Blockresistenz unter Benutzung von Skype - Diplomarbeit an der Technischen Universität Dresden September 2008 Sebastian Dochow Betreuer: Dr ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Blockresistenz unter Benutzung von
Skype
Diplomarbeit an der
Technischen Universität Dresden
September 2008
Sebastian Dochow
Betreuer: Dr. Sebastian Clauß
Hochschullehrer: Prof. Dr. A. Pfitzmann
Institut: Systemarchitektur
Fakultät InformatikJAP over Skype Erklärung Hiermit erkläre ich, Sebastian Dochow, die vorliegende Diplomarbeit zum Thema Blockresistenz unter Benutzung von Skype selbständig und ausschließlich unter Verwendung der im Quellenverzeichnis aufgeführten Literatur- und sonstigen Informationsquellen verfaßt zu haben. Dresden, den 14.09.2008 Sebastian Dochow Sebastian Dochow ii
JAP over Skype Inhaltsverzeichnis
Inhaltsverzeichnis
1 Einführung 1
1.1 Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2 Problemstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.3 Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
2 Grundlagen 3
2.1 Anonymität und Unverkettbarkeit . . . . . . . . . . . . . . . . . . . . . 3
2.2 Zensurresistenz und Zensuranfälligkeit . . . . . . . . . . . . . . . . . . . 3
2.3 Technologien des World Wide Web . . . . . . . . . . . . . . . . . . . . . 5
2.4 Anonymität im Kontext des Internet . . . . . . . . . . . . . . . . . . . . 8
2.5 Zensur im Kontext des Internet . . . . . . . . . . . . . . . . . . . . . . . 9
3 Zensurresistente und anonymisierende Ansätze 12
3.1 Anonymisierter Zugang zum World Wide Web . . . . . . . . . . . . . . . 12
3.1.1 AN.ON . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
3.2 Lösungen zur Umgehung von Zensur . . . . . . . . . . . . . . . . . . . . 14
3.2.1 Serverseitige Maßnahmen . . . . . . . . . . . . . . . . . . . . . 14
3.2.2 Verschleierung der Kommunikation . . . . . . . . . . . . . . . . 14
3.3 Blockungresistenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.3.1 Blockungresistenz von AN.ON . . . . . . . . . . . . . . . . . . 16
4 Blockungresistenz durch tolerierte Dienste 18
4.1 Idee . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
4.2 Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
4.3 Untersuchung möglicher Carrier Service . . . . . . . . . . . . . . . . . . 20
4.3.1 TLS beziehungsweise SSL . . . . . . . . . . . . . . . . . . . . . 20
4.3.2 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
4.3.3 E-Mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
4.3.4 Instant Messanger . . . . . . . . . . . . . . . . . . . . . . . . . 24
4.3.5 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . 25
5 Skype™ 27
5.1 Funktionalität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
5.2 Technisches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
5.2.1 Skype Network . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
5.2.2 Skype Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
5.2.3 Skype Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
5.2.4 Skype API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
5.3 Zensurmöglichkeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
5.3.1 Komplettsperrung . . . . . . . . . . . . . . . . . . . . . . . . . . 32
5.3.2 Einzellsperrung . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
5.4 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
6 Konzeption 35
6.1 Initiale Konzeption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
6.2 Forwarding Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Sebastian Dochow iiiJAP over Skype Inhaltsverzeichnis
6.3 Analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
6.4 Konzeption und Integration in JAP . . . . . . . . . . . . . . . . . . . . . 38
6.4.1 Verbindungen und Datenformat . . . . . . . . . . . . . . . . . . 38
6.4.2 Aufbau und erkennen von Verbindungen . . . . . . . . . . . . . . 38
6.4.3 Adressierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
6.4.4 Integration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
7 Umsetzung 42
7.1 Umsetzung der Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . 42
7.2 Weiterleiten über IStreamConnection . . . . . . . . . . . . . . . . . . . . 42
7.3 IChunkConnection und Adapter . . . . . . . . . . . . . . . . . . . . . . 43
7.4 Integration von Skype . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
7.5 Auswahl des Transportmediums und des Servers . . . . . . . . . . . . . 44
8 Evaluation 45
8.1 Analyse des Skypetransports . . . . . . . . . . . . . . . . . . . . . . . . 45
8.1.1 Beziehung und Inhalt . . . . . . . . . . . . . . . . . . . . . . . . 45
8.1.2 Verzögerung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
8.2 Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
9 Zusammenfassung und Ausblick 50
Abbildungsverzeichnis 51
Tabellenverzeichnis 51
Listingverzeichnis 51
Literatur 52
Sebastian Dochow ivJAP over Skype 1 Einführung
1 Einführung
1.1 Motivation
Das Internet hat in unserer heutigen Zeit einen noch nie da gewesenen Stellenwert. 60%
der deutschen Haushalte sind mit einen Breitbandzugang ausgestattet ([BT07]), und für
unterwegs bieten Telekommunikationsanbieter Lösungen, um mit dem Handy oder dem
Laptop von überall zu surfen. Online ist es mittlerweile möglich Waren zu erwerben, mit
anderen in Kontakt zu treten oder Informationen zu beinahe beliebigen Themen abzu-
rufen. Renomierte Tageszeitungen stellen ihre Artikel online, private Autoren veröffent-
lichen ihre eigenen Gedanken auf „Blogs“ und Projekte wie Wikipedia ermöglichen es
unentgeltlich auf universelles Wissen zuzugreifen. All diese Angebote benutzen die sel-
ben Technologien und sind prinzipiell auf der ganzen Welt abrufbar.
Praktisch ist es allerdings nicht möglich die beschriebenen Angebote von überall auf
der Welt abzurufen, selbst dann nicht, wenn ein Zugang zum Internet exitiert. Der Grund
hierfür liegt in den verschiedenen regionalen Bestimmungen zu verbotenen Inhalten und
den als Folge innerstaatlich angewendeten Zensurmechanismen auf den Informationsfluss
des Internets. Vom ethischen Standpunkt her, stellt die Bewertung solcher Maßnahmen
keine leichte Aufgabe dar und soll in dieser Form auch nicht erfolgen. Allerdings muss
festgehalten werden, dass neben einer Vielzahl vertretbarer Gründe (Sichererung der na-
tionalen Sicherheit, Schutz der Kinder vor Ausbeutung, Wahrung kultureller Normen und
religöser Werte) die Tatsache bestehen bleibt, dass sie in einigen Staaten dazu genutzt
werden, um kritische Meinungen zu unterdrücken oder Menschenrechtsverletzungen zu
verschleiern. So gestattet es China beispielsweise seiner Bevölkerung nicht Artikel über
„Falun Gong“ abzurufen und Saudi Arabien blockiert Zugriffe auf die Webseite der opo-
sitionellen Islah Bewegung1 . In diesem Zusammenhang stellt Zensur ein Instrument zur
Meinungsbildung dar und steht im Widerspruch zu der völkerrechtlich anerkannten Frei-
heit, sich ungehindert über öffentliche Quellen zu informieren2 .
1.2 Problemstellung
Unter diesem Gesichtspunkt ist es als positiv zu bewerten, dass in der Vergangenheit An-
onymisierungsdienste wie „AN.ON“ oder „TOR“ dazu verwendet wurden, Zensurmaß-
nahmen zu umgehen. Dies führte allerdings oftmals zu der Situation, dass in den ent-
sprechenden Ländern die Nutzung dieser Dienste selber unterdrückt wurde. Da hierdurch
nicht nur die Rezipientenfreiheit3 eingeschränkt, sondern zusätzlich noch die Möglich-
keit genommen wurde, sich anoym im Internet zu bewegen, ergibt sich der Wunsch nach
einem Anonymisierungsdienst, welcher eine gewisse „Resistenz“ gegen Sperrversuche
aufweißt.
