Ein Beitrag zur Anonymit¨at in Kommunikationsnetzen Dissertation

zu der Erlangung des akademischen Grades Doktor-Ingenieur des Fachbereiches Elektrotechnik und Informationstechnik der FernUniversit¨ at in Hagen

Vorgelegt von Dipl.-Inform.

Thomas Demuth geboren in Bochum

Hagen 2003

Eingereicht am: Tag der m¨ undlichen Pr¨ ufung: 1. Berichterstatter: 2. Berichterstatter:

27.01.2003 30.04.2003 Prof. Dr.-Ing. Firoz Kaderali Prof. Dr.-Ing. Bernd Kr¨ amer

Berichte aus der Kommunikationstechnik herausgegeben von Prof. Firoz Kaderali

Band 11

Thomas Demuth

Ein Beitrag zur Anonymität in Kommunikationsnetzen

.

Shaker Verlag Aachen 2003

Die Deutsche Bibliothek - CIP-Einheitsaufnahme Demuth, Thomas: Ein Beitrag zur Anonymität in Kommunikationsnetzen / Thomas Demuth. Aachen : Shaker, 2003 (Berichte aus der Kommunikationstechnik herausgegeben von Prof. Firoz Kaderali ; Bd. 11) Zugl.: Hagen, Univ., Diss., 2003 ISBN 3-8322-1650-2

.

Copyright Shaker Verlag 2003 Alle Rechte, auch das des auszugsweisen Nachdruckes, der auszugsweisen oder vollständigen Wiedergabe, der Speicherung in Datenverarbeitungsanlagen und der Übersetzung, vorbehalten. Printed in Germany.

ISBN 3-8322-1650-2 ISSN 1437-7497 Shaker Verlag GmbH • Postfach 101818 • 52018 Aachen Telefon: 02407 / 95 96 - 0 • Telefax: 02407 / 95 96 - 9 Internet: www.shaker.de • eMail: [email protected]

F¨ ur Annette

Danksagung Die vorliegende Dissertation entstand w¨ ahrend der Zeit meines Wirkens als wissenschaftlicher Mitarbeiter am Fachgebiet Kommunikationssysteme des Fachbereiches Elektrotechnik und Informationstechnik der FernUniversit¨ at Hagen. Mein besonderer Dank gilt Herrn Prof. Dr.-Ing. Firoz Kaderali f¨ ur seine Unterst¨ utzung, die Diskussionen und Hinweise bei der Erstellung dieser Arbeit. ¨ Herrn Prof. Dr.-Ing. Bernd Kr¨ amer danke ich f¨ ur das Interesse an der Arbeit und die Ubernahme des Korreferates. Ich danke Herrn Prof. Dr. rer. nat. Werner Pogunkte, der stets ein offenes Ohr f¨ ur meine Forschungst¨ atigkeiten hatte und mich durch seine Hinweise unterst¨ utzt hat. Den jetzigen und ehemaligen Mitarbeitern des Lehrstuhles danke ich sowohl f¨ ur die wertvollen Hinweise und Anregungen zu inhaltlichen Aspekten, die zu dem Gelingen dieser Arbeit beigetragen haben, als auch f¨ ur ihre Bereitschaft, meine Arbeit korrekturzulesen und f¨ ur die ¨ außerst angenehme Arbeitsatmosph¨ are. Ich habe in den vergangenen Jahren stets sehr gerne mit ihnen zusammengearbeitet. Schließlich gilt mein Dank meiner Annette f¨ ur ihre R¨ ucksichtnahme w¨ ahrend der Erstellung dieser Dissertation.

