Warum haben Jondonym Mixe eine Hintertuer ?
Als Kunde verlange ich eine zu 100 % garantierte Anonymität.
Eine Stellungnahme ist angebracht.

Nicht schon wieder ...

Das Schema ist wirklich immer das selbe, langsam wird es langweilig. Aber schauen wir mal, irgendwer wird wohl reagieren und eine Frage stellen.

p.s.: Ach, ändert doch bitte die gewählte Überschrift.

Die Stellungnahme ist: Zum Glück haben wir dieses Thema schon hinreichend im Forum durchgekaut, weswegen Sie für die Beantwortung Ihrer Frage nur den entsprechenden Thread (sogar im deutschen Teil des Forums verfügbar!) (noch einmal) lesen müssen.

Eine "Stellungnahme" von JonDos (wenn Sie es so nennen wollen) finden Sie, wenn Sie sich über den Dienst "JonDonym" informieren. In der Menüleiste oben finden Sie den Menüpunkt "JonDonym" und dort den Unterpunkt "Strafverfolgung".

Wenn Ihnen jemand 100% garantierte Anonymität verspricht, dann ist es ein Scharlatan. Soetwas gibt es nicht.

Jede Aussage zu Anonymität geht von einem Angreifermodell aus. Wenn Sie sich tiefgründiger mit dem Angreifermodell beschäftigen wollen, vor dem JonDonym Sie schützt, dann finden Sie wissenschaftliche Behandlungen des Themas in der Sammlung von Publikationen in unserem Wiki: https://anonymous-proxy-servers.net/wiki/ unter "Veröffentlichungen zu JonDonym". Ich empfehle Ihnen die Dissertation von Dr. Köpsell.

In mehreren unabhängigen Test wurde nachgewiesen, dass wir im Rahmen dieses Angreifermodells den besten Schutz bieten im Vergleich zu anderen Diensten:

- http://www.heise.de/ct/inhalt/2011/18/088/
- http://www.chip.de/artikel/Anonym-Surfe ... 42083.html

Wobei man der Ehrlichkeit halber dazu sagen sollte, dass es DAS Angreifermodell nicht gibt. Das von JonDonym verwendete Angreifermodell ist deshalb natürlich auf JonDonym zugeschnitten. Dass man im eigenen Angreifermodell stets "Sieger" ist, ist logisch, weil es ja genau den Fall beschreibt, gegen den man gerade noch Sicherheit bietet.

Würde man das Angreifermodell erweitern und z. B., wie es der TE macht, den Staat als Angreifer sehen, wäre JonDonym natürlich gebrochen, während andere Dienste auf Grund der Aussichtslosigkeit staatlicher Überwachungsanordnungen (insbesondere auch in Bezug auf die Geheimhaltung derselben) dagegen sicher wären.

Man könnte jetzt noch ewig über passende Angreifermodelle fachsimpeln, aber da gerade (mal wieder) das Thema Strafverfolgung angeschnitten wurde, möchte ich die Gelegenheit nutzen, mal eine ganz ketzerische Frage zu stellen:

Momentan ist es ja so, dass Strafverfolgung nur möglich ist, wenn alle Mixe in einer Kaskade mitmachen. Das ist aber, insbesondere bei den Dreierkaskaden, überhaupt nicht notwendig. Es reicht ja - wie bei allen Echtzeitanonymisierungsdiensten - wenn man vor dem ersten und hinter dem letzten Mix überwacht. Allein über die Anzahl und zeitliche Abfolge der Pakete kann man mit an Sicherheit grenzender Wahrscheinlichkeit die Zuordnung der einzelnen Kanäle vornehmen, auch wenn man den mittleren Mix nicht kontrolliert.

Wurde das von Strafverfolgungsbehörden bereits einmal angefordert? Würdet ihr das implementieren, wenn es angefordert wird?