Hierfür soll der Zugang zum Anonymisierungsdienst „AN.ON“ derart gestaltet werden,
dass eine Sperrung schwer bis unmöglich wird. Im Ansatz soll dabei nicht versucht wer-
den, dies durch eine reine Erhöhung der Anzahl an Zugangspunkten zu erreichen, sondern
stattdessen untersucht werden, in wieweit mit Hilfe etablierter und tolerierter Dienste ein
1
Jeweils aus den entsprechenden Länderreport von OpenNet (http://opennet.net)
2
Vergl. Artikel 19 des Internationalen Pakt über bürgerliche und politische Rechte. Nachzulesen im Be-
reich der UN-Dokumente des Insituts für Menschenrechte (http://institut-fuer-menschenrechte.
de/)
3
Rezipientenfreiheit bezeichnet das Recht, sich über öffentlich zugängliche Quelle ungehindert zu infor-
mieren.
Sebastian Dochow 1JAP over Skype 1 Einführung Zugang zum Anonymisierungssystem eingerichtet werden kann. Konkret soll dafür Sky- pe Verwendung finden, weshalb der JAP-Client um die Fähigkeit erweitert werden soll, über Skype Verbindungen zu Mixkaskaden aufzubauen. 1.3 Überblick Nach der Einführung im gegenwärtigen Kapitel werden im folgenden Kapitel die begriff- lichen Grundlagen geschaffen und die Bedeutung von Anonymität und Zensur im Kontext des Internets geklärt. Im Anschluss werden im 3. Kapitel gegenwärtige Systeme für einen anonymisierten Zugang zum World Wide Web beschrieben und Ansätze beleuchtet, wie bestimmte Formen der Zensur zu umgehen sind. Insbesondere wird dabei auf die Funk- tionsweise und Antizensurmaßnahmen von „AN.ON“ eingegangen, da dieses System in der späteren Umsetzung Verwendung findet. Der generelle Ansatz, mit Hilfe etablierter Dienste Blockungsresistenz umzusetzen, wird zusammen mit einem entsprechenden Anforderungskatalog im 4. Kapitel erarbei- tet. Auf Grundlage dieses Kataloges werden im selben Kapitel einzelne Dienste auf ihre Tauglichkeit in diesem Kontext untersucht. Eine umfassende Analyse des für die Umset- zung gewählten Skype-Systems erfolgt allerdings gesondert folgendem Kapitel, um den verschieden Aspekten dieses Dienstes den nötigen Platz einzuräumen. Auf Basis dieser Analyse soll im 6. Kapitel das grundlegende Vorgehen für die Inte- gration von Skype in das „AN.ON“-System dargelegt werden. Dieser Konzeption folgend wird im 7. Kapitel beschrieben, welche Veränderungen die Integration konkret mit sich brachte. Eine kritische Auseinandersetzung mit der Lösung wird im 8. Kapitel in Form einer Evaluation zu finden sein, indem auf Grundlage praktischer Analysen eine Bewertung erfolgt. Die Zusammenfassung dieser Arbeit wird zusammen mit einem Ausblicke für zukünftige im 9. und letzten Kapitel gegeben. Sebastian Dochow 2
JAP over Skype 2 Grundlagen
2 Grundlagen
Um sich einem System zu nähern, welches einen anynomen Zugang zum World Wide
Web ermöglicht und gleichzeitig gegen bestimmte Formen der Internetzensur resistent ist,
soll zunächst das Verständnis für die theoretischen Grundlagen des eigentlichen Problems
geschaffen werden. Dazu gilt es zunächst die Begriffe Anonymität und Zensur anhand
eines abstrakten Kommunikationsmodels zu erläutern, um im Anschluss dessen, über die
Beschreibung der Technologien des World Wide Web, die konkreten Bedeutung dieser
Konzepte im Kontext der Internetkommunikation zu klären.
2.1 Anonymität und Unverkettbarkeit
Um den Begriff der Anonymität zu bestimmen, wird auf die von [PH08] vorgeschlagene
Terminologie zurückgegriffen, welche den Begriff folgendermaßen definiert:
Anonymität . . . eines Subjektes bedeutet, dass dieses Subjekt innerhalb einer Menge
von Subjekten, der Anonymitätsmenge, nicht indentifizierbar ist4 .
Um im Folgenden den Begriff der Unverkettbarkeit zu erläutern, soll zunächst das eben-
falls in [PH08] enthaltene Kommunikationsmodell übernommen werden. Dieses geht ge-
nerell von der Existenz einzelner Stationen aus, welche über Nachrichten miteinander
kommunizieren. Jede Station kann dabei, je nachdem ob sie sendend oder empfangend
agiert, der Menge der Sender oder der Empfänger zugeordnet werden. In diesem Kontext
ergeben sich zwei Spezialisierungen des Anonymitätsbegriffes, da die Anonymitätsmenge
einer Station (Subjekt) nur Stationen umfassen kann, welche in der gleichen Rolle (Sender
bzw. Empfänger) wie die Station selber auftreten. Dadurch ist es möglich, innerhalb ei-
nes Kommunikationnetzwerkes, zwischen Senderanonymität und Empfängeranonymität
zu unterscheiden. Schematisch wird dieser Sachverhalt in Abbildung 1 dargestellt.
Ausgehend von einem Angreifer, dessen Ziel darin besteht dem Nachrichtenfluss Kom-
munikationsbeziehungen zuzuordnen, also die Anonymität von Sender oder Empfänger
aufzulösen, wird der Begriff der Unverkettbarkeit in [PH08] folgendermaßen bestimmt.
Unverkettbarkeit . . . von 2 oder mehreren interessierenden Dingen (Subjekt, Nach-
richt, Aktion, . . . ) aus der Sicht eines Angreifers bedeutet, dass innerhalb des Sys-
tems (einschließlich dieser und anderer Dinge), der Angreifer nicht in der Lage ist
hinreichend zu unterscheiden, ob diese Dinge miteinander in Beziehung stehen oder
nicht.
2.2 Zensurresistenz und Zensuranfälligkeit
Unter Zensur wird im Allgemeinen die Unterdrückung unerwünschter Veröffentlichun-
gen seitens staatlicher Stellen verstanden5 . In der Literatur ([DA04],[PRW05],[Küg03])
wird dabei meist von einem Dokument ausgegangen, welches sich auf einer der Stationen
befindet und auf die anderen Stationen verteilt werden soll. Das Anliegen eines Zensors
besteht wiederum darin, genau diese Verteilung zu verhindern. Unter der Annahme, dass
dieser nur Zugriff auf die Funktionalität des Kommunikationsmodells besitzt, also nicht in
4
Übersetzung des Autors mit Hilfe der im Anhang von [PH08] vorgeschlagenen Wortübersetzungen. Dies
wurde im Folgende auf alle Definitionen angewandt.
5
Vergl. [Brock06] Stichwort Zensur
Sebastian Dochow 3JAP over Skype 2 Grundlagen
Senderanonymitätsmenge Empfängeranonymitätsmenge
Kommunikationsnetzwerk
Sender Empänger Nachricht
Abbildung 1: Kommunikationsmodel nach [PH08]
der Lage ist das unerwünschte Dokument von der Station zu entfernen, ist davon auszuge-
hen, dass der Zensur gezielt die Kommunikation, welche der Verteilung des Dokumentes
dient, unterbinden wird. In diesem Zusammenhang kann Zensur als der Versuch angese-
hen werden, die Kommunikation zwischen zwei Stationen aktiv zu beeinflussen. Dieser
Ansatz erlaubt es Perng et al. [PRW05] im Umkehrschluss den Begriff der Zensurresis-
tenz zu bestimmen.
