Abstract:
Mit jeder Online-Tätigkeit hinterlassen wir digitale Fußspuren. Unternehmen und Regierungen nutzen die privaten Informationen, die von den riesigen Datenmengen der Online-Spuren abgeleitet werden können, um ihre Nutzer und Büger zu manipulieren. Als Gegenmaßnahme wurden anonyme Kommunikationsnetze vorgeschlagen. Diesen fehlen jedoch umfassende formale Grundlagen und folglich ist der Vergleich zwischen verschiedenen Ansätzen nur sehr eingeschränkt möglich.
Mit einer gemeinsamen Grundlage zwischen allen Forschern und Entwicklern von anonymen Kommunikationsnetzen können Missverständnisse vermieden werden und die dringend benötigte Entwicklung von den Netzen wird beschleunigt. ... mehrMit Vergleichbarkeit zwischen den Lösungen, können die für den jeweiligen Anwendungsfall optimalen Netze besser identifiziert und damit die Entwicklungsanstrengungen gezielter auf Projekte verteilt werden. Weiterhin ermöglichen formale Grundlagen und Vergleichbarkeit ein tieferes Verständnis für die Grenzen und Effekte der eingesetzten Techniken zu erlangen.
Diese Arbeit liefert zuerst neue Erkenntnisse zu generellen Formalisierungen für anonyme Kommunikation, bevor sie sich dann auf die praktisch am meisten verbreitete Technik konzentriert: Onion Routing und Mix Netzwerke. Als erstes wird die Vergleichbarkeit zwischen Privatsphärezielen sichergestellt, indem sie formal definiert und miteinander verglichen werden. Dabei enteht eine umfangreiche Hierarchie von eindeutigen Privatsphärezielen. Als zweites werden vorgeschlagene Netzwerke analysiert, um deren Grundbausteine zu identifizieren und deren Schutz als Auswirkung in der Hierarchy zu untersuchen.
Diese Grunlagen erlauben Konflikte und Schwachstellen in existierenden Arbeiten zu entdecken und aufzuklären. Genauer zeigt sich damit, dass basierend of derselben informalen Definition verschieden stark schützende formale Versionen entstanden sind. Weiterhin werden in dieser Arbeit die Notions genutzt um existierende Unmöglichkeitsresultate für anonyme Kommunikation zu vergleichen. Dabei wird nicht nur die erste vollständige Sicht auf alle bekannten Schranken für anonyme Kommunikationsnetze gegeben, sondern mit einem tiefgründigen Ansatz werden die existierenden Schranken auch gestärkt und zu praktischen, dem Stand der Kunst entsprechenden Netzen in Bezug gesetzt. Letztlich konnten durch die generellen Betrachtungen von vorgeschlagenen Netzwerken und ihren Grundbausteinen, insbesondere auch Angriffe auf die vorherrschende Klasse von anonymen Kommunikationsnetzen gefunden werden: auf Onion Routing und Mix-Netzwerke.
Davon motiviert wurden als zweiter Teil dieser Arbeit die formalen Grundlagen und praktisch eingesetzten Lösungen for Onion Routing und Mix-Netzwerke untersucht. Dabei wurde festgestellt, dass die bereits erwähnten Angriffe teilweise auf eine fehlerhafte, aber weit verbreitete Beweisstrategie für solche Netze zurückzuführen sind und es wurde eine sichere Beweisstrategie als deren Ersatz vorgeschlagen. Weiterhin wurde die neue Strategie für ein vorgeschlagenes, aber bisher nicht weiter verwendetes Paketformat eingesetzt und dieses als sicher bewiesen. Dieses Paketformat unterstützt allerdings keine Rückantworten, was höchstwahrscheinlich der Grund ist, aus dem sich aktuelle Netze auf ein unsicheres Paketformat verlassen. Deshalb wurde im Rahmen dieser Arbeit eine konzeptuelle, sichere Lösung für Onion Routing mit Rückantworten entworfen.
Als weitere verwandte Beiträge, zeigt die Arbeit Beziehungen von Teilen der generellen Ergebnisse für anonyme Kommunikationsnetze zu ähnlichen, aber bisher hauptsächlich getrennt betrachteten Forschungsbereichen, wie Privatsphäre auf der Bitübertragungsschicht, Kontaktnachverfolgung und privatsphäre-schützenden, digitalen Bezahlsystemen.
Abstract (englisch):
With every online action, we leave our digital footprints. These massive amounts of data are used by companies and governments to derive private information and to manipulate us for their benefit. As a countermeasure to this development, anonymous communication networks have been proposed to enhance our privacy online. However, their common formal foundations are insufficient and therefore comparisons between different approaches are very limited.
With a common ground for all researchers and designers of anonymous communication networks, misunderstandings can be prevented and thus the development of networks can be enhanced. ... mehrWith a way to compare solutions, the optimal approach for each use case can be identified and hence development efforts no longer need to be spread across multiple projects rashly. With extensive formal foundations, we gain all of the above. Even further, formal foundations enable a deeper understanding of the possibilities, the impossibilities and the effects of the technologies used in anonymous communication networks.
In this thesis, we first create general, fundamental formalizations for anonymous communication, before we focus on onion routing and mix networks – the practically most common technique for anonymous communication.
We ensure comparability between the offered privacy, by formally defining and comparing the privacy goals. Thereby, we create the first extensive hierarchy of unambiguous privacy notions for anonymous communication. By analyzing the existing networks, we then identify basic building blocks and investigate their protection as the effect in our hierarchy of notions.
These foundations allow us to uncover and resolve existing conflicts and flaws in the related work. For privacy goal definitions, we show that based on the same informal definition two works state formal versions with considerably different protection. Moreover, we make use of the notions to compare existing impossibility results for anonymous communication: we provide the first complete picture of known limitations and bounds in anonymous communication. With the help of our in-depth approach, we are even able to tighten some of the bounds, as well as to relate them to practical state-of-the-art protocols. Finally, due to our general investigation of proposed networks and their building blocks, we discover a new attack on the predominant class of anonymous communication networks: onion routing and mix networks.
Motivated by the discovered attack, the second part of this thesis considers onion routing and mix networks. Precisely, we examine their formal foundations and practically proposed solutions to discover that our attack is partially due to a mistake in a common proof strategy for such networks. To prevent attacks, we propose a new, secure proof strategy. Further, we are able to apply our strategy for a proposed, but rarely used packet format and thus prove it secure. This packet format does however not support replies, which is likely one of the reasons why state-of-the-art solutions rely on a vulnerable packet format instead. We design two conceptual solutions for repliable, provably secure onion routing packet formats towards closing this gap.
As additional contributions, we partially relate our general results for anonymous communication to similar, but so far mostly distinct research areas, namely to privacy on the physical layer, proximity tracing applications and privacy-preserving payment systems.
