A Survey on JAP
Transcription
A Survey on JAP
A Survey on JAP Andreas Freimuth und Volker Zeihs TU-Darmstadt www.tu-darmstadt.de Zusammenfassung. Der frei und unbeschränkte Austausch von Informationen ist eine Grundvoraussetzung für unser gesellschaftliches und politisches Zusammenleben. Doch leider wird immer wieder versucht diese Freiheit zu beschneiden und somit auch elementare Rechte wie die Meinung- und Redefreiheit. In dieser Arbeit wird ein Überblick über drei verschiedene Verfahren gegeben, welche helfen können Anonymität bei der Kommunikation im WWW 1 herzustellen und somit Zensur und Netzsperren zu umgehen. Es wird besonders auf das Programm JAP eingegangen, welches im Verlauf der Arbeit gegenüber Tor und I2P abgegrenzt wird. Schlüsselwörter: JAP, Tor, I2P, anonym, TU-Darmstadt 1 Einleitung Der freie Austausch von Informationen wird immer mehr zu einer grundlegenden Bedingung für unser gesellschaftliches und politisches Handeln. Jedoch wird diese Freiheit von Zensur und Sperren beeinträchtigt. Um dennoch Rechte wie die Meinungs- und Redefreiheit zu schützen, benötigen wir Mittel und Wege diese Einschränkungen zu umgehen. Eine solche Möglichkeit bietet das Anonymisieren vom Datenverkehr im Internet. Die Wichtigkeit solcher Systeme zeigt 2011 die Hackergruppe Telecomix in Ägypten. Zu Beginn des Arabischen Frühlings umgehen sie mit ähnlichen Systemen die Netzsperren der Regierung, um der Opposition eine Infrastruktur zur Verfügung zu stellen, mit Hilfe derer unzensierte Informationen an die Weltöffentlichkeit gelangen konnten.2 Hier in Europa und Amerika haben die Enthüllungen von Edward Snowden und anderen gezeigt, dass die Anonymität im Internet auch für uns eine entscheidende Rolle spielen kann. Nicht nur die Staaten und ihre Geheimdienste, auch viele Firmen, die ihr Geld hauptsächlich mit dem Verkauf von Persönlichkeitsprofilen verdienen, haben ein Interesse an personenbezogenen Daten. 1 2 Mit WWW wird in dieser Arbeit ein weltweit umspannendes Netz, in dem verschiedenen Dienste angeboten werden können, bezeichnet. Später wurden noch Aktionen in Lybien und Syrien durchgeführt. [Kle11] 2 Andreas Freimuth und Volker Zeihs Da es echte Anonymität nicht geben kann, ist der Grad der Anonymiserung immer ein Verhältnis aus Kosten und Nutzen für einen Angreifer. Die Absicht der Anonymisierungs-Systeme ist es, die Kosten für einen Angreifer bei einem definierten Angriffszenario möglichst hoch zu gestalten. Um den Aufwand, also die Kosten eines Angreifers, abschätzen zu können, müssen verschiedenen Angriffszenarien definiert werden, gegen welche das betrachtete System getestet werden soll. Technisch gesehen, lässt sich die Zugehörigkeit eines Nutzers zu einem anonymen Netzwerk nicht verbergen. Jedoch lässt sich innerhalb dieser Gruppe verbergen wer mit wem kommuniziert und was der Inhalt dieser Kommunikation ist. Die meisten Systeme versuchen den Datenverkehr der Personen mit einem hohen Anonymitätsbedarf zwischen den mit niedrigeren oder gleichen Anonymitätsbedarf zu verstecken. Je größer die Anzahl der Nutzer ist, umso höher ist der Grad der Anonymisierung. Es ist nicht gleich wahrscheinlich, dass alle Benutzer eine bestimmte Aktion ausführen und somit kann ein potentieller Angreifer Rückschlüsse ziehen und die Anonymität nimmt ab. In dieser Arbeit wird ein Überblick über das JAP-System