Hagen im Mai 2003

Homo ductus in se semper divitias habet. Ein Gelehrter tr¨agt seinen Reichtum immer in sich. Phaedrus, Fabulae (4,23,1)

Kurzfassung Anonymit¨ at stellt neben der Etablierung und Wahrung von Vertraulichkeit, Integrit¨ at, Authentizit¨ at und Verbindlichkeit das j¨ ungste Schutzziel der Informationssicherheit dar. Die Bedeutung der Anonymit¨ at nimmt zu, da sie f¨ ur die Teilnehmer in Kommunikationsnetzen gleichbedeutend mit dem Schutz ihrer Privatsph¨ are ist, einem Gut, dessen Schutzbedarf der Gesetzgeber in diversen Abschnitten des Teledienstedatenschutzgesetzes (TDDSG) anerkennt. In dieser Arbeit wird die Thematik der Anonymit¨ at in Kommunikationsnetzen behandelt. Aufgrund des geringen Alters dieses Forschungsbereiches sind Begriffe oft nicht eindeutig definiert gewesen. Diese Defizite werden durch die Einf¨ uhrung eines neuen Referenzmodelles und der Definitionen der notwendigen Begriffe innerhalb dieses Modelles eliminiert. Die existierenden Verfahren f¨ ur Anonymit¨ at werden im Detail behandelt und insbesondere ihre Schw¨ achen aufgezeigt. Untersuchungen der Anonymit¨ at dynamisch vergebener IP-Adressen und ein innovatives Verfahren f¨ ur die Identifizierung von Teilnehmern stellen einen Teil dieser Arbeit dar. Die Ergebnisse dienen der erstmaligen Best¨ atigung der Annahme, daß Teilnehmer von Kommunikationsnetzen auch dann identifizierbar und verfolgbar sind, wenn sie bzw. der von ihnen verwendete Rechner u ugen. Weiterhin motivieren diese Untersuchun¨ber eine dynamisch vergebene IP-Adresse verf¨ gen aber auch die generelle Benutzung existierender Anonymit¨ atsdienste. Das Verfahren arbeitet mit Methoden des Information Retrieval und erlaubt die a priori-Absch¨ atzung des Erfolges einer Suche nach einem Teilnehmer. Die Besonderheit der Vorgehensweise liegt in der Tatsache, daß das Verfahren auf Datenbest¨ anden arbeitet, die durch jeden konventionellen Web-Server erzeugt werden k¨ onnen. Somit ist keine aktive Verbindung notwendig, die Identifizierung kann zu jedem beliebigen Zeitpunkt stattfinden. Das Verfahren basiert auf den in dieser Arbeit pr¨ asentierten Untersuchungen des Zusammenhanges der Daten, die durch einen Web-Browser bei dem Zugriff auf Web-Seiten erzeugt werden, und dem Grad der Identifizierbarkeit und damit auch der Anonymit¨ at des korrespondierenden Rechners bzw. dessen Benutzers. Ein weiterer Teil der Arbeit pr¨ asentiert eine Architektur, mit deren Hilfe erstmalig die multilateral anonyme, bidirektionale und vertrauliche Kommunikation m¨ oglich wird. Alle bisher bekannten Verfahren und Projekte weisen in dieser Hinsicht ein elementares Manko auf, multilaterale Kommunikation war nur unter Verzicht auf andere Sicherheitsmerkmale m¨ oglich. Diese neue Architektur wird anhand ihrer Topologie und des Protokolles, das die Teilnehmer verwenden, beschrieben. Da sie generell unabh¨ angig von dem verwendeten Anwendungsprotokoll arbeitet, k¨ onnen existierende Verfahren einfach daran angepaßt oder erweitert werden. Die Architektur basiert auf dem Prinzip der Mix-Netze, dem nach dem heutigen Forschungsstand am besten untersuchten Basisverfahren f¨ ur anonyme Kommunikation. In einem ersten Teil wird die neue Architektur im Detail beschrieben. Es werden die Funktionen der beteiligten Instanzen dargestellt und die Schritte der Kommunikation zwischen ihnen detailliert behandelt; wesentlich ist bei der Kommunikation der Einsatz einer pseudonymbasierten Signatur. Abschließend erfolgt eine Analyse der Sicherheit des gesamten Systemes. Die neuentwickelte Basisarchitektur besitzt den Nachteil, daß das Wissen, mit dem die Aufhebung der Anonymit¨ at eines Teilnehmers m¨ oglich ist, bei einer einzelnen Instanz liegt. In einem zweiten Teil wird darum durch Einsatz eines geheimnisaufteilenden Verfahrens, homomorpher Verschl¨ usselung und einer Modifizierung des Protokolles die Sicherheit der Architektur optimiert.