Zensurresistenz . . . ist die Möglichkeit eine 3. Partei daran zu hindern, die Verbreitung
von Dokumenten über ein System zu unterbinden.
Dabei wird von einer Verteilung nach dem Client-Server-Modell ausgegangen, in wel-
chem die Übermittlung des jeweiligen Dokumentes durch den Server erst nach einer vor-
ausgehenden Anfrage des Client einsetzt. Zur erfolgreichen Verteilung des Dokumentes
müssen demnach mindestens zwei Nachrichten ausgetauscht werden.
Zusätzlich führt [PRW05] den Begriff der Zensuranfälligkeit ein, welcher gezielt dem
Umstand Rechnung trägt, das Zensur nur eine Teilmenge aller Nachrichten beeinflusst.
Zensuranfälligkeit (informell) . . . drückt die Wahrscheinlichkeit aus, dass eine 3. Par-
tei ein bestimmtes Dokument blockieren kann und dabei zusätzlich noch den Zu-
gang zu mindestens einem weiteren Dokument unbeeinträchtigt lässt.
Sebastian Dochow 4JAP over Skype 2 Grundlagen
2.3 Technologien des World Wide Web
Das World Wide Web (WWW) in seiner ursprünglichen Idee [BL90] besteht aus einer
Menge von Hypertext-Dokumenten, welche sich dadurch auszeichnen, dass sie über Ver-
knüpfungen miteinander in Beziehung stehen. Um diese Idee zu verwirklichen wird auf
eine Vielzahl von Technologien zurück gegriffen, welche im wesentlichen zwei Teilbe-
reichen zugeordnet werden können [Sar02]6 .
• Datenpräsentation
Beinhaltet Formate und Standards um die verschiedenen Inhaltstypen (formatierter
Text, Grafik, Animation, . . . ), einheitlich und austauschbar zu präsentieren. Hierzu
ist inbesondere HTML und damit verbunden XML zu nennen.
• Networking
Hierunter fallen Techologien, welche dazu dienen die Kommunikation zwischen
den einzelnen Endpunkten zu gewährleisten. Insbesondere gehört hierzu das Auf-
finden von Diensten (DNS), die Adressierung von Ressourcen (URL) sowie die
Netzwerk- (TCP/IP) und Dienstkommunikationsprotokolle (HTTP, HTTPS).
Im Folgenden sollen nun einige der gängigen Technologien kurz erläutert werden, um
die Grundlage dafür zu schaffen, die sich aus ihnen ergebenen Probleme im Bereich der
Anonymität und Internetzensur zu verstehen.
HTML und XML
Unter HTML versteht man das Format, in welchem hauptsächlich Informationen
im WWW angebotenen werden. Es handelt sich dabei um eine Auszeichnungsspra-
che, die ausgehend von beliebigen Fließtexten, die Anfangs- und Endpositionen für
bestimmte logische oder physische Formatierung des Textes setzt. Die Kodierung
erfolgt allein nach internationalen Standardkodierungen für Zeichen (utf8, ansii,
. . . ) wodurch die Daten bereits mit einem Texteditor bearbeitbar sind. Verknüp-
fungen zu anderen Ressourcen werden als Formatierung umgesetzt, welcher die zu
verknüpfende Ressource als URL angefügt wird.7
XML kann man als Verallgemeinerung des HTML Konzeptes verstehen, bei wel-
chem es möglich ist, beliebige strukturierte Inhalte in Form von Textauszeichnun-
gen abzulegen. Auch bei diesem Format erfolgt die Kodierung nur auf Zeichenebe-
ne und ist somit ebenfalls mit einem einfachen Texteditor einzusehen. 8
URL
Durch URLs ist es möglich verschiedene elektronische Ressourcen auf einheitliche
Art und Weise zu lokalisieren. Dies wird erreicht, indem eine speziell gestaltete Zei-
chenkette darüber informiert, mit welchem Protokoll, Login, Port und in welchem
Verzeichniss eine Ressource (meist eine Datei) auf einem Host zu finden ist. Au-
ßerdem ist es noch möglich weitere Parameter anzufügen, um beispielsweise nur
6
[Sar02] selbst beschreibt in seiner Gliederung noch einen zusätzlichen 3. Bereich namens Informations-
beschaffung, welcher aber weniger auf etablierte Standards oder Formate aufbaut, sondern stattdessen
Algorhythmen beschreibt, welche allgemein anzuwenden sind, wenn Informationen extrahiert werden
müssen. Aus diesem Grund wurde auf diesen Bereich verzichtet.
7
Siehe auch http://www.w3.org/TR/html4/
8
Siehe auch http://www.w3.org/XML/
Sebastian Dochow 5JAP over Skype 2 Grundlagen
eine bestimmte Stelle innerhalb des Dokumentes zu adressieren oder zusätzliche
Parameter zu bestimmen9 .
Beispielsweise initiert die untere URL auf dem Host de.wikipedia.org die Su-
che nach dem Artikel über das Thema Zensur. Der eigentliche Suchstring wird der
Ressource (Spezial:Search) dabei als Parameter (search=Zensur) angefügt.
Beispiel: http://de.wikipedia.org/wiki/Spezial:Search?search=Zensur
URL der Wikipedia Suchseite
HTTP und HTTPS
Bei HTTP handelt es sich um ein zustandsloses Protokoll, welches dazu dient Da-
ten über ein Netzwerk zu übertragen. Als Kommunikationsparadigma wird auf ein
Client-Server-Modell zurückgegriffen, bei welchem (in vereinfachter Form) der
Client Anfragen (Request) an den Server stellt, auf welche dieser mit einer entspre-
chenden Antwort (Response) reagiert. Neben Vorgaben für den Ablauf der Kom-
munikation und dem Verhalten bei Fehlern, wird außerdem das Nachrichtenformat
bestimmt. Dieses sieht vor, dass sämtliche Nachrichten aus einem Kopf (Header),
mit dem Kontext entsprechende Verwaltungsinformationen, und den eigentlichen
Nutzdaten bestehen10 .
Die Angabe der jeweiligen Parameter im Header erfolgt dabei zeilenweise im Klar-
text. Üblicherweise besteht ein Request aus einem GET, an welches die eigentli-
che URL angefügt wird, sowie zusätzlichen Informationen, um zu bestimmen mit
welcher Anwendung die Anfrage erfolgte und in welcher Form Daten verarbeitet
werden können.
Der entsprechenden Response Nachricht liegen daraufhin, neben dem eigentlichen
Inhalt, Informationen über den antwortenden Server sowie Angaben zur Länge und
Kodierung der Nutzdaten bei.
Um die Sicherheit von HTTP zu erhöhen existiert die Erweiterung HTTPS, welche
im wesentlichen aus der Forderung besteht, die komplette HTTP-Kommunikation
über SSL/TSL abzuwickeln. Dadurch werden die vormals im Klartext übertragenen
HTTP-Nachrichten verschlüsselt und der Server authentifiziert11 .
TCP/IP
Durch TCP/IP werden zwei einander aufbauende Protokolle zusammengefasst, wel-
che für die Vermittlung und den Transport von Nachrichten innerhalb eines Netz-
werkes verantwortlich sind. Dabei kommt IP die Aufgabe zu, die jeweiligen Kno-
tenpunkte des Netzwerkes zu adressieren (IP-Adressen), wohingegen sich TCP um
einen verlässlichen Transport der Daten, und die Identifikation der auf den Knoten-
punkten laufenden Prozesse (Port-Nummer) bemüht12 .
