Benutzer:Bananenfalter/Mix (Netzwerk)

Umkodierungsschema Bearbeiten

Umkodierungsschema für Senderanonymität: Nachrichten dargestellt als Kreise mit Verschlüsselungswall

Umkodierungsschema für Empfängeranonymität: Anonyme Rückadresse dargestellt als Quadrat, Nachrichten dargestellt als Kreise, jeweils mit Verschlüsselungswall

Umkodierungsschema für Sender- und Empfängeranonymität: Mix 2 ist der vertraute Mix

Das Umkodieren der Nachrichten wird durch Ver- oder Entschlüsselung erreicht, das heißt die Nachrichten müssen entweder nach dem Empfang wieder entschlüsselt oder vor dem Absenden verschlüsselt werden.

Senderanonymität Bearbeiten

Für eine genaue Erklärung werden einige Bezeichnungen benötigt:

${\text{enc}}_{e}(m)$ … Verschlüsselung der Nachricht $m$ mit dem öffentlichen Schlüssel $e$
$A_{i},\ e_{i}$ … Adresse und öffentlicher Schlüssel des Mixes $i$
$A_{E},\ e_{E}$ … Adresse und öffentlicher Schlüssel des Empfängers
$Z_{i}$ … Zufallszahl

Die Zufallszahlen $Z_{i}$ werden den Klartexten beigefügt, um eine nicht-deterministische Verschlüsselung zu erreichen. Das ist notwendig, damit Nachrichten mit gleichem Nachrichteninhalt nicht den gleichen Schlüsseltext erzeugen und deshalb vom Mix gefiltert werden. Für eine vereinfachte Betrachtung kann man die Zufallszahlen also weglassen.

Der Sender $S$ wählt eine Folge von Mixen, durch welche er die Nachricht $m$ anonym an den Empfänger $E$ senden möchte, zum Beispiel $S\rightarrow {\text{Mix}}_{1}\rightarrow {\text{Mix}}_{2}\rightarrow E$ . Er sendet folgendes an den ersten Mix:

{\text{enc}}_{e_{1}}\left(Z_{1},A_{2},{\text{enc}}_{e_{2}}\left(Z_{2},A_{E},{\text{enc}}_{e_{E}}\left(m\right)\right)\right)

Der erste Mix entschlüsselt dies mit seinem privaten Schlüssel $d_{1}$ . Dadurch erhält er die Adresse $A_{2}$ des nächsten Mixes. Die Zufallszahl wird verworfen. Der erste Mix sendet folgendes an den zweiten Mix:

{\text{enc}}_{e_{2}}\left(Z_{2},A_{E},{\text{enc}}_{e_{E}}\left(m\right)\right)

Dieser entschlüsselt wieder und verwirft die Zufallszahl. Dies kann beliebig fortgesetzt werden. Der letzte Mix erfährt die Adresse $A_{E}$ des Empfängers. Er sendet diesem dann ${\text{enc}}_{e_{E}}\left(m\right)$ zu. Der Empfänger kann die Nachricht mit seinem privaten Schlüssel $d_{E}$ entschlüsseln. Hat der Empfänger keinen öffentlichen Schlüssel, so muss die Nachricht vom letzten Mix zum Empfänger unverschlüsselt übertragen werden.

Allgemein verschlüsselt ein Sender, der anonym bleiben möchte, seine Nachricht rekursiv wie folgt:^[1]

m_{n+1}={\text{enc}}_{e_{E}}\left(m\right)

m_{i}={\text{enc}}_{e_{i}}\left(Z_{i},A_{i+1},m_{i+1}\right){\text{ mit }}i=1,\dots ,n

Empfängeranonymität Bearbeiten

Möchte ein Empfänger anonym erreichbar sein, so muss zuerst den Sender darüber informieren, wie dieser Kontakt zu ihm aufnehmen soll. Diese Information bezeichnet man als anonyme Rückadresse. Der Sender erfährt nicht, welche Mixe der Empfänger für die Übertragung der Nachricht ausgewählt hat. Er kennt lediglich den ersten Mix. Nachdem der Empfänger eine Folge von Mixen gewählt hat, kann er dem Sender die anonyme Rückadresse zukommen lassen. Angenommen, der Empfänger wählt wie oben $S\rightarrow {\text{Mix}}_{1}\rightarrow {\text{Mix}}_{2}\rightarrow E$ , dann schickt er an den Sender:

\left(k_{S},A_{1},{\text{enc}}_{e_{1}}\left(k_{1},A_{2},{\text{enc}}_{e_{2}}\left(k_{2},A_{E}\right)\right)\right)

Die $k_{j}$ sind symmetrische Schlüssel, welche beim Senden der Nachricht, vom Sender zum Empfänger, von den Mixen für die Verschlüsselung verwendet werden können. Der Empfänger kennt diese Schlüssel. Er erhält ${\text{enc}}_{k_{2}}\left({\text{enc}}_{k_{1}}\left({\text{enc}}_{k_{S}}\left(m\right)\right)\right)$ und kann dies entschlüsseln. Die Verwendung asymmetrischer Schlüssel, wie im Fall der Senderanonymität ist hier nicht möglich, da der Sender in diesem Fall die Reihenfolge der Mixe nicht kennt.

Allgemein ist die anonyme Rückadresse $R_{S}$ also rekursiv wie folgt aufgebaut:

R_{n}={\text{enc}}_{e_{n}}\left(k_{n},A_{E}\right)

R_{j}={\text{enc}}_{e_{j}}\left(k_{j},A_{j+1},R_{j+1}\right){\text{ mit }}j=1,\dots ,n-1

R_{S}=\left(k_{S},A_{1},R_{1}\right)

Die anonyme Rückadresse übermittelt der Empfänger mit Hilfe des Umkodierungsschemas für die Senderanonymität an den Sender. Es ist also

der Empfänger der Nachricht gleich der Sender der anonymen Rückadresse und
der Sender der Nachricht gleich der Empfänger der anonymen Rückadresse.

Die Bezeichnungen Sender und Empfänger beziehen sich hier immer auf die Nachricht. Der erste Mix ist immer der Mix auf der Seite des Senders, der letzte Mix hingegen der auf der Seite des Empfängers. Im Falle der zwei Mixe würde der Empfänger folgendes an den letzen Mix übermitteln:

{\text{enc}}_{e_{2}}\left(Z_{2},A_{1},{\text{enc}}_{e_{1}}\left(Z_{1},A_{S},{\text{enc}}_{e_{S}}\left(\underbrace {\left(k_{S},A_{1},{\text{enc}}_{e_{1}}\left(k_{1},A_{2},{\text{enc}}_{e_{2}}\left(k_{2},A_{E}\right)\right)\right)} _{\mathrm {anonyme\ R{\ddot {u}}ckadresse} }\right)\right)\right)

Der Sender kennt nun $k_{S},\ A_{1}$ und $R_{1}$ . Um die Nachricht $m$ an den Empfänger zu übertragen, sendet er folgendes an den ersten Mix:

\left(R_{1},{\text{enc}}_{k_{S}}\left(m\right)\right)

Der erste Mix entschlüsselt

R_{1}={\text{enc}}_{e_{1}}\left(k_{1},A_{2},R_{2}\right)

und erhält dadurch $k_{1},\ A_{2}$ und $R_{2}$ . Er sendet

\left(R_{2},{\text{enc}}_{k_{1}}\left({\text{enc}}_{k_{S}}\left(m\right)\right)\right)

an den Mix mit der Adresse $A_{2}$ . Dies wird fotgesetzt, bis die Nachricht beim Empfänger eintrifft.

In diesem Fall müssen keine Zufallszahlen mit verschlüsselt werden, da bereits die zufällig gewählten Schlüssel $k_{j}$ enthalten sind. Der Empfänger kennt die Schlüssel $k_{j}$ , da er sie selbst gewählt hat. Er erhält, wie bereits beschrieben,

{\text{enc}}_{k_{2}}\left({\text{enc}}_{k_{1}}\left({\text{enc}}_{k_{S}}\left(m\right)\right)\right)

und muss dies noch entschlüsseln.

