A Survey on JAP

A Survey on JAP
Andreas Freimuth und Volker Zeihs
TU-Darmstadt www.tu-darmstadt.de
Zusammenfassung. Der frei und unbeschränkte Austausch von Informationen ist eine Grundvoraussetzung für unser gesellschaftliches und
politisches Zusammenleben. Doch leider wird immer wieder versucht diese Freiheit zu beschneiden und somit auch elementare Rechte wie die
Meinung- und Redefreiheit. In dieser Arbeit wird ein Überblick über
drei verschiedene Verfahren gegeben, welche helfen können Anonymität
bei der Kommunikation im WWW 1 herzustellen und somit Zensur und
Netzsperren zu umgehen. Es wird besonders auf das Programm JAP
eingegangen, welches im Verlauf der Arbeit gegenüber Tor und I2P abgegrenzt wird.
Schlüsselwörter: JAP, Tor, I2P, anonym, TU-Darmstadt
1
Einleitung
Der freie Austausch von Informationen wird immer mehr zu einer grundlegenden
Bedingung für unser gesellschaftliches und politisches Handeln. Jedoch wird diese Freiheit von Zensur und Sperren beeinträchtigt. Um dennoch Rechte wie die
Meinungs- und Redefreiheit zu schützen, benötigen wir Mittel und Wege diese
Einschränkungen zu umgehen. Eine solche Möglichkeit bietet das Anonymisieren
vom Datenverkehr im Internet.
Die Wichtigkeit solcher Systeme zeigt 2011 die Hackergruppe Telecomix in Ägypten. Zu Beginn des Arabischen Frühlings umgehen sie mit ähnlichen Systemen die
Netzsperren der Regierung, um der Opposition eine Infrastruktur zur Verfügung
zu stellen, mit Hilfe derer unzensierte Informationen an die Weltöffentlichkeit
gelangen konnten.2 Hier in Europa und Amerika haben die Enthüllungen von
Edward Snowden und anderen gezeigt, dass die Anonymität im Internet auch
für uns eine entscheidende Rolle spielen kann.
Nicht nur die Staaten und ihre Geheimdienste, auch viele Firmen, die ihr Geld
hauptsächlich mit dem Verkauf von Persönlichkeitsprofilen verdienen, haben ein
Interesse an personenbezogenen Daten.
1
2
Mit WWW wird in dieser Arbeit ein weltweit umspannendes Netz, in dem verschiedenen Dienste angeboten werden können, bezeichnet.
Später wurden noch Aktionen in Lybien und Syrien durchgeführt. [Kle11]
2
Andreas Freimuth und Volker Zeihs
Da es echte Anonymität nicht geben kann, ist der Grad der Anonymiserung
immer ein Verhältnis aus Kosten und Nutzen für einen Angreifer. Die Absicht
der Anonymisierungs-Systeme ist es, die Kosten für einen Angreifer bei einem
definierten Angriffszenario möglichst hoch zu gestalten. Um den Aufwand, also
die Kosten eines Angreifers, abschätzen zu können, müssen verschiedenen Angriffszenarien definiert werden, gegen welche das betrachtete System getestet
werden soll.
Technisch gesehen, lässt sich die Zugehörigkeit eines Nutzers zu einem anonymen Netzwerk nicht verbergen. Jedoch lässt sich innerhalb dieser Gruppe verbergen wer mit wem kommuniziert und was der Inhalt dieser Kommunikation
ist. Die meisten Systeme versuchen den Datenverkehr der Personen mit einem
hohen Anonymitätsbedarf zwischen den mit niedrigeren oder gleichen Anonymitätsbedarf zu verstecken. Je größer die Anzahl der Nutzer ist, umso höher
ist der Grad der Anonymisierung. Es ist nicht gleich wahrscheinlich, dass alle
Benutzer eine bestimmte Aktion ausführen und somit kann ein potentieller Angreifer Rückschlüsse ziehen und die Anonymität nimmt ab.
In dieser Arbeit wird ein Überblick über das JAP-System gegeben. Hierfür wird
in Kapitel 2 der Zusammenhang zwischen den zu JAP gehörenden Diensten und
Projekten erläutert.