Da für die bekanntesten Dienste bzw. Protokolle bereits Standardports existieren,
ist oftmals eine direkte Umsetzung zwischen Port und Protokoll möglich. So ver-
9
Siehe [BL05]
10
Siehe [Fie+ 99]
11
Siehe [Res00]
12
Siehe [Bra89]
Sebastian Dochow 6JAP over Skype 2 Grundlagen
wendet HTTP beispielsweise meistens den Port 80, so dass bei Verwendung des
HTTP-Protokolls meist implizit von diesem Port ausgegangen wird13 .
Zusätzlich ist noch zu sagen, dass nicht alle Knotenpunkte des Netzwerkes direkt
miteinander verbunden sind, weshalb die Übertragung der einzelnen Nachrichten-
pakte meist über mehrere Zwischenstationen erfolgt. Sofern keine weiteren Schutz-
maßnahmen getroffen wurden, geschieht dies im Klartext.
DNS
Die Aufgabe von DNS besteht darin, die Adressierung zu erleichtern, indem an
Stelle von IP-Adressen hierarchisch geordnete Bezeichner verwendet werden. Die
der Umsetzung zugrundeliegende Datenbank ist ebenfalls hierarchisch aufgebaut
und über mehrere Server verteilt. Auf Grund dessen erfolgt beispielsweise die Auf-
lösung von inf.tu-dresden.de, indem der Server für de die Anfrage an den Server
für tu-dresden delegiert, welcher wiederum die IP-Adresse für die inf-Domaine
ermittelt14 .
Generell ist zu sagen, dass die Protokolle geschachtelt verwendet werden und in ihrer
Funktionalität aufeinander aufbauen. So nutzt TCP zur Vermittlung das IP-Protokoll, in-
dem das eigentliche TCP-Paket in den Nutzdatenteil eines IP-Paketes eingebettet wird.
Entsprechend wird eine HTTP-Nachricht in ein TCP-Paket eingebettet, um eine gesi-
cherte Verbindung zur Gegenstelle zu gewährleisten. Schematisch ist dieser Prozess in
Abbildung 2(a) dargestellt.
Außerdem soll noch festgehalten werden, dass IP-Pakete selten direkt ausgetauscht
werden, da auf Grund der netzartigen Struktur des Internets nicht alle Stationen direkt
miteinander verbunden sind. Stattdessen wird ein Pfad bestimmt, auf welchem ein Paket
vom Sender zum Empfänger gelangt und alle sich auf diesem Pfad befindenden Stationen
helfen bei der Vermittlung des jeweiligen Paketes mit. Dieses Verhalten wird in Abbildung
2(b) dargestellt, wenn ausgehend von einem Sender (S), über verschiedene Zwischenkno-
ten, ein Pfad zu einem Empänger (E) aufgebaut wird.
P ro t ok ol l 1
Kopf Daten S
E
Kopf Kopf Daten
P rot o k o l l 2
(a) Geschachtelte Protokolle (b) Kommunikation mit Zwischenknoten
Abbildung 2: Netzwerkkommunikation im Internet
13
Umgekehrt lässt sich natürlich auch aus der Verwendung von Port 80 feststellen, dass höchstwahrschein-
lich Daten mit Hilfe von HTTP ausgetauscht werden.
14
[Moc87]
Sebastian Dochow 7JAP over Skype 2 Grundlagen
2.4 Anonymität im Kontext des Internet
Unter Anwendung des in Abschnitt 2.1 eingeführten Modells und der zugehörigen Termi-
nologie, lässt sich feststellen, dass für einen Angreifer, welcher in der Lage ist mindestens
einen Vermittlungsknoten oder Teilpfad zu überwachen, die Anonymitätsmenge des Sen-
ders, sowie des Empfängers, einer Nachricht auf eine Station reduziert werden kann. Dies
ergibt sich aus der Tatsache, dass jede Nachricht, selbst wenn ihr Inhalt durch Verschlüs-
selung geschützt ist, durch die Verwendung des IP-Protokolls, immer die IP-Adresse des
Senders sowie des Empfängers im Klartext enthält15 . Sofern die Zuordnung zwischen IP-
Adressen und Stationen konstant bleibt, ist unter diesem Angreifermodell Sender- wie
Empfängeranonymität nicht vorhanden. Bei sich ändernder Zuordnung sind Sender und
Empfänger mindestens für den Zeitraum zwischen zwei Wechsel deanonymisiert. Sofern
die während eines Wechsels stattfindende Neuzuordnung protokolliert wird, auch darüber
hinaus.
Dieser Angriff stellt nur insofern eine Schwierigkeit dar, als der Pfad, auf welchem
Nachrichten zwischen Sender und Empänger ausgetauscht werden, dynamisch bestimmt
wird und für jede Nachricht variieren kann. Allerdings werden unter bestimmten Sze-
narien einige Knoten mit höherer Wahrscheinlichkeit zur Vermittlung herangezogen als
Andere.
Beispielsweise erfolgt die Anbindung ans Internet, für die meisten Anwender, über
einen entsprechenden Dienstanbieter, wodurch der erste Vermittlungsknoten aller Pfa-
de bereits vorgegeben ist. Aus diesem Grund werden dann auch tatsächlich diese In-
ternet Service Provider (ISP) dazu genutzt, um innerstaatliche Maßnahmen zur Über-
wachung des Internets durchzusetzen. Durch die EU-Richtlinie zur Vorratsdatenspeiche-
rung [§EU06], ist es dadurch möglich, rückwirkend für bis zu 6 Monate, den Sender und
Empfänger einer Nachricht (auf IP-Ebene) zu bestimme. Durch die zusätzliche Protokol-
lierung der IP-Adress-Vergabe, ist es damit prinzipiell möglich, die beteiligten Parteien
komplett zu deanonymisieren.
Ein anderes Szenario stellt die Überwachung des Informationsflusses in eine Region
hinein und hinaus dar. Hierfür wäre es nötig, sämtliche Knotenpunkte zu überwachen,
welche diese Region mit der Außenwelt verbinden. Diesen Ansatz benutzt beispiels-
weise China, um den Zugang seiner Bürger zu ausländischen Informationen zu kon-
trollieren (vergl. [CMW06]) und auch jüngste Bemühungen in Deutschland zur Online-
Überwachung fordern die „gezielte strategische Überwachung von relevanten Internet-
Knoten“ [@Heise]. In dem Bericht auf Heise Online wird vermutet, dass „damit wohl
die Internet-Exchanges wie das DE-CIX [gemeint sind], durch die der größte Teil des
Datenverkehrs zwischen den Internet-Providern fließt.“
Zusammenfassend lässt sich sagen, dass in dem gegenwärtigen Aufbau des Internet
Sender- wie Empfängeranonymität nicht gegeben sind. Einerseits kann aus dem Inhalt der
Nachrichten auf Empfänger und Absender geschlossen werden und andererseits existieren
genügend Angriffspunkte um den Nachrichtenfluss abzuhören.
15
Ähnliches ergibt sich auch aus den Port-Nummern im eingebetten TCP-Paket. Hierdurch ist es möglich
bestimmte Aussagen über die verwendeten Dienste zu machen. Generell lässt sich diese Vorgehen so-
lange auf höher gelegene Protokolle anwenden, bis die jeweiligen Informationen nicht mehr im Klartext
vorliegen.