Es geht sogar noch besser und mit einem einzigen kooperierenden Mixbetreiber: In der Regel kontrollieren Strafverfolgungsbehörden ja bereits einen Punkt. Entweder überwachen sie z. B. eine Website und interessieren sich nun dafür, wer darauf zugreift. Oder aber sie überwachen einen Teilnehmeranschluss und interessieren sich dafür, was derjenige macht. Wenn eine Website überwacht wird, reicht die Kooperation des ersten Mixbetreibers einer Kaskade um den Teilnehmer zu identifizieren - wenn eine Teilnehmeranschlussleitung überwacht wird, würde die Kooperation des letzten Mixbetreibers einer Kaskade reichen, um zu erfahren, was derjenige macht.

Die Idee dahinter ist relativ simpel: Im Falle einer überwachten Website würden die Behörden sehen, sobald ein Zugriff von einer Mixkaskade erfolgt. Sie sehen auch, was genau von der Website abgefragt wurde, insbesondere also zu welchen genauen Zeitpunkten welche Datenmengen übertragen wurden. Bei Zusammenarbeit mit dem ersten Mixbetreiber der entsprechenden Kaskade brauchen sie dann nur fragen, wer innerhalb dieses Zeitfensters exakt diese Datenmengen übertragen hat. Da das Aufrufen einer Website ein sehr interaktiver Prozess ist, ist die zeitliche Abfolge der Pakete zusammen mit der gesamten Paketanzahl zu mindestens 99,9 % eindeutig. Im Falle einer überwachten Teilnehmeranschlussleitung läuft das analog - nur halt mit dem Betreiber des letzten Mixes der Kaskade.

Auch hier die Frage: Haben die Strafverfolgungsbehörden das bereits einmal angefragt und würde das dann auch implementiert werden, wenn es angefordert wird?

Man kann natürlich hoffen, dass die Strafverfolgungsbehörden zu blöd sind, um auf diesen Trichter zu kommen. Aber man muss ehrlich sagen, dass ggf. bereits ein einziger kooperierender Mixbetreiber ausreicht, um gezielt einzelne Aktivitäten zu deanonymisieren. Die nötige Kooperation der ganzen Mixkasakde anzupreisen ist zwar ganz nett, im Fall des Falles aber vermutlich ein Etikettenschwindel, wenn man es mit fachkundigen Strafverfolgern zu tun hat (was sie in der Regel nicht sind - OK).

Nein.

Nein. Das wäre quasi "Hacking" am eigenen System, da es dafür keine saubere, sondern nur eine statistische Lösung gibt. Zu so etwas können weder wir noch die Betreiebr verpflichtet werden.


Nein.


Nein. Eine solche Überwachung geht deutlich über die Systemeigenschaften hinaus. Das müssen die Behörden selbst implementieren, wenn sie es wollen. Eine solche Lösung dürfte auch nicht von den Betreibern eingesetzt werden (=Verbot fremder/nicht zugelassener Software). In der Praxis dürfte so ein Fall also nicht auftreten.

Ein ähnlicher Angriff wurde im Rahmen des Webseite Fingerprinting analysiert. Herr Wendolsky hat zusammen mit. D. Hermann und Prof. Federrath eine Publikation dazu veröffentlicht. Sie finden die Publikation im Wiki unter Publikationen zu Schnüffeltechniken. https://anonymous-proxy-servers.net/wik ... ltechniken

Die von Ihnen vermuteten 99,9% sind nicht realisierbar. Bei einfachen VPNs sind ca. 97% Erkennungsrate erreichbar. Bei Systemen mit fester Paketlänge (Tor und JonDonym) wird die Erkennung deutlich erschwert. In dem Paper von 2009 konnte für JonDonym 20% und für Tor 3% erreicht werden.

Eine verbesserte Version mit speziellen Optimierungen für Tor und JonDonym hat Lexi Pimenidis zusammen mit D. Hermann vorgestellt, das Paper muss ich noch raussuchen. Die Erkennungsraten lagen aber weit unter 90% (sowoeit ich mich erinnern kann)

Update: Das aktuellste Paper zu diesem Problem (veröffentlicht Okt. 2011) ist ebenfalls im Wiki verfügbar. "Website Fingerprinting in Onion Routing Based Anonymization Networks". Für Tor werden dabei Erkennungsraten von 50% erreicht, für JonDonym zwischen 60-80%.

Die Paper zeigen deutlich, dass der von Ihnen beschriebene Angriff ohne Beteiligung des mittleren Mixes sehr aufwendig, nur für definierte Webseiten und erheblich unsicher zu implementieren wäre.