Im Kapitel 3 wird sich mit den technischen Details von JAP auseinandergesetzt.
Das Kapitel 4 untersucht JAP auf mögliche Schwachstellen und betrachtet diese
näher.
Das Kapitel 5 grenzt JAP von zwei anderen Anonoymiserungs-Diensten ab. Im
ersten Teil wird JAP im Vergleich zu dem I2P-System betrachtet, im zweiten
Teil im Vergleich zu Tor.
Zum Schluss wird in Kapitel 6 ein kurzes Fazit gezogen und ein Ausblick gegeben.
2
Ein Überblick über JAP
JAP soll es ermöglichen verschiedene Dienste im WWW anonym zu nutzen. Das
bedeutet, dass selbst der Anbieter des Dienstes (Server) und auch alle, die in der
Lage sind die Verbindung zwischen dem Server und dem Benutzer abzuhören
(Internet Service Provider – ISP), nicht herausfinden können, welcher Benutzer
auf welche Dienst zugreift. Da es keinen perfekten Aonymisierungs-Dienst gibt,
gilt dies natürlich nur unter bestimmten Voraussetzungen.
Der Java Anon Proxy (JAP) ist das Client-Programm, welcher aus dem Projekt
JAP
3
AN.On hervorging. Dieses Projekt wurde von Technischen Universität Dresden,
der Universität Regensburg und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein entwickelt. Da Java ein Warenzeichen von Sun Microsystems ist, wird im Regelfall nur das Akronym JAP verwendet.
Die Förderung des Projektes lief 2006 aus. Danach gründeten einige ehemalige Projektmitglieder die Firma JonDos GmbH, die das Projekt weiterführt und
es unter der BSD-Lizens weiter entwickelt. Dadurch gibt es einen kostenlosen
und einen kostenpflichtigen Dienst, wobei der kostenfreie Dienst einigen Einschränkungen unterliegt. Die Einschränkungen sind eine maximale Bandbreite
von 50 Kbit/s und eine Beschränkung auf die beiden Protokolle HTTP und
HTTPS. Außerdem werden maximal zwei Zwischenstationen (Mixe) für eine
Verbindung verwendet. Alle diese Einschränkungen gelten für den kostenpflichtigen Dienst nicht.
Die Anonymisierung wird erreicht, indem die Verbindung zwischen dem Nutzer und dem Zielserver über mehrere Zwischenstationen geleitet wird und dort
mit dem Datenverkehr von anderen Nutzen zusammen übertragen wird. JAP
basiert auf dem von David Chaum 1981 in Untraceable Electronic Mail, Re”
turn Adresses, and Digital Pseudonyms“ [Cha81] vorgestellten Mix-Modell. Als
Einsatzgebiet nennt David Chaum das anonyme Versenden von E-Mails, aber
auch anonyme Wahlen könnten von diesem System profitieren. Grundsätzlich ist
das Mixe-Verfahren auf jede Art von Kommunikation anzuwenden. Die Funktionsweise des Mixe-Modell wird in Kapitel 3 näher betrachtet.
JAP ist in Java programmiert und läuft somit auf allen gängigen Betriebssystemen, zusätzlich gibt es eine Android-Version. Ist JAP auf einem System
installiert und gestartet, funktioniert es für den Benutzer wie ein Proxy-Server
und kann somit auch von mehreren Benutzern oder Programmen gleichzeitig
verwendet werden.
3
Funktionsweise von JAP
Wie bereits erwähnt, setzt JAP für die Anonymisierung von Netzwerkverbindungen auf das von David Chaum beschriebene Mix-Modell3 . Dieses Modell erlaubt
es Nutzern innerhalb einer Gruppe, die sogenannte Anonymitätsgruppe, anonym
zu agieren. Das heißt alle Aktionen, die eine Einzelner der Gruppe ausführt, kann
der gesamten Gruppe zugeordnet werden, aber nicht dem Einzelnen in der Gruppe. Die Anonymität hängt also von der Größe der Anonymitätsgruppe ab. Je
größer die Gruppe, desto anonymer ist der Einzelne.
