortieren, gemeinsam ausgeben. Alle Nachrichten haben die gleiche Länge. Schutzziel Unverkettbarkeit von Sender und Empfänger Zuordnung zwischen E- und A-Nachrichten wird verborgen Schutz vor Betreibern des Anonymisierdienstes Mehr als einen Mix verwenden. Wenigstens ein Mix darf nicht angreifen. Chaum, 1981 MIX 1 MIX 2

21 Konkrete Systeme Zentralisierte Anonymisierstation Proxy Anonymisierer Anonymisierer als verteiltes System Proxy-Kaskaden Mixe Crowds Anonymisier als verteiltes System Anon2 AP(A2) Host- als verteiltes System Blind-Message-Service Host- als verteiltes System

22 Crowds Webanfrage wird mit einer Wahrscheinlichkeit P direkt an Server geschickt oder alternativ (mit 1-P) an anderen Teilnehmer (Jondo) AT&T Verbindungsverschlüsselung zwischen den Nutzern Verkettung über Kodierung verhindern Sicherheitseigenschaft: Nutzer kann stets behaupten, sein Jondo habe die Anfrage zur Weiterleitung erhalten Initiator Schwächen: zeitliche Korrelationen bleiben erhalten Jondos können mitlesen (problematisch bei personalisierten Sites)

23 Konkrete Systeme Zentralisierte Anonymisierstation Proxy Anonymisierer Anonymisierer als verteiltes System Proxy-Kaskaden Mixe Crowds Anonymisier als verteiltes System Anon2 AP(A2) Host- als verteiltes System Blind-Message-Service Host- als verteiltes System

24 Blind-Message-Service: Anfrage Cooper, Birman, 1995 Client interessiert sich für D[2]: Index = 1234 c S1 (1011) S1 D[1]: D[2]: D[3]: D[4]: Setze Vektor = 0100 Wähle zufällig request(s1) = 1011 Wähle zufällig request(s2) = 0110 Berechne request(s3) = 1001 Schutzziel: Client möchte auf Datenbestand zugreifen, ohne dass Datenbank erfährt, wofür sich der Client interessiert Replizierte Datenbanken mit unabhängigen Betreibern c S2 (0110) c S3 (1001) S2 S3 D[1]: D[2]: D[3]: D[4]: D[1]: D[2]: D[3]: D[4]:

25 > Blind-Message-Service: Antwort Client interessiert sich für D[2]: Index = 1234 Setze Vektor = 0100 Wähle zufällig request(s1) = 1011 Wähle zufällig request(s2) = 0110 Berechne request(s3) = 1001 Antworten von S1: S2: S3: Summe entspricht D[2]: Verbindungsverschlüsselung zwischen Servern und Client unbedingt notwendig S1 S2 S3 Cooper, Birman, 1995 D[1]: D[2]: D[3]: D[4]: Summe D[1]: D[2]: D[3]: D[4]: Summe D[1]: D[2]: D[3]: D[4]: Summe

26 Zukunft: Unbeobachtbare Peer-to-Peer-Systeme Content- Nutzer in Peer-to-Peer-Systemen agieren gleichzeitig als unbeobachtbare Content-, Host- und Nutzer Beispiel: Freenet realisiert ein solches Netz bereits ansatzweise, verknüpft Mix-Verfahren mit speziellen Speicherstrategien Host- Nutzer