Schwierig, schwierig. Vielleicht brauchen die Behörden bei anderen Diensten einfach keine Überwachungsanordnung, weil Sie ohne Probleme eigene Server in diese Dienste einschleusen können, da diese nicht verifiziert werden? Die Überlegung scheint mir an dieser Stelle jedenfalls zu pauschal zu sein.

@cane: Das kann man mit derartigen allgemeinen Fingerprinting-Analysen nicht vergleichen. Sie lassen außer Acht, dass man im konkreten Fall hier ja noch den genauen Zeitpunkt kennt. Die Gruppe ist also viel, viel eingeschränkter - ich muss nur noch wissen, wer zu exakt dieser Zeit die entsprechende Paketabfolge hatte. Zusätzlich hat man - im Gegensatz zum allgemeinen Fingerprinting - ebenfalls keine Probleme mit wechselndem Content der Website, denn man weiß genau, welche Version ausgeliefert wurde. Meine Schätzung wird deshalb vermutlich schon zutreffend sein, denn bei der Überwachung liegen viel exaktere Informationen vor, was erheblichen Einfluss auf die Erkennungsrate haben dürfte.

@jondos: Gut zu wissen, dass es zumindest bisher offenbar so nicht versucht wurde und ihr selbst das auch so nicht programmieren wölltet. Die Frage ist natürlich, ob man sich als Mixbetreiber tatsächlich dagegen wehren kann, wenn die Behörden anordnen, in Echtzeit Informationen über Telekommunikationsverbindungen zu erhalten - wäre vermutlich wieder ein Präzedenzfall (hoffentlich nicht wieder mit gerichtlicher Klärung nachdem es zu spät ist). Aber zivilrechtlich geschlossene Verträge (Verbot des Einsatzes von Fremdsoftware u. ä.) werden wohl kaum vor Gericht als Hinderungsgründe gegen die Umsetzung von StPO-Verfügungen akzeptiert werden.

Wobei die Frage ist natürlich eher ist, ob die Behörden in dem Fall die Mixbetreiber überhaupt noch kontaktieren müssen. Vermutlich werden sie für derartige Echtzeitanfragen ohnehin eigene Software zum Einsatz bringen wollen. Dann könnte man auch gleich im Rechenzentrum, wo der jeweilige Mix steht, beantragen, sämtlichen Verkehr des Mixes durch einen eigenen Rechner geleitet zu bekommen. So ist man nichteinmal mehr auf die Kooperation eines einzigen Mixbetreibers angewiesen - man braucht nur einen einzigen Mix auf diese Weise verkehrsmäßig durch einen vorgeschalteten Rechner kontrollieren und hat damit die Daten, die man braucht.

@Georg Koppen: Sicher, bei Tor o. ä. Diensten kann jeder einfach mitmachen - auch Strafverfolgungsbehörden. Man kann deshalb wirklich schwer sagen, ob nun dieses oder jenes Modell besser schützt oder besser ist. Aber genau darum ging es mir: Nämlich dass Vergleiche - auch im Rahmen der jeweiligen Angreifermodelle - damit nur begrenzt aussagekräftig sein können, weil sich halt die Modelle zu sehr unterscheiden.

Man kann es im konkreten Fall aber auch so sehen: Tor kann es z. B. viel leichter verkraften, wenn da Geheimdienste oder Strafverfolgungsbehörden mitmachen wöllten. Um nämlich einigermaßen Chancen für eine Aufklärung zu haben, muss man möglichst viel Traffic anziehen und auch bedienen können. Nur dann hat man realistische Chancen die Stecknadel im Heuhaufen auch zu finden. Das bedeutet aber, dass man doch einige Bandbreite braucht, was es auch teuer macht. Für Geheimdienste mag das vielleicht kein Punkt sein (insbesondere im Vergleich zu ihren Budgets) - wenn ich mir aber z. B. deutsche Strafverfolgungsbehörden und ihre lächerlichen Aufwandsentschädigungen für Hilfe im Rahmen von Verfügungen anschaue, um die auch oft noch großes Theater gemacht wird, dann ist Geld ein sehr gut schützender Faktor.