Für die Umsetzung des Mix-Modells setzt JAP vier verschiedene Arten von
Einheiten ein: den JAP-Client, den Information Server, die Mixe und die Cache
3
Siehe [Cha81].
4
Andreas Freimuth und Volker Zeihs
Proxys (siehe Abbildung 1). Die Aufgaben der Einheiten und deren Zusammenwirken wird im Folgenden genauer erläutert.
Abb. 1. JAP-Architektur Quelle: http://anon.inf.tu-dresden.de/develop/doc/
mix_short/JAPArchitecture.gif
3.1
JAP-Client
Der JAP-Client ist eine Java-Anwendung, die dem Benutzer einen lokalen Proxy
bereit stellt. Er bildet quasi das Gateway zum Anonymisierungsdienst. Alle Anfragen über diesen Proxy werden über eine konfigurierbare Kaskade von Mixen4
geleitet und so anonymisiert. Fallen keine Anfragen an, so generiert der JAPClient für Außenstehende nicht zu erkennende Dummy-Daten, um Angreifern
das Ermitteln von aktiven und passiven Nutzern einer Gruppe zu erschweren.
Könnte ein Angreifer einzelne Nutzer als passive ausmachen, könnte er die Anonymitätsgruppe verkleinern. Dies hätte wiederum negative Auswirkungen auf
die Anonymität der anderen Nutzer.
Damit E-Mail-Programme oder Web-Browser ihren Datenverkehr über JAP anonymisieren, müssen diese entsprechend konfiguriert werden. Dazu muss zunächst nur der JAP-Client als Proxy eingestellt werden. Zusätzlich sollten noch
eine Reihe weiterer Einstellungen vorgenommen werden, um sich nicht auf andere
Art identifizierbar zu machen. Zum Beispiel sollten Cookies, Flash und JavaScript deaktiviert werden. Für Firefox wird hier mit JonDoFox ein Browserprofil
angeboten, welches Firefox für anonymes Browsen optimiert.5
4
5
Siehe Abschnitt 3.2.
Vergleiche https://www.anonym-surfen.de/jondofox.html.
JAP
3.2
5
Mixe
Mixe sind die wesentlichen Bestandteile von JAP. Sie sind eine Art Proxy und
werden in festgelegten Reihenfolgen zu sogenannten Mixkaskaden hintereinander geschaltet. Sie transportieren den zu anonymisierenden Datenverkehr über
Kanäle zwischen Client und Server. Dabei ist jedes einzelne Mix Bestandteil
von höchstens einer Kaskade. Um die Vertrauenswürdigkeit zu erhöhen, sollten
Mixe innerhalb einer Kaskade von unterschiedlichen Betreibern stammen. Die
Identität der Betreiber wird dabei von Zertifizierungsstellen geprüft und mittels
Zertifikaten nachgewiesen.
Die Hauptaufgabe eines Mixes ist es, den Zusammenhang von eingehenden und
ausgehenden Datenpaketen zu verschleiern. Somit können Beobachter die übermittelten Pakete nicht von der Quelle bis zum Ziel verfolgen. Dazu ent- bzw.
verschlüsselt ein Mix alle eingehende Datenpakete mit einem zuvor vom JAPClient für jedes Mix individuell festgelegtem Schlüssel, so dass am Ende der
Ziel-Server die Daten in einer für ihn nutzbaren, unverschlüsselten Form erhält.
Der JAP-Client sendet bzw. empfängt die Daten dabei mehrfach verschlüsselt –
der Reihe nach für bzw. von jedem Mix einmal.
Damit die Datenpakete am Ende ihr Ziel erreichen, trägt jedes Paket im Kopf
eine Kanal-ID mit sich. Jeder Mix mappt diese ID auf eine beim Kanalaufbau
zufällig festgelegte zweite ID. Damit ist es für den Beobachter nicht möglich über
die Kanal-ID die Datenpakete zu verfolgen. In Abbildung 2 ist dies veranschaulicht.