gegeben. Hierfür wird in Kapitel 2 der Zusammenhang zwischen den zu JAP gehörenden Diensten und Projekten erläutert. Im Kapitel 3 wird sich mit den technischen Details von JAP auseinandergesetzt. Das Kapitel 4 untersucht JAP auf mögliche Schwachstellen und betrachtet diese näher. Das Kapitel 5 grenzt JAP von zwei anderen Anonoymiserungs-Diensten ab. Im ersten Teil wird JAP im Vergleich zu dem I2P-System betrachtet, im zweiten Teil im Vergleich zu Tor. Zum Schluss wird in Kapitel 6 ein kurzes Fazit gezogen und ein Ausblick gegeben. 2 Ein Überblick über JAP JAP soll es ermöglichen verschiedene Dienste im WWW anonym zu nutzen. Das bedeutet, dass selbst der Anbieter des Dienstes (Server) und auch alle, die in der Lage sind die Verbindung zwischen dem Server und dem Benutzer abzuhören (Internet Service Provider – ISP), nicht herausfinden können, welcher Benutzer auf welche Dienst zugreift. Da es keinen perfekten Aonymisierungs-Dienst gibt, gilt dies natürlich nur unter bestimmten Voraussetzungen. Der Java Anon Proxy (JAP) ist das Client-Programm, welcher aus dem Projekt JAP 3 AN.On hervorging. Dieses Projekt wurde von Technischen Universität Dresden, der Universität Regensburg und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein entwickelt. Da Java ein Warenzeichen von Sun Microsystems ist, wird im Regelfall nur das Akronym JAP verwendet. Die Förderung des Projektes lief 2006 aus. Danach gründeten einige ehemalige Projektmitglieder die Firma JonDos GmbH, die das Projekt weiterführt und es unter der BSD-Lizens weiter entwickelt. Dadurch gibt es einen kostenlosen und einen kostenpflichtigen Dienst, wobei der kostenfreie Dienst einigen Einschränkungen unterliegt. Die Einschränkungen sind eine maximale Bandbreite von 50 Kbit/s und eine Beschränkung auf die beiden Protokolle HTTP und HTTPS. Außerdem werden maximal zwei Zwischenstationen (Mixe) für eine Verbindung verwendet. Alle diese Einschränkungen gelten für den kostenpflichtigen Dienst nicht. Die Anonymisierung wird erreicht, indem die Verbindung zwischen dem Nutzer und dem Zielserver über mehrere Zwischenstationen geleitet wird und dort mit dem Datenverkehr von anderen Nutzen zusammen übertragen wird. JAP basiert auf dem von David Chaum 1981 in Untraceable Electronic Mail, Re” turn Adresses, and Digital Pseudonyms“ [Cha81] vorgestellten Mix-Modell. Als Einsatzgebiet nennt David Chaum das anonyme Versenden von E-Mails, aber auch anonyme Wahlen könnten von diesem System profitieren. Grundsätzlich ist das Mixe-Verfahren auf jede Art von Kommunikation anzuwenden. Die Funktionsweise des Mixe-Modell wird in Kapitel 3 näher betrachtet. JAP ist in Java programmiert und läuft somit auf allen gängigen Betriebssystemen, zusätzlich gibt es eine Android-Version. Ist JAP auf einem System installiert und gestartet, funktioniert es für den Benutzer wie ein Proxy-Server und kann somit auch von mehreren Benutzern oder Programmen gleichzeitig verwendet werden. 3 Funktionsweise von JAP Wie bereits erwähnt, setzt JAP für die Anonymisierung von Netzwerkverbindungen auf das von David Chaum beschriebene Mix-Modell3 . Dieses Modell erlaubt es Nutzern innerhalb einer Gruppe, die sogenannte Anonymitätsgruppe, anonym zu agieren. Das heißt alle Aktionen, die eine Einzelner der Gruppe ausführt, kann der gesamten Gruppe zugeordnet werden, aber nicht dem Einzelnen in der Gruppe. Die Anonymität hängt also von der Größe der Anonymitätsgruppe ab. Je größer die Gruppe, desto anonymer ist der Einzelne. Für die Umsetzung des Mix-Modells setzt JAP vier verschiedene Arten von Einheiten ein: den JAP-Client, den Information Server, die Mixe und die Cache 3 Siehe [Cha81]. 