Vergessensermöglichende und vergessensfördernde Techniken im Internet?

Transkript

1 Vergessensermöglichende und vergessensfördernde Techniken im Internet? Prof. Dr. Hannes Federrath Januar

2 Sicherheit in Rechnernetzen Telekommunikationsnetze: sehr viele Betreiber sehr viele Anwender Bedrohungen unbefugter Informationsgewinn Schutz der Vertraulichkeit unbefugte Modifikation Integrität unbefugte Beeinträchtigung der Funktionalität Verfügbarkeit 2

3 Schutzziele mehrseitiger IT-Sicherheit Mehrseitige Sicherheit bedeutet die Einbeziehung der Schutzinteressen aller Beteiligten sowie das Austragen daraus resultierender Schutzkonflikte beim Entstehen einer Kommunikationsverbindung. Kommunikationsgegenstand WAS? WORÜBER? Vertraulichkeit Verdecktheit Integrität Verfügbarkeit Kommunikationsumstände WANN?, WO?, WER? Anonymität Unbeobachtbarkeit Zurechenbarkeit Rechtsverbindlichkeit Erreichbarkeit 3

4 Schutzziele mehrseitiger IT-Sicherheit Mehrseitige Sicherheit bedeutet die Einbeziehung der Schutzinteressen aller Beteiligten sowie das Austragen daraus resultierender Schutzkonflikte beim Entstehen einer Kommunikationsverbindung. Inhalte der Kommunikation Vertraulichkeit Verdecktheit Kommunikationsumstände Anonymität Unbeobachtbarkeit Schutzziele Vertraulichkeit Schutz der Nachrichteninhalte Schutz der Identität eines Nutzers während der Dienstnutzung Beispiel: Beratungsdienste Schutz der Kommunikationsbeziehungen der Nutzer Nutzer kennen möglicherweise gegenseitig ihre Identität 4

5 Schutzziele mehrseitiger IT-Sicherheit Mehrseitige Sicherheit bedeutet die Einbeziehung der Schutzinteressen aller Beteiligten sowie das Austragen daraus resultierender Schutzkonflikte beim Entstehen einer Kommunikationsverbindung. Inhalte der Kommunikation Vertraulichkeit Verdecktheit Kommunikationsumstände Anonymität Unbeobachtbarkeit Datenvermeidung Erfassungsmöglichkeit und Speicherung personenbezogener Daten vermeiden Datensparsamkeit 5 Jeder behält seine personenbezogenen Daten in seinem persönlichen Verfügungsbereich.

6 Beobachtungen zum Monotonieverhalten Vertraulichkeit kann nur geringer werden. Vertraulichkeit Data leakage t Integrität und Zurechenbarkeit können nur größer werden. Integrität und Zurechenbarkeit z.b. Digitale Signatur t 6

7 Beobachtungen zum Monotonieverhalten Vertraulichkeit kann nur geringer werden. Vertraulichkeit Data leakage t Fazit Der Mensch sollte sensible Daten die ihn und andere betreffen, besonders sorgsam schützen und nur sehr überlegt weitergeben bzw. veröffentlichen. 7

8 Beispiele für Bausteine datenschutzfördernder Technik Verschlüsselung Schutz von Kommunikationsbeziehungen Broadcast Proxies MIX network Schutz von Transaktionen Pseudonyme Credentials (an Pseudonyme gekettete Eigenschaften) 8

9 Verschlüsselung Verschlüsseln hilft gegen Ausspähen der Inhalte durch Außenstehende Empfehlungen: GnuPG für - Verschlüsselung verwenden Auf https beim Senden von sensiblen Daten im Browser achten Verschlüsseln hilft nichts gegen die Beobachtung von Kommunikationsbeziehungen durch Außenstehende und Netzbetreiber 9

10 Beispiele für Bausteine datenschutzfördernder Technik Verschlüsselung Schutz von Kommunikationsbeziehungen Broadcast Proxies MIX network Schutz von Transaktionen Pseudonyme Credentials (an Pseudonyme gekettete Eigenschaften) 10

11 Broadcast Das war damals... Zeitung lesen Radio über Antenne hören Fernsehen über Breitbandverteilkabel Verteilung (Broadcast) + implizite Adressierung Technik zum Schutz des Empfängers Alle Teilnehmer erhalten alles Lokale Auswahl Es bleibt verborgen, welchen Inhalt der Nutzer konsumiert 11

