[ English | German ]

Aktuelle wissenschaftliche Publikationen

Datenschutzfreundliche Strafverfolgung

Vereinfachte Zusammenfassung Alle angemeldeten Nutzer treten unter einem Gruppenpseudonym auf (Schwellwert-Gruppensignaturschema), das mit ihrer IP-Adresse verbunden ist, allerdings so, dass nur alle Mixe gemeinsam diese aufdecken könnten (zur Verschleierung der IP im Gruppenpseudonym werden Blinde Signaturen verwendet, welche der erste Mix ausstellt). Um den Dienst nutzen zu können, müssen sie mithilfe dieses Pseudonyms Signaturen leisten, die der letzte Mix überprüfen kann. Diese Signaturen können einer Nutzer-IP-Adresse zugeordnet werden, wenn eine Strafverfolgungsbehörde für alle Mixe einen gültigen Gerichtsbeschluss zur Überwachung der Zugriffe auf ein oder mehrere URLs vorweist, und der Nutzer auf eine dieser URLs zugegriffen hat, allerdings nur, wenn alle Mixe in der Kette zusammenarbeiten. Und auch dann wird nur eben diese eine IP aufgedeckt, welche nicht einmal die Mixbetreiber selber entschlüsseln können, sondern nur die Strafverfolgungsbehörde (Atomares Schwellwert-Proxy-Wiederverschlüsselungsschema). Die Aufdeckung kann in Echtzeit geschehen oder über früher geloggte Daten.
  • Stefan Köpsell, Rolf Wendolsky, Hannes Federrath:
    Revocable Anonymity.
    In: Günter Müller (Ed.): Proc. Emerging Trends in Information and Communication Security: International Conference, ETRICS 2006, Freiburg, Germany, June 6-9, 2006, LNCS 3995, Springer-Verlag, Heidelberg 2006, 206--220.

Datenschutzfreundliches und mehrseitig sicheres Abrechnungssystem

Vereinfachte Zusammenfassung Nutzer müssen, um bezahlpflichtige Kaskaden nutzen zu können, pseudonyme Konten bei einer verteilt arbeitenden Bezahlinstanz anlegen. Diese Konten können sie mithilfe verschiedener Bezahlverfahren mit Geld aufladen. Dabei sollen Bezahlverfahren aller Art (Paysafe Card, Briefe mit Bargeld, Überweisung, Kreditkarte,...) unterstützt werden und vom Nutzer selbst wählbar sein. Bei Bezahlverfahren, die keine Identifikation erfordern, werden auch keine persönlichen Daten verlangt, ansonsten werden Daten nur so lange wie für die Abrechnung notwendig gespeichert. Sogar die anonyme Verbindung zur Bezahlinstanz ist möglich (z.B. über nicht-bezahlpflichtige Kaskaden). Es werden grundsätzlich zwei Tarife unterstützt, nämlich zeitlich begrenzte und unbegrenzt gültige Volumentarife pro MegaByte (Volumen-Flatrates). Die Volumen-Tarife werden vom Betreiber der Bezahlinstanz angeboten, der die Einzelmixe entsprechend ihren Forderungen pro Datenvolumen auszahlt und das unternehmerische Risiko der Kalkulation für die Tarife trägt. Die Preise pro Mix werden unabhängig von den Betreibern der Mixe festgelegt (und sind jeweils nur zwischen Betreiber und Bezahlinstanz bekannt), müssen aber vom Betreiber der Bezahlinstanz bestätigt werden, um einem Mix die Teilnahme am Bezahlsystem zu gestatten. Die jeweils vorhergehenden Mixe einer Kaskade senden sich Beweise über zu bezahlendes Datenvolumen in Echtzeit, so dass kein Mixbetreiber den anderen um sein Geld betrügen kann. Auch die Nutzer haben keine Möglichkeit die Bezahlinstanz zu schädigen, indem sie möglichst viele Daten über eine Kaskade mit "teuren" Mixen schicken (die der Betreiber der Bezahlinstanz nach angefallenem Datenvolumen bezahlen müsste), da sie nicht mehr Datenvolumen "ausgeben" können als auf ihrem Konto vorhanden ist. Die Preise, die die Bezahlinstanz für die Nutzer festlegt, müssen also so kalkuliert sein, dass möglichst auch bei Nutzung von "teuren" Kaskaden für die BI kein Nettoverlust entsteht. Die Bezahlinstanz (sollte sie nicht anonym kontaktiert werden) und auch die jeweils ersten Mixe, die die Abrechnung während des Surfens vornehmen, könnten die Pseudonymkonten der Nutzer jeweils mit deren IP-Adresse verknüpfen, speichern diese Daten jedoch nicht. Und selbst wenn - die Nutzung desselben Pseudonymkontos über einen längeren Zeitraum entspricht dann der Nutzung des Dienstes über eine festen IP-Adresse (innerhalb dieses Zeitraums), ist also nicht wesentlich weniger anonym als ohne Bezahlung. Im Gegenteil - bestimmte Angriffe, die das Einspeisen vieler Daten ins System voraussetzen, werden nun sehr teuer. Für das Bezahlsystem sollen mehr und vor allem schnellere Server aufgestellt werden, die problemlos 2000 oder mehr Nutzer versorgen können, ohne eine unzumutbare Geschwindigkeit zu bieten. Außerdem soll die maximale Nutzerzahl auf Bezahlkaskaden begrenzt werden, um eine gleichbleibend hohe Performance zu ermöglichen. Vom System getrennte Nutzer können automatisch (transparent) zu anderen Bezahlkaskaden ihrer Wahl wiederverbunden werden.
  • to appear...