7

8

Inhaltsverzeichnis

¨ 1 Einf¨ uhrung und Ubersicht

15

2 Sicherheit in Kommunikationsnetzen 2.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2 Sicherheitsproblematik . . . . . . . . . . . . . . . . . . . . 2.3 Schutzaspekte . . . . . . . . . . . . . . . . . . . . . . . . . 2.3.1 Sicherheit und die Klassifizierung von Schutzzielen 2.3.2 Mehrseitige Sicherheit . . . . . . . . . . . . . . . . 2.4 Formale Sicherheit . . . . . . . . . . . . . . . . . . . . . . 2.4.1 Informationstheoretische Sicherheit . . . . . . . . . 2.4.2 Komplexit¨ atstheoretische Sicherheit . . . . . . . . 2.5 Kryptologische Primitive . . . . . . . . . . . . . . . . . . . 2.5.1 Symmetrische Verfahren . . . . . . . . . . . . . . . 2.5.2 Asymmetrische Verfahren . . . . . . . . . . . . . . 2.6 Allgemeines Angreifermodell . . . . . . . . . . . . . . . . . 2.6.1 Angriffsmodus . . . . . . . . . . . . . . . . . . . . 2.6.2 Lokalisierung . . . . . . . . . . . . . . . . . . . . . 2.7 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

21 22 22 23 23 24 25 25 26 27 28 29 31 31 32 33

3 Anonymit¨ at in Kommunikationsnetzen 3.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2 Ein Referenzmodell f¨ ur Anonymit¨ at . . . . . . . . . . . . 3.2.1 Beschreibung des Referenzmodelles . . . . . . . . . 3.3 Anonymit¨ at und Unbeobachtbarkeit . . . . . . . . . . . . 3.3.1 Anonymit¨ at bei unidirektionaler Kommunikation . 3.3.2 Anonymit¨ at bei bidirektionaler Kommunikation . . 3.3.3 Unbeobachtbarkeit und multilaterale Anonymit¨ at . 3.4 Verfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4.1 Proxies . . . . . . . . . . . . . . . . . . . . . . . . 3.4.2 Nachrichtenverteilung (Broadcasting) und implizite ¨ 3.4.3 Uberlagerndes Senden (DC-Netz) . . . . . . . . . . 3.4.4 Mix-Netze . . . . . . . . . . . . . . . . . . . . . . . 3.5 Anonymit¨ at und Privatsph¨ are . . . . . . . . . . . . . . . . 3.6 Mißbrauch von Anonymit¨ atsdiensten . . . . . . . . . . . . 3.7 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Adressierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

35 36 36 36 40 41 43 45 46 46 47 48 50 51 52 52

4 Mix-Netze 4.1 Einleitung . . . . . . . . . . . . . . 4.2 Das Mix-Prinzip . . . . . . . . . . 4.2.1 Schutzziele . . . . . . . . . 4.2.2 Topologie eines Mix-Netzes

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

53 54 54 56 57

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . . . . . . . . . . . . .

. . . .

. . . . . . . . . . . . . . .

. . . .

. . . . . . . . . . . . . . .

. . . .

. . . . . . . . . . . . . . .

. . . .

. . . . . . . . . . . . . . .

. . . .

. . . . . . . . . . . . . . .

. . . .

. . . .

9

Inhaltsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . .

60 61 61 63 64 66 66 67 67 68 68 69 69 69 71 71 72 75 76 78 78 81 82 84 84 86 88

5 Anonymit¨ at dynamischer IP-Adressen 5.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.1.1 Aufbau des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.2 Technischer Hintergrund . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.3 Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.3.1 Dynamische IP-Adreßvergabe per Dynamic Host Configuration Protocol 5.3.2 Grundlagen des Information Retrieval . . . . . . . . . . . . . . . . . . . 5.4 Existierende Angriffe auf die Privatsph¨ are . . . . . . . . . . . . . . . . . . . . . 5.4.1 Aktive Angriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.4.2 Passive Angriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.5 Pr¨ azisierung der Problemstellung . . . . . . . . . . . . . . . . . . . . . . . . . . 5.6 Adaption auf die Problemstellung . . . . . . . . . . . . . . . . . . . . . . . . . . 5.6.1 Terminologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.6.2 Adaption der bekannten Begriffe und Verfahren . . . . . . . . . . . . . . 5.7 Identifizierung sensitiver HTTP-Felder . . . . . . . . . . . . . . . . . . . . . . . 5.8 Varianzenklassen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.8.1 Browser-Varianz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.8.2 Zeitliche Varianz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.9 Analyse der ZDS/Datenbasis . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.9.1 Datenbasis/ZDS-Kollektion . . . . . . . . . . . . . . . . . . . . . . . . . 5.9.2 Gewichtsverteilung der Terme . . . . . . . . . . . . . . . . . . . . . . . . 5.10 Potentielle Aktivit¨ atszeitr¨ aume . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . .

89 90 90 91 92 92 93 98 98 99 100 101 101 102 108 110 111 113 115 115 116 119

4.3

4.4

4.5 4.6

4.7

10

4.2.3 Praktische und informationstheoretische Mixe . . . . . . . . . . . . Anonymit¨ atsarten und Nachrichtenaufbau . . . . . . . . . . . . . . . . . . 4.3.1 Senderanonymit¨ at . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3.2 Empf¨ angeranonymit¨ at (anonyme bzw. unverfolgbare R¨ uckadresse) 4.3.3 Kombination beider Anonymit¨ atsarten . . . . . . . . . . . . . . . . Funktionen einer Mix-Instanz . . . . . . . . . . . . . . . . . . . . . . . . . 4.4.1 Indeterministische Nachrichtenverschl¨ usselung . . . . . . . . . . . . 4.4.2 L¨ angengetreue Verschl¨ usselung (Padding) . . . . . . . . . . . . . . 4.4.3 Umsortierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.4.4 Weiterleitung der Nachrichten . . . . . . . . . . . . . . . . . . . . . 4.4.5 Erzeugung von Scheinnachrichten . . . . . . . . . . . . . . . . . . . 4.4.6 Vermeidung von Wiederholungsangriffen (Replay-Angriffe) . . . . 4.4.7 Vermeidung von n-1-Angriffen (Fluten) . . . . . . . . . . . . . . . Vergleich der Verfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anwendungen des Mix-Prinzipes . . . . . . . . . . . . . . . . . . . . . . . 4.6.1 anon.penet.fi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.6.2 Cypherpunk Remailer . . . . . . . . . . . . . . . . . . . . . . . . . 4.6.3 MixMaster und Babel-Mixe . . . . . . . . . . . . . . . . . . . . . . 4.6.4 Anonymizer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.6.5 TAZ Servers and the Rewebber Network . . . . . . . . . . . . . . . 4.6.6 JANUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.6.7 Crowds . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.6.8 Onion Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.6.9 Freedom Network . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.6.10 Web-Mixe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ¨ 4.6.11 Tabellarische Ubersicht der Systeme und Fazit . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . .

Inhaltsverzeichnis

5.11

5.12

5.13

5.14

5.15 5.16

5.10.1 Potentielle Aktivit¨ atszeitr¨ aume von Instanzen . . . . 5.10.2 Grad der Anonymit¨ at von Instanzen . . . . . . . . . 5.10.3 Arbeitsparameter . . . . . . . . . . . . . . . . . . . . 5.10.4 Aufwand der kaskadierten Verfolgung von Instanzen 5.10.5 Definition des Zieles eines Angreifers . . . . . . . . . Algorithmus und Implementierung . . . . . . . . . . . . . . 5.11.1 Pr¨ aliminarien . . . . . . . . . . . . . . . . . . . . . . 5.11.2 Textanalyse . . . . . . . . . . . . . . . . . . . . . . . 5.11.3 Repr¨ asentantenbildung . . . . . . . . . . . . . . . . . 5.11.4 Recherche . . . . . . . . . . . . . . . . . . . . . . . . 5.11.5 Implementierung des Verfahrens . . . . . . . . . . . 5.11.6 Beispielausgaben der Implementierung . . . . . . . . 5.11.7 Vergleich der Ausgaben zweier Testl¨ aufe . . . . . . . Qualit¨ at der Recherche und der Pr¨ adiktion . . . . . . . . . 5.12.1 Vorgehensweise . . . . . . . . . . . . . . . . . . . . . 5.12.2 Qualit¨ at des Verfahrens . . . . . . . . . . . . . . . . 5.12.3 a priori-Zusicherung . . . . . . . . . . . . . . . . . . 5.12.4 Leistungsf¨ ahigkeit des Verfahrens . . . . . . . . . . . Gegenmaßnahmen und deren Effizienz . . . . . . . . . . . . 5.13.1 Firewalls als implizite Anonymisierer . . . . . . . . . 5.13.2 Explizite Maßnahmen . . . . . . . . . . . . . . . . . 5.13.3 Anonymit¨ ats-Proxies . . . . . . . . . . . . . . . . . . Instanzendetektion bei Anonymit¨ ats-Proxies . . . . . . . . . 5.14.1 Szenarium . . . . . . . . . . . . . . . . . . . . . . . . 5.14.2 Verifizierung der Annahmen . . . . . . . . . . . . . . 5.14.3 Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . Alternativer Anwendungsfall . . . . . . . . . . . . . . . . . 5.15.1 Strafverfolgung . . . . . . . . . . . . . . . . . . . . . Zusammenfassung und Ausblick . . . . . . . . . . . . . . . . 5.16.1 Zusammenfassung . . . . . . . . . . . . . . . . . . . 5.16.2 Ausblick . . . . . . . . . . . . . . . . . . . . . . . . .

6 Multilateral anonyme Kommunikation 6.1 Einleitung . . . . . . . . . . . . . . . . . . . . 6.1.1 Motivation . . . . . . . . . . . . . . . 6.1.2 Aufbau des Kapitels . . . . . . . . . . 6.2 Grundlagen . . . . . . . . . . . . . . . . . . . 6.2.1 Vertrauensw¨ urdige dritte Instanzen . . 6.2.2 Identit¨ atsbasierte Signatursysteme . . 6.3 Problemstellung . . . . . . . . . . . . . . . . . 6.4 Adaption der identit¨ atsbasierten Signatur . . 6.4.1 Wahl der Expansionsfunktion . . . . . 6.4.2 Wahl der Funktion f . . . . . . . . . . 6.4.3 Wahl der Gr¨ oße des Modulus n, des Pseudonyml¨ ange . . . . . . . . . . . . 6.4.4 Handhabung des Parameters r . . . . 6.4.5 Nachrichtenl¨ ange . . . . . . . . . . . . 6.4.6 Meßergebnisse . . . . . . . . . . . . . 6.5 Formalismen und Architektur . . . . . . . . . 6.5.1 Notationen/Formalismen . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . offentlichen ¨ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Schl¨ ussels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . e und . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . der . . . . . . . . . . . . . . . . . .

120 121 124 126 127 127 128 128 128 128 129 130 131 134 134 135 137 145 146 146 148 149 149 149 150 151 151 151 153 153 153 155 156 156 157 157 157 160 165 166 166 167 167 168 168 169 172 172