12 Proxies: Outsider Erreichbare Sicherheit (Outsider) Beobachter nach Proxy und Serverbereiber: erfahren nichts über den wirklichen Absender eines Requests Beobachter vor Proxy: Schutz des Senders, wenn Verbindung zu Proxy verschlüsselt From Nutzer x $sd%6d!3$?&vh%0 From Proxy GET Page.html Nutzer 1 Nutzer 2 Proxy Nutzer 3 12

13 Proxies: Outsider Erreichbare Sicherheit (Outsider) Aber: Trotz Verschlüsselung: kein Schutz gegen Verkehrsanalysen Verkettung über Nachrichtenlängen zeitliche Verkettung Verkehrsanalysen Nutzer 1 Nutzer 2 Proxy Nutzer 3 13

14 Website- und DNS-Fingerprinting Gerber 2009 Ähnlichkeitsvergleich des Nutzungsverhaltens der Internenutzer 14

15 Mix-Netz (Chaum, 1981) System zum Schutz von Kommunikationsbeziehungen bei vermittelter Kommunikation Grundfunktionen: Nachrichten in einem»schub«sammeln, Wiederholungen ignorieren, Nachrichten umkodieren, umsortieren, gemeinsam ausgeben Alle Nachrichten haben die gleiche Länge. Mehr als einen Mix und unterschiedliche Betreiber verwenden Wenigstens ein Mix darf nicht angreifen. Schutzziel: Unverkettbarkeit von Sender und Empfänger 15

16 Mix-Netz (Chaum, 1981) System zum Schutz von Kommunikationsbeziehungen bei vermittelter Kommunikation M2 M1 M2 MIX 1 MIX 2 16

17 Mix-Netz (Chaum, 1981) Stärke der Mixe: Auch die Betreiber der Mixe erfahren nichts mehr über die Kommunikationsbeziehung zwischen Sender und Empfänger. Notwendige Bedingungen: Mehr als einen Mix und unterschiedliche Betreiber verwenden Wenigstens ein Mix darf nicht angreifen. M1 M2 MIX 1 MIX 2 17

18 AN.ON und TOR Dienste zum anonymen Internetzugriff Schutz des Einzelnen vor Überwachung und Profilierung seiner Internetaktivitäten beruhen auf Erweiterungen des Mix-Verfahrens von Chaum Nutzer A Nutzer B Nutzer C Nutzer D Nutzer E Mix Mix Mix Schutz auch vor dem Betreiber des Dienstes (Schutz vor Insidern) 18

19 Beispiele für Bausteine datenschutzfördernder Technik Verschlüsselung Schutz von Kommunikationsbeziehungen Broadcast Proxies MIX network Schutz von Transaktionen Pseudonyme Credentials (an Pseudonyme gekettete Eigenschaften) 19

20 Pseudonyme Pseudonym-Arten Vom Teilnehmer selbst gewählte Zeichenketten, die keinen Bezug zu seiner Identität besitzen Große Zufallszahlen (etwa 45 Dezimalstellen) Öffentliche Testschlüssel eines Signatursystems Pseudonyme zur Bestätigung von Eigenschaften 20 Einfaches»qualifizierendes Zertifikat«Blenden des Pseudonyms vor dem Zertifizieren BEGIN ZERTIFIKAT! Pseudonym: ! Öffentlicher Testschlüssel des Pseudonyms:! h833hd38dddajscbicme098342k236egfkw74h5445! 84hdbscldmrtpofjrkt0jshuedagaszw12geb3u4b=! Bestätigte Eigenschaften:! Der Inhaber ist über 18 Jahre alt.! Der Inhaber ist deutscher Staatsbürger.! Datum: ! Gültig bis: ! Aussteller: Einwohnermeldeamt Dresden! Signatur des Ausstellers:! 23j423vdsaz345kj435ekji3u4z ijo23i72! kj867wdbez2o074j5lkdmcdkki1237t3rgbdvbwdj=! END ZERTIFIKAT!

21 Drei unglückliche Fallbeispiele Ziel Verbotenes, unerwünschtes im Internet soll nicht möglich nicht mehr vorhanden wenigstens nicht mehr erreichbar Fallbeispiele: maschinelles Lernen x-pire! DNS-Sperre sein. 21

22 Gesichter auswerten Mit und ohne Facebook 22

23 Photo Tagging Gesichter nicht nur von Freunden, sondern auch von Menschen, die nicht Mitglied des sozialen Netzes sind können mit Namen versehen werden 23

24 Nicht Mitglied im sozialen Netz Jane" Soziale Netze wissen selbst über Menschen bescheid, die nicht einmal wissen können, dass sie schon erfasst sind. John" 24