Messungen der anonymen Dienstnutzung

Vereinfachte Zusammenfassung Im Laufe von praktischen Untersuchungen wurde festgestellt, dass der Zusammenhang zwischen Latenzzeit im Anonymisierungssystem und der Zahl der am System angemeldeten Nutzer, zumindest auf der Kaskade Dresden-Dresden, linear ist. Diese Erkenntnis kann beim Design von technischen Maßnahmen zur Erhöhung der Anonymität helfen, die eine höhere Latenzzeit erfordern, die erwartete Nutzerzahl aber nicht zu stark verringern sollen. Eine Performancemessung von verschiedenen Anonymisierungsdiensten (Tor, AN.ON) gab Anhaltspunkte dafür, dass es eine gemeinsame Toleranzschwelle der Nutzer bezüglich Latenz gibt (etwa 4 Sekunden), die sich bei zufälliger Verteilung der Nutzer auf die Server eines Dienstes automatisch einstellt. Dies wurde aus dem im Mittel nicht nachweisbaren Latenzunterschied der sehr frequentierten Dresden-Dresden-Kaskade und Tor geschlossen. Untersuchungen der aufgerufenen URLs ergaben, dass zu 33% erotische Inhalte über AN.ON abgerufen werden, zu 26% webbasierte Dienste (inklusive E-Mail), zu 8% Seiten von Körperschaften und ansonsten sehr gemischte Inhalte. Überraschenderweise ließen sich im untersuchten Zeitraum keine URLs von Webshops oder Gesundheitsportalen finden. Die Nutzer, die im betrachteten Zeitraum Inhalte abriefen, kamen zu 60% aus Europa, zu 27% aus Asien und zu 12% aus Amerika, wobei die Herkunft einiger davon durch Verwendung von JAP-Forwarding-Servern nicht erkennbar war. AN.ON ist damit immer noch ein primär innereuropäischer Anonymisierungsdienst. Verknüpfungen von Nutzern und aufgerufenen Seiten wurden für diese Studien nicht hergestellt.
  • to appear...
  • Stefan Köpsell:
    Low Latency Anonymous Communication - How long are users willing to wait?
    In: Günter Müller (Ed.): Proc. Emerging Trends in Information and Communication Security: International Conference, ETRICS 2006, Freiburg, Germany, June 6-9, 2006, LNCS 3995, Springer-Verlag, Heidelberg 2006, 221--237.
  • Hannes Federrath:
    Privacy Enhanced Technologies: Methods, Markets, Misuse.
    Proc. 2nd International Conference on Trust, Privacy, and Security in Digital Business (TrustBus '05). LNCS 3592, Springer-Verlag, Heidelberg 2005, 1--9.

 

Download

Stabile Version
00.20.001


Beta-Version
00.20.010


InfoService

Status der verfügbaren AN.ON-Dienste und Informationen über diese.


Aktuell / News

Einschränkungen bei den Dresden (JAP) Anonymiserungsservern
Nach reiflicher Überlegung haben wir uns entschlossen, die Downloadmöglichkeiten über die Dresden (JAP) Mixe etwas zu beschränken, um eine fairere Nutzung der knappen Ressourcen unserer Server für alle Nutzer zu ermöglichen, die einfach "normal" im Web surfen wollen. mehr...

 
---