4 Andreas Freimuth und Volker Zeihs Proxys (siehe Abbildung 1). Die Aufgaben der Einheiten und deren Zusammenwirken wird im Folgenden genauer erläutert. Abb. 1. JAP-Architektur Quelle: http://anon.inf.tu-dresden.de/develop/doc/ mix_short/JAPArchitecture.gif 3.1 JAP-Client Der JAP-Client ist eine Java-Anwendung, die dem Benutzer einen lokalen Proxy bereit stellt. Er bildet quasi das Gateway zum Anonymisierungsdienst. Alle Anfragen über diesen Proxy werden über eine konfigurierbare Kaskade von Mixen4 geleitet und so anonymisiert. Fallen keine Anfragen an, so generiert der JAPClient für Außenstehende nicht zu erkennende Dummy-Daten, um Angreifern das Ermitteln von aktiven und passiven Nutzern einer Gruppe zu erschweren. Könnte ein Angreifer einzelne Nutzer als passive ausmachen, könnte er die Anonymitätsgruppe verkleinern. Dies hätte wiederum negative Auswirkungen auf die Anonymität der anderen Nutzer. Damit E-Mail-Programme oder Web-Browser ihren Datenverkehr über JAP anonymisieren, müssen diese entsprechend konfiguriert werden. Dazu muss zunächst nur der JAP-Client als Proxy eingestellt werden. Zusätzlich sollten noch eine Reihe weiterer Einstellungen vorgenommen werden, um sich nicht auf andere Art identifizierbar zu machen. Zum Beispiel sollten Cookies, Flash und JavaScript deaktiviert werden. Für Firefox wird hier mit JonDoFox ein Browserprofil angeboten, welches Firefox für anonymes Browsen optimiert.5 4 5 Siehe Abschnitt 3.2. Vergleiche https://www.anonym-surfen.de/jondofox.html. JAP 3.2 5 Mixe Mixe sind die wesentlichen Bestandteile von JAP. Sie sind eine Art Proxy und werden in festgelegten Reihenfolgen zu sogenannten Mixkaskaden hintereinander geschaltet. Sie transportieren den zu anonymisierenden Datenverkehr über Kanäle zwischen Client und Server. Dabei ist jedes einzelne Mix Bestandteil von höchstens einer Kaskade. Um die Vertrauenswürdigkeit zu erhöhen, sollten Mixe innerhalb einer Kaskade von unterschiedlichen Betreibern stammen. Die Identität der Betreiber wird dabei von Zertifizierungsstellen geprüft und mittels Zertifikaten nachgewiesen. Die Hauptaufgabe eines Mixes ist es, den Zusammenhang von eingehenden und ausgehenden Datenpaketen zu verschleiern. Somit können Beobachter die übermittelten Pakete nicht von der Quelle bis zum Ziel verfolgen. Dazu ent- bzw. verschlüsselt ein Mix alle eingehende Datenpakete mit einem zuvor vom JAPClient für jedes Mix individuell festgelegtem Schlüssel, so dass am Ende der Ziel-Server die Daten in einer für ihn nutzbaren, unverschlüsselten Form erhält. Der JAP-Client sendet bzw. empfängt die Daten dabei mehrfach verschlüsselt – der Reihe nach für bzw. von jedem Mix einmal. Damit die Datenpakete am Ende ihr Ziel erreichen, trägt jedes Paket im Kopf eine Kanal-ID mit sich. Jeder Mix mappt diese ID auf eine beim Kanalaufbau zufällig festgelegte zweite ID. Damit ist es für den Beobachter nicht möglich über die Kanal-ID die Datenpakete zu verfolgen. In Abbildung 2 ist dies veranschaulicht. Abb. 2. Funktionsprinzip von Mixen Quelle: [Tec] Durch das Ver- bzw. Entschlüsseln der