25 Nicht Mitglied im sozialen Netz Soziale Netze wissen selbst über Menschen bescheid, die nicht einmal wissen können, dass sie schon erfasst sind. Geschlossene Gruppe wünschenswert 25

26 Analogie: Website- und DNS-Fingerprinting Gerber 2009 Ähnlichkeitsvergleich des Nutzungsverhaltens der Internenutzer 26

27 Drei unglückliche Fallbeispiele Ziel Verbotenes, unerwünschtes im Internet soll nicht möglich nicht mehr vorhanden wenigstens nicht mehr erreichbar Fallbeispiele: maschinelles Lernen x-pire! DNS-Sperre sein. 27

28 X-pire! Mit x-pire! geschütztes Bild Mit x-pire! geschütztes Bild 28

29 Funktionsweise X-pire! Veröffentlicher" X-pire! Schlüsselserver" 1" 3" Browser" X-pire! Plug-in" 2" ID"..." Datenbank" Schlüssel" Verfallsdatum"..."..." 4" 7" Betrachter" Webserver" Browser" Webseite" 5" DOM" 6" 8" X-pire! Plug-in" 29

30 Sicherheit von x-pire! Kein Schutz gegen Angreifer in der Rolle»Betrachter«Software im Verfügungsbereich des Betrachters (Browser) erhält Zugriff auf Schlüssel und unverschlüsselten Inhalt Streisand-Effekt Insbesondere Inhalte, die wieder aus dem Netz verschwinden sollen, halten sich möglicherweise besonders lange. 30

31 Funktionsweise Streusand X-pire! Schlüsselserver" Datenbank" Streusand-Server" Datenbank" Datensammler" ID" Schlüssel" Verfallsdatum" ID" Schlüssel" Bild"..."..."..."..."..."..." Datenbank" 4" 3" 5" Webserver" Webseite" 1" 2" Browser" Betrachter" DOM" 6" Streusand Plug-in" 32

32 Drei unglückliche Fallbeispiele Ziel Verbotenes, unerwünschtes im Internet soll nicht möglich nicht mehr vorhanden wenigstens nicht mehr erreichbar Fallbeispiele: maschinelles Lernen x-pire! DNS-Sperre sein. 34

33 DNS-Sperre und Umgehungsmöglichkeiten Zugangserschwerungsgesetz 2009 Ziel: Sperrung von Webseiten mit kinderpornographischem Inhalt 35

34 Sicherheit im Domain Name System (DNS) DNS: Domain Name System Abbildung des Rechnernamens auf IP-Adresse Anfrage an Nameserver typischerweise in WANs Angriffe auf DNS Sniffing von DNS-Anfragen Fälschen der DNS-Antworten Denial-of-Service svs.uni-hamburg.de DNS 00:26:08:dc:83:d Physical Naming (Hardware-Adresse) ARP Low-Level-Naming (IP-Adressen) 36

35 Zunächst wird DNS-Server angefragt Nutzer Access Provider Host-Provider Nutzer ruft auf: ISP ( ) DNS DNS DNS DNS Browser 1. sendet DNS-Request: 2. empfängt DNS-Antwort:

36 Anschließend wird Inhalt abgerufen Nutzer Access Provider Host-Provider Browser sendet: ISP ( ) DNS 38

37 DNS-Sperre: DNS-Server sendet»falsche«antwort Nutzer Access Provider Host-Provider Nutzer ruft auf: ISP ( ) DNS Browser 1. sendet DNS-Request: 2. DNS-Server sieht Sperrliste durch (Treffer!) 2. empfängt DNS-Antwort:

38 Mit DNS-Sperre landet der Nutzer im WWW auf Stopp-Seite Nutzer Access Provider Host-Provider Browser sendet: ISP DNS STOP Stopp-Seite ( ) ( ) BKA erhält Zugriffsprotokolle 40

39 Mit DNS-Sperre und Open DNS Nutzer Access Provider Host-Provider Nutzer ruft auf: ISP ( ) DNS DNS Browser 1. sendet DNS-Request: 2. empfängt DNS-Antwort:

40 Mit DNS-Sperre und Open DNS Nutzer Access Provider Ausland Host-Provider Nutzer ruft auf: ISP DNS DNS Rechtswidriger Inhalt ( ) Browser 1. sendet DNS-Request: 2. empfängt DNS-Antwort:

41 Zusammenfassung Sensible Daten besonders sorgsam schützen nur sehr überlegt weitergeben und veröffentlichen Möglichst immer Pseudonyme verwenden Verhindert (leichte) Verkettbarkeit von Daten Verschlüsselung und Anonymisierung verwenden Verhindert Beobachtung der Aktivitäten 43