Überlastkontrollmechanismen für Anonymisierungs-Overlays
Final Report Abstract
Die Ergebnisse des Projektes umfassen Beiträge in vier großen Bereichen. Erstens wurde bereits bei den ersten Arbeiten zur Modellierung des Verhaltens von Tor die Fairness zwischen den Overlay-Datenströmen als relevantes Problemfeld identifiziert. Es stellte sich heraus, dass hier schon Modifikationen von sehr überschaubarer Komplexität wesentliche Verbesserungen erreichen können. Wir haben entsprechende Mechanismen entworfen und evaluiert. Von uns vorgeschlagene Verbesserungen sind mittlerweile im Tor-Netzwerk implementiert. Zweitens stellte sich bei näherer Untersuchung des Zusammenspiels zwischen den existierenden Zuverlässigkeits- und Flusskontrollmechanismen im Tor-Protokoll heraus, dass die dort getroffenen Entwurfsentscheidungen zu einem schweren Sicherheitsproblem führen. Dieses betraf alle Tor-Versionen über einen Zeitraum von mehr als zehn Jahren. Von dieser Erkenntnis haben wir die Tor-Entwickler unmittelbar in Kenntnis gesetzt. Da es sich nicht um einen Implementierungsfehler, sondern um ein unmittelbar aus der Protokollspezifikation resultierendes und damit sehr viel tiefer liegendes Problem handelte, stellte die Behebung des Fehlers in einem laufenden Netz mit Millionen von Nutzern eine große Herausforderung dar. Gemeinsam mit zwei Tor-Entwicklern, die am US Naval Research Laboratory tätig sind, haben wir die hierdurch ermöglichten Angriffsvektoren sowie verschiedene Abwehrstrategien detailliert untersucht. Eine von uns vorgeschlagene Gegenmaßnahme wurde vor Veröffentlichung der Details zu der Verwundbarkeit in der Tor-Software implementiert. Statistische Daten über die typische Nutzung eines Netzwerks sind elementar wichtig, um dafür entwickelte Mechanismen glaubwürdig evaluieren und bewerten zu können. Dies gilt selbstverständlich auch für Anonymisierungsnetzwerke, die jedoch in dieser Hinsicht besondere Herausforderungen bereithalten – eben weil sie ihre Nutzer und deren Verhalten auch gegenüber netzwerkinternen Stellen möglichst gut verschleiern möchten. Über das Projekt „Tor Metrics“ [Met] sind viele Daten über die Nutzung von Tor verfügbar. Ein genauerer Blick auf die Daten und vor allem auf die Methoden zu ihrer Erhebung ließ jedoch große Zweifel an ihrer Genauigkeit aufkommen. Die Suche nach besseren Lösungen führte zu dem dritten wissenschaftlichen Beitrag, der im Rahmen des Projektes entstand: Ein auf inhärent anonymisierenden Datenstrukturen aufbauender Ansatz zur Erhebung von Nutzungsstatistiken in einem verteilten System, für den wir starke Datenschutzeigenschaften beweisen und informationstheoretisch quantifizieren konnten. Schließlich entstand im Rahmen des Projektes auch ein vollständiger Neuentwurf eines Zuverlässigkeits-, Fluss- und Überlastkontrollansatzes für ein Anonymisierungsnetzwerk. Es verzichtet vollständig auf Ende-zu-Ende-Rückmeldungen für Zuverlässigkeit, Lastkontrolle und Flusskontrolle. Wir konnten nachweisen, dass dieser Ansatz eine deutlich bessere Ressourcennutzung und drastisch geringere Latenzzeiten bei verbesserter Fairness erreicht. Er vermeidet darüber hinaus bereits im Ansatz die Probleme, die zu dem oben genannten Sicherheitsproblem geführt haben. Im Rahmen der Arbeiten an diesem Protokoll entstand auch ein detailliertes Simulationsmodell von Tor für den Netzwerksimulator ns-3, das wir der Community frei zur Verfügung stellen.
Publications
-
Distributed Privacy-Aware User Counting. In: HotPETS ’11: 4th Workshop on Hot Topics in Privacy Enhancing Technologies, Juli 2011
Tschorsch, Florian; Scheuermann, Björn
-
Tor is Unfair - and What to Do About It. In: LCN ’11: 36th IEEE Conference on Local Computer Networks, Oktober 2011, S. 432–440
Tschorsch, Florian; Scheuermann, Björn
-
An Algorithm for Privacy-Preserving Distributed User Statistics. In: Elsevier Computer Networks 57 (2013), Oktober, Nr. 14, S. 2775–2787
Tschorsch, Florian; Scheuermann, Björn
-
How (not) to Build a Transport Layer for Anonymity Overlays. In: ACM SIGMETRICS Performance Evaluation Review 40 (2013), März, Nr. 4, S. 101– 106
Tschorsch, Florian; Scheuermann, Björn
-
The Sniper Attack: Anonymously Deanonymizing and Disabling the Tor Network. In: NDSS ’14: 18th ISOC Network and Distributed System Security Symposium, Januar 2014
Jansen, Rob; Tschorsch, Florian; Johnson, Aaron; Scheuermann, Björn
-
Mind the Gap: Towards a Backpressure-Based Transport Protocol for the Tor Network. NSDI ’16: 13th USENIX Symposium on Networked Systems Design and Implementation, März 2016
Tschorsch, Florian; Scheuermann, Björn