AN.ON-Next

Starker Schutz gegen alle Angreifer

Derzeit verfügbare Anonymisierungsdienste sind nicht performant genug. Gleichzeitig gibt es große Defizite bezüglich der Benutzbarkeit. Beide Probleme sollen mit den Forschungen zu starker Anonymität adressiert werden. Ziel ist daher die Entwicklung eines neuen, schnelleren, benutzbareren und dennoch sicheren Internet-Anonymisierungsdienstes. Dieser soll im Gegensatz zu existierenden Diensten wie etwa AN.ON oder Tor direkt auf der IP-Ebene aufsetzen. Gleichzeitig werden bezüglich des Benutzbarkeitskonzeptes insbesondere kleine, mobile Endgeräte wie etwa Smartphones berücksichtigt. Der Konfigurationsaufwand soll für den Anwender minimal werden.

Aus unserer Sicht ist der zentrale Grund für die geringe Verbreitung von datenschutzfreundlichen Techniken die mangelhafte Benutzbarkeit bisher verfügbarer Internet-Anonymisierungs-Lösungen. Wir gehen davon aus, dass datenschutzfreundliche Techniken erst dann den Massenmarkt erreichen können, wenn sie ohne Zutun des Benutzers (by default) vorhanden sind, praktisch keinerlei Konfigurationsaufwand verursachen und so effizient arbeiten, dass sie keine deutlich spürbaren Einschränkungen hinsichtlich der Dienstgüte (hier insbesondere Latenz und Bandbreite) verursachen.

Daher wird im Rahmen dieses Arbeitspaketes ein neues Anonymisierungsprotokoll gestaltet und in eine Testkaskade des Anonymisierungsdienstes JonDonym integriert, das (auf Kosten des Overheads) zum einen vor starken Angreifern schützt und zum anderen die Benutzbarkeit und Kompatibilität von Overlay-Netz-basierte Anonymisierungsdiensten wie Tor und JonDonym erheblich verbessern soll.

In einem iterativen Entwicklungsprozess werden mehrere Prototypen umgesetzt und empirisch mittels in realen Netzen aufgezeichnetem Datenverkehr, auf Basis von Netzemulation sowie in Endnutzer-einbeziehenden Feldtests evaluiert und optimiert. Die Konzepte und Prototypen werden dabei so gestaltet, dass sie auch auf Hardware mit wenig Rechenleistung (etwa einfachen Einplatinenrechnern) verwendet werden können. Der vielversprechendste Prototyp wird anschließend vervollständigt und in umfangreichen Feldtests erprobt und basierenden auf den gewonnenen Erkenntnissen weiterentwickelt.

Der Grundgedanke des geplanten Protokolls ist gegenüber heutigen Anonymisierungsdiensten ein Paradigmenwechsel: Es werden Lösungen angestrebt, die es ermöglichen, Nutzdaten auf der IP-Ebene per VPN-Verbindung (anstatt auf der Anwendungsschicht) entgegenzunehmen. Dabei ergeben sich unter anderem die folgenden Forschungsfragen:

• Ist es möglich ein sicheres Protokoll zu entwerfen, dass für unzuverlässige Kommunikation – insbesondere Streaming-Dienste – effizient genug ist? Welche Anonymisierungskonzepte sollen dabei Anwendung finden?
• Wie weit kann man die Endgeräte frei von Anonymisierungssoftware halten, und dennoch eine starke Anonymität erreichen, die sich nicht ohne erheblichen Aufwand aushebeln lässt?
• Sind nach wie vor Komponenten auf den Clients nötig? Falls ja, sind können diese so „schlank“ gestaltet werden, dass Benutzbarkeit und Wartbarkeit nicht leiden?
• Wie gut lassen sich die verschiedenen Geräteklassen, wie etwa PCs, Smartphones, Tablets, anonymisieren?
• Gibt es Anwendungsfälle, für die ein TCP-basierter Anonymisierungsdienst prinzipiell sicherer oder sogar weniger sicher ist?
• Wie müssen die Konfigurations- und Nutzungsprozesse aussehen, damit sie massentauglich für Anwender sind? Ist dies bei einem hohen Sicherheitsanspruch überhaupt möglich?