Abb. 2. Funktionsprinzip von Mixen Quelle: [Tec]
Durch das Ver- bzw. Entschlüsseln der Daten und die Tatsache, dass alle Daten-
6
Andreas Freimuth und Volker Zeihs
pakete dieselbe fixe Größe haben, lässt sich kein Zusammenhang zwischen einund ausgehenden Paketen herstellen. Bei mindestens einem vertrauenswürdigen
Mix ist die Verfolgung einer Verbindung zwischen Client und Server auf dem
direkten Weg damit ausgeschlossen. Bevor die einzelnen Pakete weitergeleitet
werden, werden sie gepuffert bis genügend Pakete aus genügend vielen Quellen
eingetroffen sind. Dann werden sie in zufälliger Reihenfolge an den nächsten Mix
weitergeleitet.
Um sich vor Replay-Attacken zu schützen, tragen die Pakete einen Zeitstempel
und die Mixe führen mittels Hash-Summen Buch über die zuletzt gesendeten
Pakete.6
3.3
Cache Proxy
Ein Cache Proxy befindet sich am anderen Ende der Mixkaskade und stellt die
Verbindung zur Außenwelt – dem Internet – dar. Er erfüllt in erster Linie die
klassische Funktionalität eines Caches. Er trägt auch zur Anonymität bei indem
er, falls nötig, Dummy-Pakete generiert und in Richtung Client sendet.7
3.4
Information Server
Der Information Server dient dem JAP-Client als Informationsquelle. Er stellt
eine Liste verfügbarer Mixkaskaden und alle notwendigen öffentlichen Schlüssel
der einzelnen Mixe zur Verfügung.
In regelmäßigen Abständen wird er von den Mixen über deren Zustand und die
Auslastung der Kaskaden informiert. Diese Informationen können die Clients bei
ihm abfragen. Dem Nutzer kann damit einen Eindruck davon verschafft werden,
wie anonym er in seiner Gruppe gerade ist bzw. in einer Gruppe wäre.8 Außerdem erhält er Informationen über den möglichen Datendurchsatz und kann so
bei der Auswahl einer Kaskade zwischen verfügbarer Bandbreite und ungefährer
Anonymität abwägen.
3.5
Dummy-Daten im Bazahldienst
Da das Bezahlmodell für den kostenpflichtigen Dienst volumenbasiert ist, stellt
sich die Frage wie in diesem Fall Dummy-Daten behandelt werden. Auf Nachfrage bei der JonDos GmbH, die JAP in Form von JonDo weiterentwickelt und
die Abrechnungsinstanz bildet, wurde uns per E-Mail mitgeteilt, dass DummyDatenpakete von JonDo (JAP) lediglich zum ersten Mix gesendet und dort gleich
verworfen werden. Somit müssen die Pakete nicht mitbezahlt werden. Desweiteren arbeite man zurzeit mit der Technischen Universität Hamburg zusammen
6
7
8
Vergleiche [BFK01].
Vergleiche [BFK01].
Vergleiche [Kö04].
JAP
7
an einer verbesserten Version des Dummy-Traffic, der vom ersten Mix nicht als
solcher erkannt wird und bis zum letzten Mix durchgeleitet wird. Diese Form der
Dummy-Daten würden dann mit abgerechnet werden und ein Benutzer hätte die
Möglichkeit zwischen Kosten und Nutzen abzuwägen und das Versenden solcher
Pakete gegebenen Falls zu aktivieren bzw. zu deaktivieren.
4
Schwachstellen von JAP
Natürlich ist auch JAP nicht frei von Schwachstellen. Im Folgenden gehen wir
auf ein paar davon genauer ein.
4.1
Überwachung der Netzleitungen
Aktuelle Veröffentlichungen zeigen, dass die komplette Überwachung großer Internetleitungen für Geheimdienste heute keine große Hürde mehr darstellt. Ein
Angreifer, der alle ein- und ausgehenden Verbindungen einer oder aller JAPMixkaskaden überwacht, stellt also nicht nur theoretisch sondern auch praktisch
eine potentielle Bedrohung für JAP dar.
Ungeachtet dessen, ob die eingesetzten kryptographischen Methoden sicher sind
und es somit unmöglich machen einzelne Pakete zwischen Client und Server zu
verfolgen, stellt ein solcher Angreifer auch einen tatsächliche Bedrohung für die
Anonymität eines JAP-Nutzers dar.