Sebastian Dochow 8JAP over Skype 2 Grundlagen
2.5 Zensur im Kontext des Internet
In Hinblick auf die Anwendung von Zensur lassen sich aus der Erörterung der Technolo-
gien in Abschnitt 2.3 mehrere Ansätze ableiten, die Verteilung der Inhalte des Word Wide
Web zielgerichtet zu beeinflussen. Wie bereits in Abschnitt 2.2 erwähnt, sollen dabei An-
griffe auf den Inhalt des Servers unberücksichtigt bleiben und nur die Möglichkeiten be-
trachtet werden, gezielt einzelne Kommunikationsbeziehungen zu stören. Dabei soll aber
nicht unerwähnt bleiben, dass es für einen Zensor sehr wohl möglich ist die Löschung
bestimmter Dokumente zu erzwingen. Reale Beispiele hierfür sind in [DH07] zu finden,
wo beschrieben wird, dass die Suchergebnisse von Google und Yahoo für die chinesische
Bevölkerung vorgefiltert werden, und zwar von Google und Yahoo selber. Diese Form des
Angriffs steht allerdings außerhalb der Betrachtung dieser Arbeit, da ihr vom technischen
Standpunkt her, nur durch präventive Maßnahmen zu begegnen ist.
Unter dem Gesichtspunkt, dass der Zensor keine Kontrolle über den Server erlangt und
stattdessen beabsichtigt einzelne, ausgewählte Kommunikationsbeziehungen zu kontrol-
lieren, erweisen sich die selben Netzwerkknoten als günstig zur Umsetzung von Zensur,
welche schon im vorherigen Abschnitt im Kontext der Anonymität herangezogen wur-
den. Durch umfassende Überwachung der ISP und Internet-Exchanges kann sichergestellt
werden, dass beinahe jede Nachricht für den Zensor einsehbar ist und durch die weites-
gehende Übertragung im Klartext können eine Vielzahl von Kriterien bestimmt werden,
um präzise über die Anwendung von Zensurmaßnahmen zu entscheiden. Die konkretten
Maßnahmen können dann vom simplen blockieren der Kommunikation bis hin zu zielge-
richtetem Verändern der Inhalte16 reichen.
Da die Zensurmaßnahmen selber nur schwer zu umgehen sind17 , soll der Schwerpunkt
dieser Betrachtung auf die Kriterien gerichtet werden, nach welchem über die Anwen-
dung entschieden wird. Hillig [Hil] gibt hierfür eine umfassende Auflistung von Attribu-
ten an, nach welchen gefiltert werden könnte. Diese setzen sich zusammengefasst aus den
Daten einzelner Nachrichten, dem Protokollverlauf oder dem Verkehrsverhalten (Traffic
Analysis) zusammen.
So kann man für die Daten einzelner Nachrichten festhalten, dass jede Protokollebene
weitere Attribute hinzufügt, aufgrund denen Filterkriterien gebildet werden können. Auf
unterster Ebene sind dabei natürlich die Informationen innerhalb des IP-Headers, allen
vorran die IP-Adressen des Absenders, sowie des Empfängers, zu nennen. Davon ausge-
hend lassen sich über die höheren Protokollebenen Aussagen über den Port (TCP), den
Dienst (TCP-Port oder Singnatur), den Dokumenttyp (MimeType oder Dateierweiterung)
bis hin zum Dokumentinhalt (Analyse des Inhaltes) machen, solange die Übermittlung
im Klartext erfolgt. Allerdings ist dabei zu beachten, dass je nachdem wie umfassend die
Anaylse der höheren Protokolle erfolgt, mit Latenzen und einem zusätzlichen Verbrauch
an Ressourcen zu rechnen ist, da eventuell Caching- und Dekodierverfahren angewendet
werden müssen18 .
Kriterien über den Protokollverlauf bedienen sich der Tatsache, dass zum erfolgrei-
16
Tatsächlich wird in den meisten Ländern einfach blockiert [Hil, ZE03]. Allerdings haben D. Espenschied
und A. C.H. Freude vom Odem Projekt [@Odem] bewiesen, wie mit relativ einfachen Mitteln die an-
gebotenen Inhalte unbemerkt verändert werden können.
17
[CMW06] beschreibt beispielsweise wie die Blockierungmaßnahme der chinesischen Regierung umgan-
gen werden konnte, weißt aber gleichzeitig darauf hin, dass dies in Zukunft wohl nicht mehr möglich
sein wird.
18
Beispielsweise ist es möglich, dass sich eine HTTP-Nachricht über mehrer TCP/IP Pakete erstreckt und
der Inhalt komprimiert wurde.
Sebastian Dochow 9JAP over Skype 2 Grundlagen
chen Versand oder Empfang mehrere Einzelschritte nötig sind, wobei für einige auch die
Funktionen zusätzlicher Protokolle herangezogen werden. Dadurch kann unter Umstän-
den bereits die Verwendung eines bestimmten Hilfsprotokolls oder die damit übertragenen
Daten als Filterkriterium dienen. Als Beispiel sei hier auf das später in diesem Abschnitt
erläuterte DNS poisoning verwiesen.
Zur Traffic Analysis ist zu sagen, dass es durch Beobachtung des Nachrichtenverkehrs
möglich ist Aussagen über den Inhalt zu machen, selbst wenn dieser nicht einzusehen ist.
So existieren Untersuchungen [Hin03, BLJ+ 06], die zeigen das es durch Vergleich des
beobachteten Nachrichtenaufkommen möglich ist, die besuchte Internetseite zu identifi-
zieren. Die mit dieser Technik verbunden Verfahren sind somit selbst dann in der Lage
als Filterkriterium zu agieren, wenn die Nachrichteninhalte, beispielsweise auf Grund von
Verschlüsselung, nicht herangezogen werden können.
Aus der Menge an möglichen Filterkriterien bestimmt Clayton [CMW06] drei Klassen
von System, welche tatsächlich Anwendung finden. Demnach existieren . . .
Packet dropping systems verwerfen auf Grund bestimmter Empfänger-IP-Adressen
(und eventuell zusätzlichen Ports) die jeweiligen IP-Pakete. In der Konzeption recht
einfach, liegen die Probleme dieses Verfahrens darin, dass eventuell zuviele Inhalte
des World Wide Web blockiert werden. So hat Edelman [Ede03] gezeigt, dass über
80% der unter .com,.org oder .net zu findenden Webhosts ihre IP-Adresse mit
mindestens einen weiteren Webhost teilen19
DNS poisoning systems basieren darauf, dass DNS Anfragen für einen zu blockie-
renden Host mit einer falschen IP-Adresse beantwortet werden. Die Nachteile die-
ses Verfahrens sind insofern paradox, als es gleichermaßen in der Lage ist zu vie-
le, wie zu wenige, Inhalte zu blockieren. Dies ergibt sich aus dem Umstand, dass
eventuell nicht alle Inhalte des Hostes zu blockieren sind, der Filter selbst aber auch
relativ einfach umgangen werden kann.
Sollte beispielsweise der Zugang zu einem Wikipedia20 Artikel blockiert werden,
wären bei diesem Ansatz sämtliche Artikel nicht zu erreichen. Gleichzeitig könnte
man aber durch direktes verwenden der zugehörigen IP-Adresse (http://91.198.
174.2) die Sperrung umgehen.
Content Inspection Schemes sind in der Lage, zielgerichtet bestimmte Inhalte zu
blockieren, indem die Entscheidung über Anwendung von Zenur vom Inhalt ab-
hängig gemacht wird. In der einfachsten Form wird hierzu nur die URL der je-
weiligen Ressource herangezogen und nach Schlüsselwörtern untersucht [Cla06].
Es gibt aber auch Systeme, welche direkt den Nachrichteninhalt nach verbotenem
Material durchsuchen und danach über die Blockade entscheiden [CMW06].
Gemeinsam ist beiden Ansätzen, dass sie einerseits sehr präzise arbeiten, ande-
rerseits aber auch erhebliche Kosten verursachen. Trotzdem finden solche Syste-
me, beispielsweise in Saudi Arabien [@SArab], Burma [@Burma] und Norwegen
[@Telenor] Verwendung.