Sender- und Empfängeranonymität Bearbeiten

Um die Anonymität auf beiden Seiten zu wahren, werden die Umkodierungsschemen für Sender- und Empfänger kombiniert. Ein Mix in der Mitte dient als Umlenkpunkt. Der Empfänger sendet diesem Mix mit Hilfe des Schemas für die Empfängeranonymität eine anonyme Rückadresse. Die anonyme Rückadresse wird von dem Mix zwischengespeichert, bis der Sender seine Nachricht gemäß dem Senderanonymitätsschema an diesen Mix sendet. Dieser übermittelt die Nachricht mit Hilfe der anonymen Rückadresse an den Empfänger.^[1] Um den Sender dazu aufzufordern eine Nachricht zu senden, könnte der Mix in der Mitte per Broadcast eine Anfrage an alle möglichen Sender verschicken.

In der Praxis werden die beschriebenen Schemen noch etwas komplizierter, da man auch für die Teile in denen asymmetrische Kryptographie verwendet wird, schnellere symmetrische Verschlüsselung nutzen will. Die Lösung sind sogenannte hybride Kryptosysteme.^[2]

Mix-Kanäle Bearbeiten

Das beschriebene System ist hauptsächlich geeignet, um einzelne Nachrichten einer vorgegebenen Länge (Blöcke) zu versenden. Sollen längere Datenströme übermittelt werden, so erweitert man das Konzept der hybriden Verschlüsselung: Die zwischen den Mixen ausgetauschten symmetrischen Schlüssel werden nicht nur für die Verschlüsselung eines einzigen Blocks, sondern auch für alle nachfolgenden Blöcke verwendet. Soll ein Mix-Kanal zwischen Sender und Empfänger hergestellt werden, muss der Sender eine Kanalaufbaunachricht verschicken, welche die Aufgabe hat, die symmetrischen Schlüssel zwischen den Mixen zu verteilen. Nach Beendigung der Datenübertragung werden die Kanäle mit einer Kanalabbaunachricht wieder abgebaut.^[2] Dabei gibt es ein praktisches Problem: Die Kanäle müssen innerhalb einer Anonymitätsgruppe gleichzeitig aufgebaut und wieder abgebaut werden, da ein Beobachter des Netzwerkes sonst, anhand des Zeitpunktes des Kanalauf- oder abbaus, sämtliche Mixe überbrücken könnte. Dieses Problem lässt sich umgehen, indem man einen Systemtakt einführt und bei jedem Takt alle Kanäle abbaut und bei Bedarf sofort wieder aufbaut (Zeitscheibenkanäle).^[3]

Angriffe Bearbeiten

Sicherheit gegen adaptive aktive Angriffe

Hinweis in Diskussion: Angriff auf RSA-Mixe möglich, wird im Artikel bisher nicht beschrieben

↑ ^a ^b Elke Franz, Anja Jerichow, Andreas Pfitzmann: Systematisierung und Modellierung von Mixen. In: Proceedings der GI Fachtagung für Verläßliche IT-Systeme. 1997, S. 171–190 (semper.org [PS.GZ; abgerufen am 12. August 2010]).
↑ ^a ^b Jan Müller: Anonyme Signalisierung in Kommunikationsnetzen. (PDF) 28. Februar 1997, S. 19-23, abgerufen am 12. August 2010.
↑ Andreas Pfitzmann, Birgit Pfitzmann, Michael Waidner: Telefon-MIXe. In: Datenschutz und Datensicherheit. 1989, S. 605–622 (tu-dresden.de [PS.GZ; abgerufen am 17. August 2010]).

[franz97-1] Elke Franz, Anja Jerichow, Andreas Pfitzmann: Systematisierung und Modellierung von Mixen. In: Proceedings der GI Fachtagung für Verläßliche IT-Systeme. 1997, S. 171–190 (semper.org [PS.GZ; abgerufen am 12. August 2010]).

[mueller97-2] Jan Müller: Anonyme Signalisierung in Kommunikationsnetzen. (PDF) 28. Februar 1997, S. 19-23, abgerufen am 12. August 2010.

[pfitzmann89-3] Andreas Pfitzmann, Birgit Pfitzmann, Michael Waidner: Telefon-MIXe. In: Datenschutz und Datensicherheit. 1989, S. 605–622 (tu-dresden.de [PS.GZ; abgerufen am 17. August 2010]).

[1]

[2]

[3]