Grundlagen kooperativer Anonymisierungsnetze

Jens Oberender
myPHD, Doktoranden-Workshop
Institut für IT-Sicherheit und Sicherheitrecht, Universität Passau, 2009

Unverkettbare Nachrichten sind ein Grundbaustein anonymer Kommunikation. Anonymisierungsnetze schützen mittels Unverkettbarkeit, wer mit wem kommuniziert sowie die Identität der Beteiligten einer Kommunikationsbeziehung. Anonymisierungsnetze benötigen Kooperation, da die Anonymität durch Ressourcen anderer Teilnehmer geschützt wird. Wenn die Kosten und der Nutzen eines Anonymisierungsnetzes transparent sind, ergeben sich Zielkonflikte zwischen rationalen Teilnehmern. Es wird daher untersucht, inwiefern daraus resultierendes egoistisches Verhalten die Widerstandsfähigkeit dieser Netze beeinträchtigt. Störungen werden in einem spieltheoretischen Modell untersucht, um wi-derstandsfähige Konfigurationen von Anonymisierungsnetzen zu ermitteln.

Eine weitere Störquelle sind Überflutungsangriffe mittels unverkettbarer Nachrichten. Es soll sowohl die Verfügbarkeit als auch die Anonymität geschützt werden. Dazu wird Unverkettbarkeit für Nachrichten aufrecht erhalten, außer wenn die Senderate eines Nachrichtenstroms eine Richtlinie überschreitet. Innerhalb verkettbarer Nachrichten können Überflutungsangriffe erkannt werden. Darüber kann die Verfügbarkeit des Netzdienstes geschützt werden.

Die Anonymität in Anonymisierungsnetzen ist Ergebnis einer Kooperation vieler Teilnehmer. Die Wirksamkeit der Anonymisierung könnte verbessert werden, indem Teilnehmer mit fehlerbehaftetem Verhalten bestraft werden. Dazu muss jeder Teilnehmer das Verhalten der benachbarten Mixe beobachten und gegebenenfalls Maßnahmen einleiten. Dazu wäre Konvergenz erstrebenswert, d.h. dass das Wissen aller Mixe zu einem gemeinsamen Zustand führt. Reputations-systeme können allerdings nicht vor Infiltration und subjektiven Fehleinschätzungen geschützt werden.

Um einen hohen Grad an Anonymität zu erhalten, müssen für Teilnehmer mit egoistischem Verhalten Anreize für Kooperation geschaffen werden. Bedeutungslose Nachrichten können die Unbeobachtbarkeit für andere Teilnehmer erhöhen. Mittels eines Anreizmechanismus lässt sich der Versand eigener Nachrichten an das Volumen bedeutungsloser Nachrichten koppeln. Allerdings muss sichergestellt werden, dass gegenüber einem Angreifer bedeutungslose Nachrich-ten ununterscheidbar sind. Kooperative Mechanismen könnten allerdings die Widerstandsfähig-keit von Anonymisierungsnetzen weiter verbessern.

This entry was posted in Anonymity Networks, The Peer-to-Peer Paradigm, Common Goods, Talks. Bookmark the permalink.