Daten und die Tatsache, dass alle Daten- 6 Andreas Freimuth und Volker Zeihs pakete dieselbe fixe Größe haben, lässt sich kein Zusammenhang zwischen einund ausgehenden Paketen herstellen. Bei mindestens einem vertrauenswürdigen Mix ist die Verfolgung einer Verbindung zwischen Client und Server auf dem direkten Weg damit ausgeschlossen. Bevor die einzelnen Pakete weitergeleitet werden, werden sie gepuffert bis genügend Pakete aus genügend vielen Quellen eingetroffen sind. Dann werden sie in zufälliger Reihenfolge an den nächsten Mix weitergeleitet. Um sich vor Replay-Attacken zu schützen, tragen die Pakete einen Zeitstempel und die Mixe führen mittels Hash-Summen Buch über die zuletzt gesendeten Pakete.6 3.3 Cache Proxy Ein Cache Proxy befindet sich am anderen Ende der Mixkaskade und stellt die Verbindung zur Außenwelt – dem Internet – dar. Er erfüllt in erster Linie die klassische Funktionalität eines Caches. Er trägt auch zur Anonymität bei indem er, falls nötig, Dummy-Pakete generiert und in Richtung Client sendet.7 3.4 Information Server Der Information Server dient dem JAP-Client als Informationsquelle. Er stellt eine Liste verfügbarer Mixkaskaden und alle notwendigen öffentlichen Schlüssel der einzelnen Mixe zur Verfügung. In regelmäßigen Abständen wird er von den Mixen über deren Zustand und die Auslastung der Kaskaden informiert. Diese Informationen können die Clients bei ihm abfragen. Dem Nutzer kann damit einen Eindruck davon verschafft werden, wie anonym er in seiner Gruppe gerade ist bzw. in einer Gruppe wäre.8 Außerdem erhält er Informationen über den möglichen Datendurchsatz und kann so bei der Auswahl einer Kaskade zwischen verfügbarer Bandbreite und ungefährer Anonymität abwägen. 3.5 Dummy-Daten im Bazahldienst Da das Bezahlmodell für den kostenpflichtigen Dienst volumenbasiert ist, stellt sich die Frage wie in diesem Fall Dummy-Daten behandelt werden. Auf Nachfrage bei der JonDos GmbH, die JAP in Form von JonDo weiterentwickelt und die Abrechnungsinstanz bildet, wurde uns per E-Mail mitgeteilt, dass DummyDatenpakete von JonDo (JAP) lediglich zum ersten Mix gesendet und dort gleich verworfen werden. Somit müssen die Pakete nicht mitbezahlt werden. Desweiteren arbeite man zurzeit mit der Technischen Universität Hamburg zusammen 6 7 8 Vergleiche [BFK01]. Vergleiche [BFK01]. Vergleiche [Kö04]. JAP 7 an einer verbesserten Version des Dummy-Traffic, der vom ersten Mix nicht als solcher erkannt wird und bis zum letzten Mix durchgeleitet wird. Diese Form der Dummy-Daten würden dann mit abgerechnet werden und ein Benutzer hätte die Möglichkeit zwischen Kosten und Nutzen abzuwägen und das Versenden solcher Pakete gegebenen Falls zu aktivieren bzw. zu deaktivieren. 4 Schwachstellen von JAP Natürlich ist auch JAP nicht frei von Schwachstellen. Im Folgenden gehen wir auf ein paar davon genauer ein. 4.1 Überwachung der Netzleitungen Aktuelle Veröffentlichungen zeigen, dass die komplette Überwachung großer Internetleitungen für Geheimdienste heute keine große Hürde mehr darstellt. Ein Angreifer, der alle ein- und ausgehenden Verbindungen einer oder aller JAPMixkaskaden überwacht, stellt also nicht nur theoretisch sondern auch praktisch eine potentielle Bedrohung für JAP dar. Ungeachtet dessen, ob die eingesetzten kryptographischen Methoden sicher sind und es somit unmöglich machen einzelne Pakete