11

Inhaltsverzeichnis 6.5.2 Architektur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kommunikationspartner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.6.1 Schl¨ usselerzeugungsinstanz SEI . . . . . . . . . . . . . . . . . . . . . . . . 6.6.2 Adreßgenerator AG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.7 Kommunikationsphasen im Detail . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.7.1 Server ↔ SEI: Schl¨ usselgenerierung . . . . . . . . . . . . . . . . . . . . . . 6.7.2 Server → AG: Registrierung Pseudonym-Klartextadresse-Schl¨ ussel-Tupel 6.7.3 Server → Welt: Anonyme Publizierung der Kommunikationsbasis . . . . . 6.7.4 Client ↔ AG: Anfrage und Generierung einer anonymen R¨ uckadresse . . 6.7.5 Client ↔ Server: Kontaktaufnahme . . . . . . . . . . . . . . . . . . . . . . 6.7.6 Client ↔ Server: Fortlaufende Kommunikation . . . . . . . . . . . . . . . 6.8 Analyse der Systemsicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.8.1 Statische Analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.8.2 Dynamische Analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.8.3 Kompromittierte Instanzen, Korruptheit von Instanzen und Kollaboration zwischen Instanzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.8.4 Res¨ umee . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.9 Integration in die WWW-Infrastruktur . . . . . . . . . . . . . . . . . . . . . . . . 6.9.1 Client-Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.9.2 Server-Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.10 Zusammenfassung und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.10.1 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.10.2 Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.6

176 178 178 178 179 179 181 181 182 184 186 186 187 187 188 189 189 191 192 192 192 192

7 Multipler Adreßgenerator 193 7.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 7.2 Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 7.2.1 Secret Sharing- und Secret Splitting-Schemata . . . . . . . . . . . . . . . 194 7.2.2 Homomorphe Verschl¨ usselung . . . . . . . . . . . . . . . . . . . . . . . . . 197 7.3 Erweiterung der Architektur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 7.3.1 Server → AG: Aufteilung der Server-Adresse und Registrierung der Pseudonym-Teilklartextadresse-Schl¨ ussel-Tupel . . . . . . . . . . . . . . . 201 7.3.2 Client ↔ AG-Gruppe: Anfrage und Generierung einer anonymen Teilr¨ uckadresse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 7.3.3 Client ↔ Server: Rekonstruktion der Teilgeheimnisse und Kontaktaufnahme203 7.3.4 Anonyme Adressen und homomorphe Verschl¨ usselung . . . . . . . . . . . 203 7.4 Aufteilung der Klartextadressen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 7.4.1 Modifikation des Secret Splitting . . . . . . . . . . . . . . . . . . . . . . . 204 7.5 Synchronisiertes Aufpr¨ agen der Wegpr¨ afixe . . . . . . . . . . . . . . . . . . . . . 204 7.6 Modifikation der Adreßstruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 7.6.1 Unterteilung der anonymen R¨ uckadresse . . . . . . . . . . . . . . . . . . . 206 7.6.2 Einsatz multiplikativer Blendung . . . . . . . . . . . . . . . . . . . . . . . 207 7.7 Rekonstruktion der Teilgeheimnisse . . . . . . . . . . . . . . . . . . . . . . . . . . 207 7.7.1 Rekonstruktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 7.7.2 Anwendung der anonymen R¨ uckadresse . . . . . . . . . . . . . . . . . . . 208 7.8 Secret Splitting mit Klassen von Adreßgeneratoren . . . . . . . . . . . . . . . . . 209 7.9 AG-Organisation/initiale Kontaktaufnahme . . . . . . . . . . . . . . . . . . . . . 210 7.9.1 Organisation der Adreßgeneratoren . . . . . . . . . . . . . . . . . . . . . . 211 7.9.2 Initiale Kontaktaufnahme der Server . . . . . . . . . . . . . . . . . . . . . 212 7.10 Sicherheitsanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212

12

Inhaltsverzeichnis 7.10.1 Statische und dynamische Sicherheit 7.10.2 Ausfallsicherheit des Systemes . . . 7.11 Zusammenfassung und Ausblick . . . . . . . 7.11.1 Zusammenfassung . . . . . . . . . . 7.11.2 Ausblick . . . . . . . . . . . . . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

212 213 216 216 217

8 Zusammenfassung

219

A Variationen von Zugriffsdatens¨ atzen

223

B Recherchealgorithmus

227

Abk¨ urzungsverzeichnis

233

Abbildungsverzeichnis

235

Tabellenverzeichnis

239

Literaturverzeichnis

241

Index

253

13