Insbesondere Nutzer mit wiederkehrendem Verhalten, also z. B. Nutzer, die regelmäßig eine bestimmte Internetseite aufrufen, laufen Gefahr ihre Anonymität
zu verlieren. Der Angreifer kann zu jedem Zeitpunkt die gesamte Anonymitätsgruppe feststellen und auch deren ausgehende Verbindungen sehen. Speichert er
zu jedem Zeitpunkt, zu dem ein bestimmter, noch anonymer Nutzer eine Aktion
ausführt, dessen Anonymitätsgruppe und vergleicht diese miteinander, so kann er
die Zahl der infrage kommenden Nutzer erheblich reduzieren. Mathematisch gesehen, braucht er nur die Schnittmenge aller gespeicherten Anonymitätsgruppen
(-mengen) zu bilden.
Für den Abruf statischer Inhalte kann dem ein Stück weit entgegen gewirkt
werden, indem auf Seite des Clients und/oder am Cache-Proxy möglichst viele
Inhalte möglichst lange aus dem Cache bedient werden und so für den Angreifer keine sichtbare Verbindung zustande kommt. Der Nutzen ist hier allerdings
nur begrenzt, da nicht für ewig alle Anfragen über einen Cache bedient werden
können. Der Angreifer wird also nur mehr Zeit brauchen, um die nötigen Daten
zu sammeln.
Ruft der Nutzer zum Beispiel seine E-Mails ab oder loggt sich in einem Forum ein, ist auch dies nicht mehr möglich.
8
Andreas Freimuth und Volker Zeihs
Ein wirksamer Schutz gegen diese Art des Angriffs ist noch nicht bekannt.9
4.2
Dummy-Nutzer
Neben der Langzeitüberwachung hat der Angreifer eine weitere Möglichkeit:
Dummy-Nutzer. Der Angreifer schleust von ihm kontrollierte Nutzer ein. Somit reduziert sich die Zahl der Nutzer, die für eine Aktion in Frage kommen,
und damit auch die Anonymität der Gruppe.
Durch das auf Mixe gestützte Protokoll sind Nutzer nur innerhalb der Gruppe anonym, die gerade auf der selben Mixkaskade aktiv ist. Werden alle oder ein
Großteil der anderen Nutzer vom Angreifer kontrolliert, so erscheint dem Nutzer
der Grad seiner Anonymität höher als er tatsächlich ist. Im Extremfall, in dem
alle anderen Nutzer vom Angreifer kontrolliert werden, kann der Angreifer dem
Nutzer seinen gesamten Datenverkehr zuordnen.
Als eine Gegenmaßnahme kann man die existierenden kostenpflichtigen Kaskaden sehen. Will hier ein Angreifer viele Nutzer einschleusen, muss er für jeden
Einzelnen bezahlen. Damit ist ein solcher Angriff zumindest kostspielig. Größere
Einrichtungen wie Geheimdienste dürften sich aber auch von den Kosten für ein
paar hundert Dummy-Nutzer nicht abschrecken lassen.
5
Vergleich mit anderen Anonymisierungssystemen
In diesen Kapitel wird JAP von zwei anderen Anonymisierungs-Diensten abgegrenzt. Diese sind zum einen das Tor-Projekt, welches im Kapitel 5.2 näher
betrachtet wird und zum anderen das I2P-Projekt mit dem sich in Kapitel 5.1
auseinander gesetzt wird.
5.1
JAP im Vergleich zu I2P
Invisible Internet Project (I2P) verwendet im Vergleich zu JAP ähnliche Mechanismen, jedoch geht das Projekt noch einen Schritt weiter. I2P ist ein OverlayNetzwerk, welches auf einem TCP/IP-Netzwerk aufsetzt. Um das I2P-Netzwerk
zu etablieren, werden P2P-Verfahren eingesetzt. Die Anonymität in diesem Overlay-Netzwerk wird durch die Verwendung von Mixen erreicht.