zwischen Client und Server zu verfolgen, stellt ein solcher Angreifer auch einen tatsächliche Bedrohung für die Anonymität eines JAP-Nutzers dar. Insbesondere Nutzer mit wiederkehrendem Verhalten, also z. B. Nutzer, die regelmäßig eine bestimmte Internetseite aufrufen, laufen Gefahr ihre Anonymität zu verlieren. Der Angreifer kann zu jedem Zeitpunkt die gesamte Anonymitätsgruppe feststellen und auch deren ausgehende Verbindungen sehen. Speichert er zu jedem Zeitpunkt, zu dem ein bestimmter, noch anonymer Nutzer eine Aktion ausführt, dessen Anonymitätsgruppe und vergleicht diese miteinander, so kann er die Zahl der infrage kommenden Nutzer erheblich reduzieren. Mathematisch gesehen, braucht er nur die Schnittmenge aller gespeicherten Anonymitätsgruppen (-mengen) zu bilden. Für den Abruf statischer Inhalte kann dem ein Stück weit entgegen gewirkt werden, indem auf Seite des Clients und/oder am Cache-Proxy möglichst viele Inhalte möglichst lange aus dem Cache bedient werden und so für den Angreifer keine sichtbare Verbindung zustande kommt. Der Nutzen ist hier allerdings nur begrenzt, da nicht für ewig alle Anfragen über einen Cache bedient werden können. Der Angreifer wird also nur mehr Zeit brauchen, um die nötigen Daten zu sammeln. Ruft der Nutzer zum Beispiel seine E-Mails ab oder loggt sich in einem Forum ein, ist auch dies nicht mehr möglich. 8 Andreas Freimuth und Volker Zeihs Ein wirksamer Schutz gegen diese Art des Angriffs ist noch nicht bekannt.9 4.2 Dummy-Nutzer Neben der Langzeitüberwachung hat der Angreifer eine weitere Möglichkeit: Dummy-Nutzer. Der Angreifer schleust von ihm kontrollierte Nutzer ein. Somit reduziert sich die Zahl der Nutzer, die für eine Aktion in Frage kommen, und damit auch die Anonymität der Gruppe. Durch das auf Mixe gestützte Protokoll sind Nutzer nur innerhalb der Gruppe anonym, die gerade auf der selben Mixkaskade aktiv ist. Werden alle oder ein Großteil der anderen Nutzer vom Angreifer kontrolliert, so erscheint dem Nutzer der Grad seiner Anonymität höher als er tatsächlich ist. Im Extremfall, in dem alle anderen Nutzer vom Angreifer kontrolliert werden, kann der Angreifer dem Nutzer seinen gesamten Datenverkehr zuordnen. Als eine Gegenmaßnahme kann man die existierenden kostenpflichtigen Kaskaden sehen. Will hier ein Angreifer viele Nutzer einschleusen, muss er für jeden Einzelnen bezahlen. Damit ist ein solcher Angriff zumindest kostspielig. Größere Einrichtungen wie Geheimdienste dürften sich aber auch von den Kosten für ein paar hundert Dummy-Nutzer nicht abschrecken lassen. 5 Vergleich mit anderen Anonymisierungssystemen In diesen Kapitel wird JAP von zwei anderen Anonymisierungs-Diensten abgegrenzt. Diese sind zum einen das Tor-Projekt, welches im Kapitel 5.2 näher betrachtet wird und zum anderen das I2P-Projekt mit dem sich in Kapitel 5.1 auseinander gesetzt wird. 5.1 JAP im Vergleich zu I2P Invisible Internet Project (I2P) verwendet im Vergleich zu JAP ähnliche Mechanismen, jedoch geht das Projekt noch einen Schritt weiter. I2P ist ein OverlayNetzwerk, welches auf einem TCP/IP-Netzwerk aufsetzt. Um das I2P-Netzwerk zu etablieren, werden P2P-Verfahren eingesetzt. Die Anonymität in diesem Overlay-Netzwerk wird durch die Verwendung von Mixen erreicht. Um I2P zu verwenden, muss eine Java-Applikation installiert werden, der sogenannte Router. Dieser baut