Home Download Screenshots Anonymitätstest Kontakt / Forum Hilfe & FAQ Impressum Unterstütze AN.ON! Bezahldienst Strafverfolgung Missbrauch Umfrage Hilfe (englisch) MixConfig Tool Selbstverpflichtung Dokumentation Neue Publikationen Presse Entwicklungspläne Fehlerdatenbank Quellcode Programme |
Architektur des AnonymisierungsdienstesIn folgender Abbildung wird der der Aufbau des Anonymisierungsdienstes JAP schematisch dargestellt. Er besteht aus den Kompontenten:
FunktionsweiseWenn Sie das Clientprogramm JAP starten, stellt JAP als erstes eine Verbindung zum InfoService her, um zu überprüfen, ob seine Programmversion noch aktuell ist. Ist die Version nicht mehr kompatibel zu den der Software der Mixe, wird dem Nutzer ein automatisches Update angeboten, da der Dienst ansonsten nicht mehr genutzt werden könnte.Im nächsten Schritt meldet sich JAP bei dem ersten Mix der ausgewählten Mixkaskade an. Bis zur Abmeldung besteht nun eine permanente Netzwerkverbindung zwischen JAP und ersten Mix. Bei der Installation hat der Nutzer seinen Webbrowser bereits so umkonfiguriert, dass er jede Anfrage an JAP statt direkt ins Internet sendet. JAP verschlüsselt diese Anfrage und sendet die Daten an den ersten Mix. Dieser leitet die Daten, vermischt mit den Daten anderer Teilnehmer, an den zweiten Mix, dieser an den dritten und von da wird die nun wieder entschlüsselte Anfrage über einen der Cache-Proxies ins Internet gesendet. Jeder Mix führt kryptographische Operationen auf den Nachrichten aus, so dass die vom JAP verschlüsselten Daten nur dann wieder lesbar werden, wenn sie die richtigen Mixe in der richtigen Reihenfolge durchlaufen haben. Dadurch wird sichergestellt, dass ein Lauscher entweder nur für ihn unlesbare Daten abhören kann, oder er den Sender nicht mehr zuordnen kann. Damit das funktioniert, braucht nur darauf vertraut werden, dass zumindest ein Mix in der Kaskade dem Lauscher nicht verrät, wie er die Nachrichten durcheinandergewürfelt hat. Wie die Verschlüsselung genau funktioniert wird hier erklärt. Schwächen von JAPUnser Ziel ist es einen Anonymisierungsdienst zu schaffen, der gegen einen Angreifer nahezu beliebiger Stärke sicher ist. Es soll eigentlich nur zwei Einschränkungen geben:
Mögliche AngriffeGegen einen so starken Angreifer ist JAP noch nicht sicher. Im folgenden werden zwei theoretische Angriffsmöglichkeiten auf unseren Dienst beschrieben:Überwacht der Angreifer alle Netzwerkleitungen, müsste jeder Nutzer genau so viele Daten senden und empfangen, wie jeder andere. Ansonsten kann der Lauscher, der sowohl die Leitungen zum Nutzer als auch die Internetanbindung nach dem letzten Mix beobachtet, die Datenmengen korrelieren. Wenn also ein Nutzer mehr sendet als andere, dass ist dieser wahrscheinlich derjenige, der am Ende der Kaskade gerade eine große Datei herunterläd. Gegen diesen Angriff unternehmen wir im Moment aus mehreren Gründen noch nichts. Die Nutzer haben unterschiedlich schnelle Netzanbindungen und sind zudem zu einem gegebenen Zeitpunkt unterschiedlich aktiv. Wollte man erreichen, dass sich zumindest alle die Nutzer gleichverhalten, die über einen gleichschnellen Zugang zum Internet verfügen, würden die Mixe bei vergleichbarer Dienstqualität ein vielfaches der momentanen Bandbreite benötigen. Zudem würde sich jede Störung bei einem Teilnehmer auf alle anderen auswirken, da ja gewartet werden müsste, bis dieser Teilnehmer die gleiche Menge Daten geschickt hat, wie die anderen. Ein weiterer theoretisch möglicher Angriff ist folgender: Im Moment könnte ein einzelner Angreifer gegenüber dem Anonymisierungsdienst viele Nutzer simulieren, einfach indem er viele JAP Clientprogramme startet. Damit kann er den übrigen Nutzern zumindest eine höhere Anonymität vortäuschen. Würde er zudem noch alle bis auf einen echten Nutzer blockieren, könnte der Angreifer wieder die Anonymität des einen aufheben. Um diesen Angriff zu verhindern wäre es nötig, jeden Nutzer bei der Anmeldung zu authentifizieren - beispielsweise per digitaler Signatur. Bei einem kostenpflichtigen Dienst könnte man zumindest erreichen, dass ein solcher Angriff sehr teuer ist. Momentan sind noch weitere Angriffe möglich, da die geplanten Grundfunktionen noch nicht vollständig implementiert sind. Allerdings müsste für alle uns bekannten Angriffe der Angreifer vergleichbar stark sein. Gegen eine Lauscher, der das Netz an nur einer Stelle abhören kann bzw. nur einen der Mixe kontrolliert, werden Sie bereits jetzt sicher anonymisiert. Forschung am JAPAus Gründen der Forschung werden gelegentlich und zeitlich eng begrenzt auf der Kaskade Dresden-Dresden die Anzahl der je Nutzer von den Mixen bearbeiteten Datenpakete erhoben. Diese Erhebung erfolgt nicht personen-bezogen. Die Daten werden statistisch verarbeitet, und die einzelnen Datensätze werden anschließend wieder gelöscht. |
|
||||||||||
Top |
© 2000-2011 JAP Team |
|||||||||||