Architektur des Anonymisierungsdienstes

In folgender Abbildung wird der der Aufbau des Anonymisierungsdienstes JAP schematisch dargestellt. Er besteht aus den Kompontenten:
  • JAP Auf den Nutzerrechner installiertes Clientprogramm.
  • Mixe Anonymisierende Zwischenstationen, welche die Datenströme der einzelnen Nutzer vermischen.
  • InfoService Ein separater Dienst, der Metainformationen über die verfügbaren Mixe bzw. Mix-Kaskaden, Nutzerzahlen auf den jeweiligen Mix-Kaskaden und deren Auslastung bereitstellt.

Funktionsweise

Wenn Sie das Clientprogramm JAP starten, stellt JAP als erstes eine Verbindung zum InfoService her, um zu überprüfen, ob seine Programmversion noch aktuell ist. Ist die Version nicht mehr kompatibel zu den der Software der Mixe, wird dem Nutzer ein automatisches Update angeboten, da der Dienst ansonsten nicht mehr genutzt werden könnte.

Im nächsten Schritt meldet sich JAP bei dem ersten Mix der ausgewählten Mixkaskade an. Bis zur Abmeldung besteht nun eine permanente Netzwerkverbindung zwischen JAP und ersten Mix.

Bei der Installation hat der Nutzer seinen Webbrowser bereits so umkonfiguriert, dass er jede Anfrage an JAP statt direkt ins Internet sendet. JAP verschlüsselt diese Anfrage und sendet die Daten an den ersten Mix. Dieser leitet die Daten, vermischt mit den Daten anderer Teilnehmer, an den zweiten Mix, dieser an den dritten und von da wird die nun wieder entschlüsselte Anfrage über einen der Cache-Proxies ins Internet gesendet.

Jeder Mix führt kryptographische Operationen auf den Nachrichten aus, so dass die vom JAP verschlüsselten Daten nur dann wieder lesbar werden, wenn sie die richtigen Mixe in der richtigen Reihenfolge durchlaufen haben. Dadurch wird sichergestellt, dass ein Lauscher entweder nur für ihn unlesbare Daten abhören kann, oder er den Sender nicht mehr zuordnen kann. Damit das funktioniert, braucht nur darauf vertraut werden, dass zumindest ein Mix in der Kaskade dem Lauscher nicht verrät, wie er die Nachrichten durcheinandergewürfelt hat. Wie die Verschlüsselung genau funktioniert wird hier erklärt.

Schwächen von JAP

Unser Ziel ist es einen Anonymisierungsdienst zu schaffen, der gegen einen Angreifer nahezu beliebiger Stärke sicher ist. Es soll eigentlich nur zwei Einschränkungen geben:
  1. Ein Mix der Kaskade darf nicht vom Angreifer kontrolliert werden und nicht mit dem Angreifer zusammenarbeiten.
  2. Der Angreifer darf nicht alle Nutzer kontrollieren - ansonsten könnte der Angreifer natürlich einen echten Nutzer, da dieser ja allein ist, beobachten - Alle Webseiten, die der Angreifer nicht selbst aufruft, stammen von dem einen Nutzer.
Ansonsten soll der Angreifer alles dürfen. Er kann alle Leitungen abhören, alle Daten gezielt manipulieren und löschen, ja sogar neue Nachrichten einfügen.

Mögliche Angriffe

Gegen einen so starken Angreifer ist JAP noch nicht sicher. Im folgenden werden zwei theoretische Angriffsmöglichkeiten auf unseren Dienst beschrieben:

Überwacht der Angreifer alle Netzwerkleitungen, müsste jeder Nutzer genau so viele Daten senden und empfangen, wie jeder andere. Ansonsten kann der Lauscher, der sowohl die Leitungen zum Nutzer als auch die Internetanbindung nach dem letzten Mix beobachtet, die Datenmengen korrelieren. Wenn also ein Nutzer mehr sendet als andere, dass ist dieser wahrscheinlich derjenige, der am Ende der Kaskade gerade eine große Datei herunterläd.

Gegen diesen Angriff unternehmen wir im Moment aus mehreren Gründen noch nichts. Die Nutzer haben unterschiedlich schnelle Netzanbindungen und sind zudem zu einem gegebenen Zeitpunkt unterschiedlich aktiv. Wollte man erreichen, dass sich zumindest alle die Nutzer gleichverhalten, die über einen gleichschnellen Zugang zum Internet verfügen, würden die Mixe bei vergleichbarer Dienstqualität ein vielfaches der momentanen Bandbreite benötigen. Zudem würde sich jede Störung bei einem Teilnehmer auf alle anderen auswirken, da ja gewartet werden müsste, bis dieser Teilnehmer die gleiche Menge Daten geschickt hat, wie die anderen.

Ein weiterer theoretisch möglicher Angriff ist folgender: Im Moment könnte ein einzelner Angreifer gegenüber dem Anonymisierungsdienst viele Nutzer simulieren, einfach indem er viele JAP Clientprogramme startet. Damit kann er den übrigen Nutzern zumindest eine höhere Anonymität vortäuschen. Würde er zudem noch alle bis auf einen echten Nutzer blockieren, könnte der Angreifer wieder die Anonymität des einen aufheben.

Um diesen Angriff zu verhindern wäre es nötig, jeden Nutzer bei der Anmeldung zu authentifizieren - beispielsweise per digitaler Signatur. Bei einem kostenpflichtigen Dienst könnte man zumindest erreichen, dass ein solcher Angriff sehr teuer ist.

Momentan sind noch weitere Angriffe möglich, da die geplanten Grundfunktionen noch nicht vollständig implementiert sind. Allerdings müsste für alle uns bekannten Angriffe der Angreifer vergleichbar stark sein.

Gegen eine Lauscher, der das Netz an nur einer Stelle abhören kann bzw. nur einen der Mixe kontrolliert, werden Sie bereits jetzt sicher anonymisiert.

Forschung am JAP

Aus Gründen der Forschung werden gelegentlich und zeitlich eng begrenzt auf der Kaskade Dresden-Dresden die Anzahl der je Nutzer von den Mixen bearbeiteten Datenpakete erhoben. Diese Erhebung erfolgt nicht personen-bezogen. Die Daten werden statistisch verarbeitet, und die einzelnen Datensätze werden anschließend wieder gelöscht.

zurück

 

Download

Stabile Version
00.19.001


Beta-Version
00.19.018


InfoService

Status der verfügbaren AN.ON-Dienste und Informationen über diese.


Aktuell / News

Einschränkungen bei den Dresden (JAP) Anonymiserungsservern
Nach reiflicher Überlegung haben wir uns entschlossen, die Downloadmöglichkeiten über die Dresden (JAP) Mixe etwas zu beschränken, um eine fairere Nutzung der knappen Ressourcen unserer Server für alle Nutzer zu ermöglichen, die einfach "normal" im Web surfen wollen. mehr...

 
---