im Folgenden mehrere Verbindungen zum Senden und Empfangen mit anderen Routern im Netz auf. Diese Verbindungen werden Tunnel genannt. Sie sind mit den Mixkskaden von JAP vergleichbar. Diese Tunnel sind jedoch nicht statisch wie bei JAP, sondern werden ständig dynamisch 9 Vergleiche [BFK01]. JAP 9 neu gebildet. I2P stellt im Gegensatz zu JAP zusätzlich eine Empfänger-Anonymität her, das bedeutet, dass es mit I2P möglich ist, einen Dienst im I2P-Netzwerk anonym anzubieten. Zusätzlich werden alle Nachrichten Ende-zu-Ende verschlüsselt, was bei JAP nicht der Fall ist. Möchte ein Dienst im I2P-Netzwerk erreichbar sein, veröffentlicht der letzte Router in dem eingehenden Tunnel, dass der Dienst über ihn auf einem bestimmten Port verfügbar ist. Diese Information wird im gesamten Netz verbreitet und ist nicht dauerhaft gültig, da sich die Tunnel fortlaufend ändern. Eine Änderung hat eine Änderung der Adresse, über den der Dienst erreichbar ist, zur Folge. Diese Änderung hat keine Unterbrechung der Verbindung zur Folge und ist somit für den Benutzer transparent. Auf das I2P-System gibt es verschiedene Angriffe, die hier jedoch nicht weiter betrachtet werden. Für weiterführende Recherchen bietet sich Practical Attacks ” Against The I2P Network“ [ESKV13] an. Im Wesentlichen unterscheidet sich I2P und JAP dadurch, dass in I2P ein eigenes Netz für den anonymisierten Datenverkehr verwendet wird. Dies bietet einige Vorteile wie die Ende-zu-Ende Verschlüsselung der Kommunikation und eine Empfänger-Anonymität. Ein großer Nachteil gegenüber JAP ist jedoch, dass grundsätzlich nur Dienste aus dem I2P-Netz verwendet werden können. Es gibt zwar einige sogenannte Outproxys, diese stellen ein Verbindungsglied zwischen den I2P und dem WWW dar, aber sie sind nicht offizieller Teil des I2P-Netzwerkes und können inaktiv, überwacht oder überlastet sein. 5.2 JAP im Vergleich zu TOR Die Arbeit am Tor-Projekt wurde 2002 an der Universität in Cambridge begonnen und basiert auf der Idee des Onion-Routings. 2012 finanzierte sich das Projekt zu 60 % aus Zuwendungen der US-Regierung und zu 40 % aus privaten Spenden.10 Tor kommt als Java Applikation, den sogenannten Onion-Proxy. Das Prinzip des Onion-Routings, ist dem Anonymiserungsmodell vom JAP sehr ähnlich. Jedoch werden in Tor keine statischen Mixkaskaden wie bei JAP verwendet. Startet man Tor, lädt dieser beim Verbindungsaufbau eine Liste aller nutzbaren Tor-Server von einem Directory-Server herunter. Tor findet die Wege über die Tor-Server per Zufall. Dabei werden drei Tor-Server verwendet, über welche eine Verbindung aufgebaut wird. Dieser Verbindungsaufbau wird alle paar Minuten wiederholt. 10 Vergleiche [TP12]. 10 Andreas Freimuth und Volker Zeihs In Tor ist es, im Gegensatz zu JAP, möglich anonym Dienste im Netz anzubieten. Diese Dienste registrieren sich an einem Directory-Server und sind somit von allen zu finden. Auf die Anonymität von Tor gibt es verschiedenen Angriffe. Es wird hier nur auf eine Angriffsmöglichkeit eingegangen. Ist ein Angreifer in der Lage große Teile des Netzes abzuhören oder einen großen Teil der Onion-Proxys zu betreiben, ist er in der Lage verschiedenen Korrelationen zwischen den Daten, die zwischen den Tor-Servern und den Onion-Proxys ausgetauscht werden, zu erkennen. Ein Beispiel für einen solchen Angriff ist die End-to-End Timing Correlation. Für weitere Recherchen empfiehlt sich TOR: The Second-Generation Onion Rou” ter“ [DMS04]. Tor und JAP ermöglichen das Nutzen von Diensten im WWW. Jedoch gibt es bei JAP einige Einschränkungen, wenn der kostenlose Dienst verwendet wird. Diese Einschränkungen gibt es bei Tor nicht. Des weiteren bietet Tor im Gegensatz zu JAP die Möglichkeit anonym Dienste im Netz anzubieten. 