Um I2P zu verwenden, muss eine Java-Applikation installiert werden, der sogenannte Router. Dieser baut im Folgenden mehrere Verbindungen zum Senden
und Empfangen mit anderen Routern im Netz auf. Diese Verbindungen werden
Tunnel genannt. Sie sind mit den Mixkskaden von JAP vergleichbar. Diese Tunnel sind jedoch nicht statisch wie bei JAP, sondern werden ständig dynamisch
9
Vergleiche [BFK01].
JAP
9
neu gebildet.
I2P stellt im Gegensatz zu JAP zusätzlich eine Empfänger-Anonymität her, das
bedeutet, dass es mit I2P möglich ist, einen Dienst im I2P-Netzwerk anonym
anzubieten. Zusätzlich werden alle Nachrichten Ende-zu-Ende verschlüsselt, was
bei JAP nicht der Fall ist.
Möchte ein Dienst im I2P-Netzwerk erreichbar sein, veröffentlicht der letzte Router in dem eingehenden Tunnel, dass der Dienst über ihn auf einem bestimmten
Port verfügbar ist. Diese Information wird im gesamten Netz verbreitet und ist
nicht dauerhaft gültig, da sich die Tunnel fortlaufend ändern. Eine Änderung hat
eine Änderung der Adresse, über den der Dienst erreichbar ist, zur Folge. Diese
Änderung hat keine Unterbrechung der Verbindung zur Folge und ist somit für
den Benutzer transparent.
Auf das I2P-System gibt es verschiedene Angriffe, die hier jedoch nicht weiter
betrachtet werden. Für weiterführende Recherchen bietet sich Practical Attacks
”
Against The I2P Network“ [ESKV13] an.
Im Wesentlichen unterscheidet sich I2P und JAP dadurch, dass in I2P ein eigenes Netz für den anonymisierten Datenverkehr verwendet wird. Dies bietet
einige Vorteile wie die Ende-zu-Ende Verschlüsselung der Kommunikation und
eine Empfänger-Anonymität. Ein großer Nachteil gegenüber JAP ist jedoch,
dass grundsätzlich nur Dienste aus dem I2P-Netz verwendet werden können.
Es gibt zwar einige sogenannte Outproxys, diese stellen ein Verbindungsglied
zwischen den I2P und dem WWW dar, aber sie sind nicht offizieller Teil des
I2P-Netzwerkes und können inaktiv, überwacht oder überlastet sein.
5.2
JAP im Vergleich zu TOR
Die Arbeit am Tor-Projekt wurde 2002 an der Universität in Cambridge begonnen und basiert auf der Idee des Onion-Routings. 2012 finanzierte sich das
Projekt zu 60 % aus Zuwendungen der US-Regierung und zu 40 % aus privaten
Spenden.10
Tor kommt als Java Applikation, den sogenannten Onion-Proxy. Das Prinzip
des Onion-Routings, ist dem Anonymiserungsmodell vom JAP sehr ähnlich. Jedoch werden in Tor keine statischen Mixkaskaden wie bei JAP verwendet.
Startet man Tor, lädt dieser beim Verbindungsaufbau eine Liste aller nutzbaren
Tor-Server von einem Directory-Server herunter. Tor findet die Wege über die
Tor-Server per Zufall. Dabei werden drei Tor-Server verwendet, über welche eine
Verbindung aufgebaut wird. Dieser Verbindungsaufbau wird alle paar Minuten
wiederholt.
10
Vergleiche [TP12].
10
Andreas Freimuth und Volker Zeihs
In Tor ist es, im Gegensatz zu JAP, möglich anonym Dienste im Netz anzubieten. Diese Dienste registrieren sich an einem Directory-Server und sind somit
von allen zu finden.
Auf die Anonymität von Tor gibt es verschiedenen Angriffe. Es wird hier nur auf
eine Angriffsmöglichkeit eingegangen. Ist ein Angreifer in der Lage große Teile
des Netzes abzuhören oder einen großen Teil der Onion-Proxys zu betreiben, ist
er in der Lage verschiedenen Korrelationen zwischen den Daten, die zwischen
den Tor-Servern und den Onion-Proxys ausgetauscht werden, zu erkennen. Ein
Beispiel für einen solchen Angriff ist die End-to-End Timing Correlation. Für
weitere Recherchen empfiehlt sich TOR: The Second-Generation Onion Rou”
ter“ [DMS04].