19
Die Unterteilung erfolgt dabei durch sogenannte virtuelle Host des HTTP-Protokolls.
20
http://www.wikipedia.org
Sebastian Dochow 10JAP over Skype 2 Grundlagen
Zusätzlich zu den 3 Klassen von Systemen existieren noch Ansätze, welche auf gestaf-
felte Anwendung mehrerer Kriterien basieren [Cla06]. Hierbei wird auf Basis weniger
präzisen, dafür aber günstigeren Verfahren eine Vorauswahl getroffen, auf welche im An-
schluss Elemente der Inhaltsanalyse angewendet werden. Dadurch ist es möglich die Ver-
kehrslast und somit die Kosten für die präziseren Systeme zu senken.
durchdringend
substantiell
vermuted
keine Daten
Abbildung 3: Anwendung von politischer motivierter Onlinezensur (Quelle: http://
map.opennet.net/filtering-pol.html)
Letztendlich soll noch einmal festgehalten werden, dass die besprochenen Verfahren
keineswegs theoretischer Natur sind und bereits in weiten Teilen der Welt in unterschied-
lichem Ausmaß Anwendung finden. Abbildung 3 demonstriert überblickshaft, wie stark
beispielsweise die politischen orientierte Zensurmaßnahmen weltweit vertreten sind. Für
aktuelle länder- oder regionsspezifische Informationen, auch über politisch motivierte
Zensur hinaus, sei auf die Seite der Open Net Initiative21 verwiesen.
Zusammenfassend kann festgehalten werden, dass sich aus der Topologie des Inter-
net genügend Ansätze und aus den verwendeten Protokollen genügend Kriterien ableiten
lassen, um eine fein granulare Filterung des Internet umzusetzen. Das Spektrum der tech-
nischen Möglichkeiten reicht dabei von einfachen Blacklist-Verfahren, bei welchem auf
das Enthaltensein in entsprechenden Listen hin geprüft wird, bis hin zu dynamischen An-
sätzen, welche die Auswahl auf Basis der konkret übertragenen Inhalte fällen. Darauf
aufbauend ist die Anwendung gezielter Zensurmaßnahmen ein leichtes, da hierfür im ein-
fachsten Fall, dem Blockieren, lediglich die Weiterleitung der Nachrichten unterbunden
werden muss.
21
http://opennet.net/
Sebastian Dochow 11JAP over Skype 3 Zensurresistente und anonymisierende Ansätze
3 Zensurresistente und anonymisierende Ansätze
Nach der Beschreibung der Probleme im Zusammenhang mit Anonymität und Zensur im
vorherigen Kapitel, soll der Schwerpunkt nun darauf gerichtet werden, bestehende Lö-
sungen vorzustellen, wie diesen im Kontext des Internet zu begegnen ist. Hierzu werden
zunächst Verfahren zur Umsetzung von Anonymität beleuchtet, wobei insbesondere eine
kurze Darstellung des „AN.ON“-Systems erfolgt. Im Anschluss dessen werden Ansät-
ze vorgestellt, durch welche Zensurmaßnahmen teilweise umgangen werden können, um
am Ende des Kapitels abermals auf das „AN.ON“-System zurückzukommen, wenn die
konkreten Antiblockiermaßnahmen dieses Systems betrachtet werden.
3.1 Anonymisierter Zugang zum World Wide Web
Wie in Kapitel 2.4 beschrieben, ist es auf Grund der Verwendung des IP-Protokolles mit
relativ einfachen Mitteln möglich, die Anonymitätsmenge von Sender und Empfänger
auf eine Station zu reduzieren. Für eine anonymisierte Nutzung des World Wide Web
muss entsprechend eine Lösung gefunden werden, den Umfang dieser Menge zu erhö-
hen. Eine Möglichkeit dies zu erreichen, besteht darin die 1:1 Beziehung von Station und
IP-Adresse aufzuspalten, indem sich mehrere Stationen nach außen hin eine IP-Adresse
teilen.
Anonymisierungs-Proxy Im einfachsten Fall kann dazu ein Anonymisierungs-Proxy
[FSC+ 02] verwendet werden, welcher den Nachrichtenverkehr mehrerer Stationen bün-
delt. Dadurch kann ausgehend vom Proxy nicht mehr zwischen den einzelnen Stationen
unterschieden werden, da nur noch eine IP-Adresse (die des Proxy) auftritt22 . Weiterhin
kommunizieren die Stationen mit dem Proxy selber über eine verschlüsselte Verbindung,
sodass es nicht möglich ist, aus abgehörten eingehenden Nachrichten das ursprüngliche
Ziel zu extrahieren. Generell ist nur die Nutzung des Proxy erkennbar aber nicht die In-
tention.
Allerdings erfordert dieser Ansatz ein enormes Vertrauen in den Proxy, da dieser von
sämtlichen Kommunikationsbeziehungen weiß und als konstanter erster Zugangspunkt
für eine Überwachung prädestiniert ist. Außerdem existieren Angriffe, welche durch Ko-
rellation der eingehenden und ausgehenden Nachrichten die ursprüngliche Kommunika-
tionsbeziehung aufdecken können [ZFG+ 05].
Mixe Um diesen Nachteilen zu begegnen, wurden Systeme entwickelt, die auf dem von
Chaum eingeführten Modell der Mixe [Cha81] aufbauen. Ein Mix erfüllt dabei die Aufga-
be, die Beziehung zwischen eingehenden und ausgehenden Nachrichten zu verschleiern,
indem er diese umsortiert, umkodiert und in Schüben weiterleitet. Dabei existiert eine
Vielzahl von Varianten, diese Schübe (engl. batch) zu bilden (vergl. [DS03]).
Um nicht auf die Sicherheit eines Mixes zu vertrauen, werden zur Kommunikation
mehrere hintereinander genutzt. Aus der Art und Weise, wie diese organisiert sind, lassen
sich zwei Varianten ableiten [BDD+ 05]:
Mix Kaskade Bei M. K. gibt es eine feste Anzahl von Mixe, welche die Nachrichten
„gleichartig, auf einer vorbestimmten Route weiterleiten.“
22
Dies gilt natürlich nur, solgange der Sender nicht auf Grund des Nachrichteninhaltes identifizierbar ist.
Hierfür könnte eine konsequente Anwendung von Ende-zu-Ende Verschlüsselung angewendet werden.
Sebastian Dochow 12JAP over Skype 3 Zensurresistente und anonymisierende Ansätze
Peer-to-Peer (P2P) Systeme . . . bei welchem eine hohe Anzahl von dynamisch allo-
kierten Mixen die Nachrichten „unvorhersehbar über alle möglichen Routen leitet.“
Für beide Systeme lassen sich Stärken wie Schwächen ausmachen [BDD+ 05], sodass
in der praktischen Anwendung beide gleichermaßen Beachtung finden. So exitiert bei-
spielsweise mit TOR [Din06] eine Implementierung, welche auf dem Konzept der P2P-
Systeme aufbaut. Wohingegen das Konzept der Mix Kaskaden durch das von Berthold
et al. [BFK01] vorgestellte System der Web MIXe (gegenwärtig als AN.ON bezeichnet)
vertreten sind.
Da Letzteres in dieser Arbeit Verwendung findet, soll es im Folgenden kurz erläutert
werden.
3.1.1 AN.ON
Bei AN.ON handelt es sich um ein System zur anonymisierten Nutzung von Internet
Services, welches sich aus den Komponenten JAP, MIXes, Cache Proxy und Info-Service
zusammensetzt. Das Zusammenspiel der einzelnen Komponenten ist dabei in Abbildung
4 dargestellt.