6 Fazit Die in dieser Arbeit beschriebenen Verfahren können ausreichend Schutz gegenüber privaten Unternehmen bieten. Doch leider versagen die drei betrachteten Systeme, wenn verschiedene Browser-Erweiterungen eingesetzt werden, wie zum Beispiel Flash oder JavaScript. Betrachtet man aber die Anonymität gegenüber Staaten und ihren Geheimdiensten ist es, nach den Enthüllungen von Edward Snowden, eher unwahrscheinlich, dass diese Systeme ausreichend Schutz und Anonymität bieten. Die meisten derzeit eingesetzten Anoymiserungsdienste oder Programme haben einen hohen Preis für den Benutzer. Dieser Preis muss nicht zwingend Geld sein, auch die Zeit, die man benötigt, um sich im Umgang mit den vielen Programmen und Verfahren vertraut zu machen, kann man als Kosten der Anonymiserung bezeichnen. Am Beispiel der drei in dieser Arbeit betrachteten Dienste, ist es vor allem die geringe Bandbreite mit der die Anonymität bezahlt werden muss. Die Enthüllungen von Edward Snowden haben der Entwicklung von besseren Anonymisierungs-Verfahren und Programmen einen großen Aufschwung gegeben. Sie zeigen auf, dass die meisten derzeit verwendeten AnonymisierungsSysteme nicht ausreichen, um uns vor Staaten und ihren Geheimdiensten zu schützen. Es gibt einige Projekte wie zum Beispiel GNUnet, die genau das erreichen wollen. Es wird spannend zu sehen wie sich aktuelle Projekte in der Zukunft schlagen werden, ob sie ausreichend Akzeptanz unter allen Nutzer finden werden und ih- JAP 11 re Sicherheit ausreicht, um auch gegen einen so starken Gegner wie ein weltweit operierender Geheimdienst anzukommen. Literatur [BFK01] Oliver Berthold, Hannes Federrath, and Stefan Köpsell. Web mixes: A system for anonymous and unobservable internet access. In INTERNATIONAL WORKSHOP ON DESIGNING PRIVACY ENHANCING TECHNOLOGIES: DESIGN ISSUES IN ANONYMITY AND UNOBSERVABILITY, pages 115–129. Springer-Verlag New York, Inc., 2001. [Cha81] David Chaum. Untracebale electronic mail, return addresses, and digital pseudonyms. Februar 1981. [DMS04] Roger Dingledine, Nick Mathewson, and Paul Syverson. Tor: The second-genartion onion router. 2004. https://svn.torproject.org/svn/ projects/design-paper/tor-design.pdf. [ESKV13] Christoph Egger, Johannes Schlumberger, Christopher Kruegel, and Giovanni Vigna. Practical attacks against the i2p network. Paper, Universität Erlangen-Nürnberg und University of California, Santa Barbara, Juni 2013. http://wwwcip.informatik.uni-erlangen.de/~spjsschl/i2p.pdf. [Kle11] Torsten Kleinz. Mit modems und funkgeräten gegen zensur. Februar 2011. http://www.zeit.de/digital/internet/2011-02/ aegypten-funk-netzsperre/komplettansicht. [Kö04] Stefan Köpsell. Anondienst - design und implementierung. Januar 2004. http://anon.inf.tu-dresden.de/develop/Dokument.pdf. [Tec] Technischer hintergrund von jap. http://anon.inf.tu-dresden.de/ JAPTechBgPaper.pdf. [TP12] TOR-Project. Annual report. 2012. https://www.torproject.org/about/ findoc/2012-TorProject-Annual-Report.pdf.