Počítačové sítě a operační systémy Jaromír PlhákPB169 Počítačové sítě a operační systémy Jaromír Plhák xplhak@fi.muni.cz Anonymní komunikace PB169 Počítačové sítě a operační systémy Snímek 2 z 33 Motivace pro anonymitu (1) • Ochrana osobních dat • Anonymita uživatele, lokace, transakce • 4 funkčnosti systémů pro ochranu informačního soukromí – Anonymita – Pseudonymita – Nespojitelnost – Nepozorovatelnost PB169 Počítačové sítě a operační systémy Snímek 3 z 33 Motivace pro anonymitu (2) • Nutnost zajistit anonymitu v mnoha případech – Informace o zdravotním stavu (anonymita vs. pseudonymita) – Elektronické volby – Svoboda slova – Udání informací o trestné činnosti apod. PB169 Počítačové sítě a operační systémy Snímek 4 z 33 Anonymita • Chování zcela anonymní, neexistuje možnost zjištění skutečné identity subjektu – Např. informace o zdravotním stavu bez vazby na identitu skutečného pacienta PB169 Počítačové sítě a operační systémy Snímek 5 z 33 Pseudonymita • Chování je anonymní, existuje možnost zpětného zjištění skutečné identity subjektu – Stanovení diagnózy • Jednoznačné spojení s pacientem • Lékař zná pouze nějaké ID pacienta • V systému existují záznamy (ID, jméno), ke kterým ale ošetřující lékař nemusí mít přístup PB169 Počítačové sítě a operační systémy Snímek 6 z 33 Příklady systémů pro anonymní komunikaci • Mixminion • Onion routing • TOR • Projekt AN.ON • Anonymní proxy PB169 Počítačové sítě a operační systémy Snímek 7 z 33 Mixminion (1) • Mixovací síť pro odesílání anonymních emailových zpráv • Uživatel má možnost specifikovat cestu v síti • SURB – Single use reply block – Možnost odpovědět na anonymní zprávu – Omezená platnost „odpovědního lístku“ – Zašifrovaná informace o „zpáteční cestě“ – Odpověď je v síti nerozlišitelná od normální zprávy • Volně dostupný systém – www.mixminion.net – Ale již není ve vývoji PB169 Počítačové sítě a operační systémy Snímek 8 z 33 Mixminion (2) • Praktická ukázka (formou screenshotů) – Odeslání anonymní zprávy – Jak vypadá anonymní zpráva po doručení • Zejména její hlavička – Možnost provozu vlastního mixovacího uzlu Received: from for Received: from localhost ([127.0.0.1]) by localhost (Centrum Mailer) with SMTP ;Wed, 13 Apr 2005 07:49:07 +0200 X-SpamDetected: 0 Received: from outpost.zedz.net ([194.109.206.210]:48546 "EHLO outpost.zedz.net") by data2.centrum.cz with ESMTP id S15926716AbVDMFpO (ORCPT ); Wed, 13 Apr 2005 07:45:14 +0200 X-SpamDetected: 0 Received: from localhost (outpost [127.0.0.1]) by outpost.zedz.net (Postfix) with ESMTP id F143F50335 for ; Wed, 13 Apr 2005 02:39:51 +0200 (CEST) Received: by outpost.zedz.net (Postfix, from userid 1009) id 3069050E68; Tue, 12 Apr 2005 22:30:02 +0200 (CEST) From: Nomen Nescio Comments: This message did not originate from the Sender address above. It was remailed automatically by anonymizing remailer software. Please report problems or inappropriate use to the remailer administrator at . To: xkumpost@centrum.cz Subject: Type III Anonymous message X-Anonymous: yes Message-ID: Date: Tue, 12 Apr 2005 22:30:02 +0200 (CEST) X-Virus-Scanned: by outpost.zedz.net (amavis-20020300) PB169 Počítačové sítě a operační systémy Snímek 15 z 33 Přijatý mail – tělo zprávy • -----BEGIN TYPE III ANONYMOUS MESSAGE----- • Message-type: plaintext • testovaci zprava • cas 11:22 • -----END TYPE III ANONYMOUS MESSAGE----- PB169 Počítačové sítě a operační systémy Snímek 16 z 33 Charakteristika Onion Routing systémů • Onion routing – Cibulové směrování – Anonymní komunikace ve veřejné síti – Poskytuje obousměrné anonymní spojení – Téměř real-time anonymní spojení pro různé služby (www, ssh, ftp, ...) • Proč Onion Routing, když máme mixy? – Zpoždění u mixů pro real-time aplikace nepřípustné – OR poskytuje anonymní přenos bez nutnosti modifikace použitých služeb – pracuje jako proxy • TOR – The Onion Router – Systém druhé generace – řada vylepšení PB169 Počítačové sítě a operační systémy Snímek 17 z 33 Zpracování dat v OR (1) • Přes sérii Onion Routerů namísto přímého spojení klient-server – Každý OR zná pouze svého předchůdce a následníka – Vzájemné spojení OR je permanentní – Komunikační cesta (okruh) je definována při sestavení komunikačního kanálu – Data jsou důsledkem dešifrování na každém OR „změněna“ PB169 Počítačové sítě a operační systémy Snímek 18 z 33 Zpracování dat v OR (2) • Alice – [[zpráva]] –> OR – [zpráva] -> OR – zpráva -> Bob • Každý průchod přes OR „sloupne“ (odšifruje) jednu vrstvu • K OR síti se přistupuje přes speciální proxy – V původním návrhu nutná proxy pro každou službu – podpora omezeného počtu aplikací – Aplikace se spojí s aplikační proxy – Aplikační proxy transforumuje data do podoby srozumitelné pro OR síť – Aplikační proxy vytvoří spojení s OR proxy • Dojde k vytvoření komunikačního okruhu • Okruh je připraven pro přenos dat PB169 Počítačové sítě a operační systémy Snímek 19 z 33 Zpracování dat v síti OR • Komunikační okruhy – OR proxy vytvoří vrstvenou datovou strukturu a pošle ji do sítě (využívá se PKC) – Každý OR odstraní vrchní vrstvu; získá materiál pro ustavení symetrického klíče a zbylá data pošle na další OR – Takto projde „cibule“ až na poslední OR – Výsledkem je vytvořený komunikační okruh (ustavení symetrických klíčů mezi odesilatelem a každým OR) PB169 Počítačové sítě a operační systémy Snímek 20 z 33 Obrana proti reply útokům • Každý OR si ukládá seznam přeposlaných paketů dokud nevyprší jejich platnost – Případné duplicity jsou zahozeny PB169 Počítačové sítě a operační systémy Snímek 21 z 33 TOR – The Onion Router • Systém pro anonymní komunikaci založený na komunikačních okruzích s malou latencí – Následník původního OR návrhu – Implementace nových funkcionalit PB169 Počítačové sítě a operační systémy Snímek 22 z 33 TOR • TOR přináší následující vylepšení – Dokonalé „dopředné“ utajení – Není nutné vyvíjet specializované aplikační proxy • Podpora většiny TCP-based aplikací bez modifikace – Více TCP proudů může sdílet komunikační okruh – Data mohou opustit síť v libovolném místě – Kontrola možného zahlcení sítě – Podpora adresářových serverů – info o síti • End-to-end testování integrity přenesených dat • Ochrana proti tagging útokům – „Místa setkání“ a skryté služby – Nevyžaduje změny v jádře operačního systému • Volně dostupný systém PB169 Počítačové sítě a operační systémy Snímek 23 z 33 TOR – perfect forward secrecy • Klíče sezení nejsou ohroženy, pokud by někdy v budoucnu došlo k vyzrazení hlavního klíče – V původním návrhu mohl útočník ukládat data a následně přinutit uzly data dešifrovat • Jiný způsob budování komunikační cesty – Teleskopické ustavení okruhu – Odesílatel ustanoví symetrické klíče se všemi uzly v okruhu – Po smazání klíčů nelze dešifrovat starší data • Proces budování komunikační cesty více spolehlivý PB169 Počítačové sítě a operační systémy Snímek 24 z 33 Místa setkání a skryté služby • Pro zajištění anonymity příjemce (serveru, služby...) – Možnost řízení příchozího datového toku • Zabrání Denial of Service (DoS) útokům • Útočník neví, kde je daný server • Server je skrytý za několika OR • Klient zvolí místo setkání v OR síti, přes které se spojí se „serverem“, resp. na OR, který server zveřejní – Informace o serveru prostřednictvím adresářové služby – Klient se dozví, na jakých OR server „čeká“ na spojení PB169 Počítačové sítě a operační systémy Snímek 25 z 33 TOR – analýza provozu • George Danezis a Steven J. Murdoch, 2005 • Nová technika analýzy provozu pro TOR – TOR nepoužívá zpoždění pro předávané zprávy – Související proudy dat jsou zpracovávány stejnými uzly • Útočníkovi stačí pouze omezená informace ze sítě • Silně snižuje anonymitu provozu v TORu PB169 Počítačové sítě a operační systémy Snímek 26 z 33 Anonymity online – projekt AN.ON (1) • Technical University Dresden – Institute for System Architecture PB169 Počítačové sítě a operační systémy Snímek 27 z 33 Anonymity online – projekt AN.ON (2) • Služba poskytující anonymitu • Nepřímé spojení s cílovým serverem • Spojení přes kaskády mixů • Kaskády pevně dané, uživatel si může zvolit – Některé kaskády zpoplatněné – lepší propustnost • Mixy využívá množství uživatelů současně • Mixy provozují nezávislé organizace • Podpora služeb HTTP(S), FTP PB169 Počítačové sítě a operační systémy Snímek 28 z 33 AN.ON – použití PB169 Počítačové sítě a operační systémy Snímek 29 z 33 AN.ON – použití • Instalace klientské aplikace JonDo • Připojení přes proxy – Browser se připojuje přes tuto proxy • JonDoX – Instalace celku (prohlížeč + JonDo) PB169 Počítačové sítě a operační systémy Snímek 30 z 33 Anonymní proxy (1) • Co je to proxy server – Aktivní síťový prvek, který vyřizuje požadavky klientů – Klient požaduje webovou stránku, požadavek vyřídí proxy, ta mu předá výsledek – Proxy ukládá výsledky požadavků po nějakou dobu v cache – Cílový server zpravidla vidí pouze komunikaci s proxy serverem PB169 Počítačové sítě a operační systémy Snímek 31 z 33 Anonymní proxy (2) • Použijeme v případě, kdy nechceme zveřejnit svoji IP adresu • Existuje řada anonymních proxy, např. – http://www.atomintersoft.com/products/alive- proxy/proxy-list/ – http://www.proxz.com/ PB169 Počítačové sítě a operační systémy Snímek 32 z 33 Použití anonymního proxy serveru • Zvolíme proxy – V případě SSL připojení musíme použít proxy podporující SSL – Pozor na změnu certifikátů!!! • Můžeme otestovat naší vnější IP – http://anoncheck.security-portal.cz/