Client 1 Mixkaskade
Browser JAP MIX MIX MIX Cache Proxy Webserver
Mixe propagieren
JAP ermittelt Verkehrssituation und
Adresse und Anonymitätslevel an
Status der Mixe Infoservice
Client n
über Infoservice
Infoservice
Webserver
Anonymitätsgruppe: Jeder
Client ist unbeobachtbar in der
Browser JAP Gruppe der Clients
Abbildung 4: Schematischer Aufbau von AN.ON nach [BFK01]
JAP stellt dabei den Zugangspunkt zur Mix Kaskade dar, indem er periodisch bidirek-
tionale Kanäle über die Mixkaskade einrichtet und, als lokal laufender Prozess, Anfragen
des Browsers entgegennimmt, um sie über diese Kanäle anonymisiert an den Cache Proxy
zu leiten. Die Anfragen werden hierfür nacheinander mit den öffentlichen Schlüsseln der
einzelnen Mixe verschlüsselt, wodurch einerseits die angesprochen Umkodierung auf den
Teilpfaden umgesetzt wird und andererseits allen bis auf den letzten Knoten der Kommu-
nikationskette die eigentliche Anfrage verborgen bleibt. Die sich ergebenden Antworten
werden entsprechend in umgekehrter Richtung an den Browser gesendet. Aus Sicht des
Browser agiert JAP damit in Form eines Proxy.
Die Mixe sind wie bereits erwähnt in einer Kaskade angeordnet und verändern für
jeden Schub an Nachrichten die Reihenfolge und für jede Nachricht die Kodierung (durch
Entschlüsselung) der Selben. Dabei handelt es sich bei den Mixen um einfache, sich im
Internet befindenden Computer.
Der Cache Proxy führt die eigentlichen Anfragen an den Webserver aus und nimmt die
entsprechenden Antworten entgegen. Dabei wendet er caching und prefetching Verfahren
an, um die Verkehrslast zu minimieren.
Sebastian Dochow 13JAP over Skype 3 Zensurresistente und anonymisierende Ansätze
Über den Info-Service werden Verwaltungsinformationen bereitgestellt, um es den JAP
zu ermöglichen, die Adressen sowie die öffentlichen Schlüssel der Mixe zu erfahren23 .
Generell ist noch zu sagen, dass vom JAP sowie dem Cache Proxy Dummy-Nachrichten
produziert werden, um Überlagerungsangriffe (vergl. [BL03]) zu erschweren.
3.2 Lösungen zur Umgehung von Zensur
In Kapitel 2.5 wurden zwei grundsätzliche Fälle ausgemacht, nach denen über die Anwen-
dung von Zensurmaßnahmen entschieden wird. Einerseits kann dem Zensor die Menge
der verbotenen Ressource bekannt sein und er versucht auf Basis der entsprechenden
Adresse bestimmte Kommunikationsbeziehungen zu unterbinden (Blacklist-Verfahren),
oder er fällt die Unterteilung zwischen erlaubten und unerlaubten Ressourcen dynamisch
auf Grund des Kommunikationsinhaltes (dynamische Verfahren) und blockiert entspre-
chend.
Zur Umgehung von Zensur sind im ersten Fall Ansätze bekannt, welche den Zugang
zur Ressource präventiv durch serverseitige Maßnahmen schützen. Im zweiten Fall da-
gegen muss prinzipiell versucht werden die Inhalte der Kommunikation für den Zensor
unkenntlich zu machen. Dabei kann festgehalten werden, dass, sofern es gelingt neben
den Inhalten auch die Kommunikationbeziehung (Adressen der Parteien) zu verschleiern,
über diesen Ansatz beiden Fällen begegnet werden kann. Wie die Ansätze konkret zu
gestalten sind, soll im Folgen geklärt werden.
3.2.1 Serverseitige Maßnahmen
Serverseitig sind zwei Verfahren bekannt, wie eine Ressource vor Zensur zu schützen ist.
Einerseits können durch Replikation [CSW+ 01] mehrere Zugangspunkte geschaffen wer-
den, von denen nicht alle dem Zensor bekannt sind. Anderseits kann die Verteilung durch
Verzahnung [CSW+ 01] für den Zensor untrennbar an eine andere Ressource gekoppelt
werden, deren Zugriff aus verschienden Gründen gewährt werden muss.
Die erwähnten Verfahren erfordern in der Umsetzung allerdings massive Veränderun-
gen an der Art und Weise, wie auf Ressourcen zugegriffen wird, weshalb sie in erster Linie
in eigenen Systemen Anwendung finden24 . Aus diesem Grund sind sie eher ungeeignet,
wenn nach Lösungen gesucht wird, beliebige Seiten des World Wide Web zensurressistent
anzusprechen.
3.2.2 Verschleierung der Kommunikation
Aus diesem Grund werden zur Umgehung von Zensur im Kontext des World Wide Web
im Wesentlichen Systeme verwendet, welche dem zweiten Ansatz folgen [Din06, KFH03,
NFHB+ 02]. Die Kommunikationsinhalte werden dabei generell durch Umkodierung ver-
schleiert, wobei diese für den Zensor entweder nicht erkennbar oder nicht umkehrbar sein
darf. Die ersten Forderung kann durch Anwendung von Steganographie erfüllt werden,
wohingegen für die zweite kryptographische Primitive prädestiniert sind.
23
Zusätzlich werden noch weitere Informationen, wie beispielsweise die Verkehrslast angeboten. Für die
prinzipielle Funktion sind sie aber nicht von Nöten.
24
Tatsächlich werden in [CSW+ 01] wie in [CSW+ 01] die erwähnten Verfahren im Kontext spezieller Ver-
teilungssysteme dargestellt.
Sebastian Dochow 14JAP over Skype 3 Zensurresistente und anonymisierende Ansätze
Um auf beliebige Ressourcen des World Wide Web gleichartig zuzugreifen, wird von
serverseitigen Änderungen abgesehen, da sonst nur einzelne Ressourcen erreichbar wä-
ren25 . Statt dessen wird, wie in Abbildung 5 dargestellt, versucht, die Kommunikation
zumindest auf einem Teilpfad entsprechend umzugestalten, indem zwischen Client und
Server ein Webproxy (oder ein funktional gleichwärtiges System) geschaltet wird. Dieser
hat dabei die Aufgabe, die verschleierten Anfragen des Clients entgegenzunehmen und in
üblicher Form an den Server zu senden. Die Antworten des Server werden entsprechend
in umgekehrte Art und Weise an den Client zurückgesendet. Der Sonderfall, dass neben
den Inhalten auch die Kommunikationsbeziehung von Client und Server zu verschleiern
ist, wird hierbei auf dem angesprochenen Teilpfad automatisch mit abgedeckt.
verschleierte
Kommunikation zwischen
Browser und Proxy
Proxy
reguläre Kommunikation
Browser Webserver Browser zwischen Proxy und Webserver
Server
Abbildung 5: Schutz der Kommunikation durch Verschleierung mittels zwischengeschal-
tetem Proxy
In Hinblick auf konkrete Umsetzungen kann man festhalten, dass sich die genannte
Funktionalität bereits aus der Nutzung der beschrieben Anonymisierungsdienste ergibt.
Diese stehen als Gesamtsystem zwischen der Kommunikation von Client und Server und
verschleiern die Identität und Intention des Absenders, sodass nicht mehr genügend Attri-
bute für die Anwendung der Filterkriterien zur Verfügung stehen. Köpsell [KFH03] weist
entsprechend darauf hin, dass „AN.ON“ auch gezielt zur Umgehung von Internetzensur
genutzt wird.
