research - design - experience

Computer Science Research

Anonymity, unobservability, unlinkability and privacy

Grundlagen Kooperativer Anonymisierungsnetze

Um einen hohen Grad an Anonymität zu erhalten, müssen für Teilnehmer mit egoistischem Verhalten Anreize für Kooperation geschaffen werden. Bedeutungslose Nachrichten können die Unbeobachtbarkeit für andere Teilnehmer erhöhen. Mittels eines Anreizmechanismus lässt sich der Versand eigener Nachrichten an das Volumen bedeutungsloser Nachrichten koppeln. Allerdings muss sichergestellt werden, dass gegenüber einem Angreifer bedeutungslose Nachrichten ununterscheidbar sind. Kooperative Mechanismen könnten allerdings die Widerstandsfähigkeit von Anonymisierungsnetzen weiter verbessern.

 

Weiterlesen: Grundlagen Kooperativer Anonymisierungsnetze

What Peer-to-Peer can learn from network attacks

Peer-to-peer overlays have been based on altrusitic and cooperative behavior. This assumption ignores malicous behavior, which aims at increased benefit of an attacker.

Weiterlesen: What Peer-to-Peer can learn from network attacks

Denial-of-Service Flooding Detection in Anonymity Networks

Denial-of-Service (DoS) flooding attackers benefit from sender anonymity and exit node diversity. Anonymity networks provide this by hiding he communication relationship and therefore hinder attack detection. After the anonymity network purges IP headers, the attributes for clustering of traffic flows remain hidden. Message unlinkability provides network privacy.
We design limited message linkability for clustering of traffic flows.Clusters of anonymous traffic are sufficient for flooding attack detection and also enable mitigation. The number of linkable messages is restricted to limit profile size and protect from privacy adversaries. In distributed scenarios, our incentive motivates use of a single entity.
Message tags enable detection of flooding attacks. The set of linkable messages is limited, which cuts activity profile. Adversaries cannot influence message linkability of other parties. Senders dynamically govern their message linkability through the message arrival rate. During flooding to a single victim message linkability improves, enabling DoS detection for anonymity networks.

Weiterlesen: Denial-of-Service Flooding Detection in Anonymity Networks

On the Design Dilemma in Dining Cryptographer Networks

In a Dining Cryptographers network, the anonymity level raises with the number of participating users. This paper studies strategic behavior based on game theory. Strategic user behavior can cause sudden changes to the number of system participants and, in consequence, degrade anonymity. This is caused by system parameters that influence strategic behavior. Additionally, conflicting goals of participants result in dilemma games. Properties of message coding, e.g. collision robustness and disrupter identification, change the game outcome by preventing dilemmas and, therefore, enhance anonymity. Properties of anonymity metrics are proposed that allow for strategic user behavior.

Weiterlesen: On the Design Dilemma in Dining Cryptographer Networks

Fehlverhalten in Anonymisierungs-Netzwerken

Die aktuelle Diskussion über Vorratsdatenspeicherung verdeutlicht die Gefahr präventiver Kommunikationsüberwachung. Sollte der Staat die Kontrolle über sensible Daten wie die Kommunikations-Beziehungen verlieren, wird die Privatsphäre der Bürger empfindlich verletzt.
Anonymisierungs-Netzwerke beugen der missbräuchlichen Verwendung vor, indem sie die Kommunikations-Beziehungen verbergen. In einem Anonymisierungs-Netzwerk kooperieren autonome Teilnehmer, um gemeinsam anonyme Kommunikation zu etablieren. Allein der Einsatz von Anonymisierungs-Protokollen stellt noch nicht einen hohen Grad an Anonymität sicher. Die Anzahl der Teilnehmer und insbesondere ihr korrektes Verhalten beeinflussen den erreichten Grad an Anonymität. Zum Beispiel beeinträchtigen bestimmte Protokoll-Verletzungen die Anonymität aller Teilnehmer.
Diese Arbeit untersucht, wie korrektes Verhalten in Anonymisierungs-Netzwerken etabliert werden kann. Dazu wird Fehlverhalten erkannt, dem Verursacher zugeordnet und es werden angemessene Maßnahmen getroffen. Über solche Anreiz-Mechanismen lassen sich strategisch agierende Teilnehmer beeinflussen. Lösungen müssen den Zielkonflikt zwischen Identifikation und Anonymität berücksichtigen. Daraus werden neue Anforderungen
für die Anonymisierungs-Protokolle formuliert. Das Verhalten rationaler Teilnehmer und die Auswirkungen auf den Grad der Anonymität werden mit Methoden der Spieltheorie modelliert.
Der Vortrag erläutert verschiedene Arten von Fehlverhalten in Anonymisierungs-Netzwerken und ihre Auswirkungen. Anonymes Flooding und eine Gegenmaßnahme basierend auf temporären Pseudonymen werden vorgestellt. Abschließend wird die Modellierung strategischen Verhaltens in Anonymisierungs-Netzwerken erörtert.

Weiterlesen: Fehlverhalten in Anonymisierungs-Netzwerken

Unverkettbare Nachrichten sind ein Grundbaustein anonymer Kommunikation. Anonymisierungsnetze schützen mittels Unverkettbarkeit, wer mit wem kommuniziert sowie die Identität der Beteiligten einer Kommunikationsbeziehung. Anonymisierungsnetze benötigen Kooperation, da die Anonymität durch Ressourcen anderer Teilnehmer geschützt wird. Wenn die Kosten und der Nutzen eines Anonymisierungsnetzes transparent sind, ergeben sich Zielkonflikte zwischen rationalen Teilnehmern. Es wird daher untersucht, inwiefern daraus resultierendes egoistisches Verhalten die Widerstandsfähigkeit dieser Netze beeinträchtigt. Störungen werden in einem spieltheoretischen Modell untersucht, um widerstandsfähige Konfigurationen von Anonymisierungsnetzen zu ermitteln. Eine weitere Störquelle sind Überflutungsangriffe mittels unverkettbarer Nachrichten. Es soll sowohl die Verfügbarkeit als auch die Anonymität geschützt werden. Dazu wird Unverkettbarkeit für Nachrichten aufrecht erhalten, außer wenn die Senderate eines Nachrichtenstroms eine Richtlinie überschreitet. Innerhalb verkettbarer Nachrichten können Überflutungsangriffe erkannt werden. Darüber kann die Verfügbarkeit des Netzdienstes geschützt werden.

Weiterlesen: Widerstandsfähigkeit von Anonymisierungsnetzen