Tor und JAP ermöglichen das Nutzen von Diensten im WWW. Jedoch gibt
es bei JAP einige Einschränkungen, wenn der kostenlose Dienst verwendet wird.
Diese Einschränkungen gibt es bei Tor nicht. Des weiteren bietet Tor im Gegensatz zu JAP die Möglichkeit anonym Dienste im Netz anzubieten.
6
Fazit
Die in dieser Arbeit beschriebenen Verfahren können ausreichend Schutz gegenüber privaten Unternehmen bieten. Doch leider versagen die drei betrachteten Systeme, wenn verschiedene Browser-Erweiterungen eingesetzt werden, wie
zum Beispiel Flash oder JavaScript. Betrachtet man aber die Anonymität gegenüber Staaten und ihren Geheimdiensten ist es, nach den Enthüllungen von
Edward Snowden, eher unwahrscheinlich, dass diese Systeme ausreichend Schutz
und Anonymität bieten.
Die meisten derzeit eingesetzten Anoymiserungsdienste oder Programme haben
einen hohen Preis für den Benutzer. Dieser Preis muss nicht zwingend Geld sein,
auch die Zeit, die man benötigt, um sich im Umgang mit den vielen Programmen
und Verfahren vertraut zu machen, kann man als Kosten der Anonymiserung bezeichnen. Am Beispiel der drei in dieser Arbeit betrachteten Dienste, ist es vor
allem die geringe Bandbreite mit der die Anonymität bezahlt werden muss.
Die Enthüllungen von Edward Snowden haben der Entwicklung von besseren
Anonymisierungs-Verfahren und Programmen einen großen Aufschwung gegeben. Sie zeigen auf, dass die meisten derzeit verwendeten AnonymisierungsSysteme nicht ausreichen, um uns vor Staaten und ihren Geheimdiensten zu
schützen.
Es gibt einige Projekte wie zum Beispiel GNUnet, die genau das erreichen wollen.
Es wird spannend zu sehen wie sich aktuelle Projekte in der Zukunft schlagen
werden, ob sie ausreichend Akzeptanz unter allen Nutzer finden werden und ih-
JAP
11
re Sicherheit ausreicht, um auch gegen einen so starken Gegner wie ein weltweit
operierender Geheimdienst anzukommen.
Literatur
[BFK01] Oliver Berthold, Hannes Federrath, and Stefan Köpsell. Web mixes: A system for anonymous and unobservable internet access. In INTERNATIONAL WORKSHOP ON DESIGNING PRIVACY ENHANCING TECHNOLOGIES: DESIGN ISSUES IN ANONYMITY AND UNOBSERVABILITY,
pages 115–129. Springer-Verlag New York, Inc., 2001.
[Cha81] David Chaum. Untracebale electronic mail, return addresses, and digital
pseudonyms. Februar 1981.
[DMS04] Roger Dingledine, Nick Mathewson, and Paul Syverson.
Tor: The
second-genartion onion router. 2004. https://svn.torproject.org/svn/
projects/design-paper/tor-design.pdf.
[ESKV13] Christoph Egger, Johannes Schlumberger, Christopher Kruegel, and Giovanni Vigna. Practical attacks against the i2p network. Paper, Universität
Erlangen-Nürnberg und University of California, Santa Barbara, Juni 2013.
http://wwwcip.informatik.uni-erlangen.de/~spjsschl/i2p.pdf.
[Kle11]
Torsten Kleinz.
Mit modems und funkgeräten gegen zensur.
Februar
2011.
http://www.zeit.de/digital/internet/2011-02/
aegypten-funk-netzsperre/komplettansicht.
[Kö04]
Stefan Köpsell. Anondienst - design und implementierung. Januar 2004.
http://anon.inf.tu-dresden.de/develop/Dokument.pdf.
[Tec]
Technischer hintergrund von jap.
http://anon.inf.tu-dresden.de/
JAPTechBgPaper.pdf.
[TP12]
TOR-Project. Annual report. 2012. https://www.torproject.org/about/
findoc/2012-TorProject-Annual-Report.pdf.