Allerdings darf in diesem Zusammenhang nicht vergessen werden, dass der erwähn-
te Aufbau in erster Linie dazu dient die Kommunikation zwischen Client und Proxy zu
schützen, und es ausgehend von den Exitnodes26 der Anoymisierungsdienste möglich ist,
Filterkriterien auf Basis des Empfängers oder des Inhaltes anzuwenden. Unter diesem
Gesichtspunkt beruht beispielsweise die Umgehung von Zensur seitens „AN.ON“ auch
zu einem großen Teil darauf, dass die eigentlichen Anfragen an den Webserver außerhalb
des zensierten Bereiches erfolgt. Solche Systeme umgehen Zensur also allenfalls für einen
abgesonderten Bereich. Da dieser aber auf Seiten des Client liegt, sind sie als günstig für
die Nutzung im World Wide Web zu erachten.
25
Tatsächlich nur jene Ressourcen, auf deren Server die entsprechenden Änderungen angewendet wurden.
26
Exitnodes bezeichnen die aus den Mixnetzwerk herausführenden Knoten.
Sebastian Dochow 15JAP over Skype 3 Zensurresistente und anonymisierende Ansätze
3.3 Blockungresistenz
Bei der Verwendung von Anonymisierungsdiensten zur Umgehung von Zensur, darf nicht
vergessen werden, dass dem Zensor die Verwendung des Dienstes nicht verborgen bleibt.
In der Konsequenz ist zu beobachten, dass neben den eigentlichen Ressourcen zusätz-
lich die Nutzung des Anonymisierungsdienstes blockiert wird. So weist Köpsell [KFH03]
ebenfalls darauf hin, dass nachdem „AN.ON“ zur Umgehung von Internetzensur genutzt
wurde, die entsprechenden Länder den Zugang zum Dienst blockierten. Die Herausforde-
rung besteht nun darin, den Anonymisierungsdienst selber resistent gegen diese Form der
Zensur zu gestalten.
Laut [KH04] sind hierzu zwei Teilprobleme zu lösen. Einerseits muss eine zensurresis-
tente Infrastruktur geschaffen werden, welche den Zugang zum Anonymisierungsdienst
ermöglicht. Andererseits muss ein Weg gefunden werden, die Informationen über diese
Infrastruktur an die entsprechenden Nutzer zu verteilen (Verteilungsservice).
Zur Bereitstellung der erwähnten Infrastruktur wird in gegenwärtigen Systemen auf
serverseitige Schutzmaßnahmen zurückgegriffen, indem versucht wird, die Anzahl an Zu-
gangspunkten zu erhöhen (vergl. [Din06, KH04]). Da aber mit dem Verteilungsservice
eine Datenbank sämtlicher Zugangspunkte existiert, muss diese gleichzeitig vor automa-
tisiertem Auslesen geschützt werden. Ansonsten wäre der Zensor in der Lage über diesen
Dienst eine stetig aktuelle Liste der zu blockierenden Zugangspunkte zu führen. Weiter-
hin muss an den Verteilungsservice selbst die Forderung gestellt werden, resistent gegen-
über Blockierung zu sein. Da dieser aber, im Vergleich zum Anonymisierungsdienst, mit
geringeren Anforderungen in Bezug auf Bandbreite und Latenz aus kommt, sind wesent-
lich zensurresistentere Verteilungsformen (Broadcast über Sattelit, versteckte Kanäle oder
ähnliches) anwendbar [KH04].
Zusätzlich ist zu beachten, dass die Anfragen an den Anonymisierungsdienst womög-
lich bestimmte Muster aufweisen27 und sich dadurch von den üblicherweise im Internet
befindenden Nachrichten abgrenzen lassen. Dadurch sind, seitens des Zensors, Filterkri-
terien denkbar, welche auf Grund dieser Muster die Weiterleitung der Nachrichten un-
terbinden. Als Gegenmaßnahme wird vorgeschlagen, den Nachrichtenverkehr soweit zu
normalisieren, dass er nicht mehr von tolerierten zu unterscheiden ist [Din06] oder, durch
die Anwendung von Steganographie, gänzlich zu verschleiern [KH04].
3.3.1 Blockungresistenz von AN.ON
Für den konkreten Fall der Blockungsresistenz im Anonymisierungsdienst „AN.ON“ wur-
de ebenfalls versucht, die Anzahl der Zugangsknoten zu erhöhen [KH04]. Die Idee baut
dabei im Speziellen auf dem Ansatz von Femster et al. [FBW+ 03] auf, der es auch nicht
vertrauenswürdigen Knoten gestattet, als Zugangspunkte zu agieren. Die hinzugekom-
menden Zugangspunkte werden in diesem Fall vor Blockierung schützt, indem der Ver-
teilungsservice immer nur eine Teilmenge dieser offeriert.
Die Umsetzung ist schematisch in Abbildung 6 dargestellt und beruht auf der zusätz-
lichen Fähigkeit des JAP-Clients (JAPR ), Nachrichten von anderen JAP-Clients (JAPB )
weiterzuleiten. Dadurch kann jeder Anwender als potentieler Zugangspunkt agieren. Da-
mit der weiterleitende Knoten nicht in der Lage ist, die Nachrichteninhalte zu lesen, wird
27
Dazu könnte auch zählen, dass gerade kein Muster auszumachen ist. Wie bereits in Kapitel 2.3 erwähnt
besitzen übliche Nachrichten im Internet eine Vielzahl von auswertbaren Attributen. Sollten diese feh-
len, kann dies unter Umständen bereits verdächtig wirken.
Sebastian Dochow 16JAP over Skype 3 Zensurresistente und anonymisierende Ansätze
Der Zensor blockiert Zugriffe auf Webseiten
und jede einzelne Kascade
JAP B Mixkaskade 1 Webserver
Packet von JAP B
JAP R Packet von JAP R Mixkaskade 2 Webserver
Abbildung 6: Blockungsresistenz von AN.ON nach [KH04]
eine Ende-zu-Ende Verschlüsselung zwischen weitergeleiteten Client (JAPB ) und Mix-
kaskade eingesetzt. Die Kommunikation zwischen JAPR und JAPB erfolgt allerdings im
Klartext.
Der angesprochene Schutz der Adresse der weiterleitenden Knoten (JAPR ) wird er-
reicht, indem Anfragen an den Infoservice bezüglich JAPR -Zugängen erst nach erfolgrei-
chem Lösen eines Rätsels beantwortet werden. Das Rätsel ist dabei so beschaffen, dass es
maschinell nur schwer lösbar ist (vergl. [KH04]).
Sebastian Dochow 17JAP over Skype 4 Blockungresistenz durch tolerierte Dienste
4 Blockungresistenz durch tolerierte Dienste
Anders als in den Anti-Blockade-Verfahren des vorherigen Kapitels, soll innerhalb dieser
Arbeit der Schwerpunkt weg von den Zugangspunkten und stattdessen hin zur Kommu-
nikation zwischen Client und Proxy gerichtet werden. Diese soll mit Hilfe der Funktio-
nen eines tolerierten Dienstes vor der Blockade seitens des Zensors geschützt werden.
Neben der genauen Beschreibung des entsprechenden Ansatzes, soll dazu im folgenden
ein Anforderungskatalog erarbeitet werden, um an diesem die Tauglichkeit verschiedener
Dienste im Kontext dieser Idee zu untersuchen.
4.1 Idee
In der Erörterung zum Schutz der Kommunikation in Kapitel 3.2.2 wurde generell die
Verwendung eines Proxy vorgeschlagen, um die Kommunikation zumindest auf einem
Teilpfad zu schützen. Dem Proxy oblag dabei die Aufgabe, die Kommunikation zwischen
Client und Proxy so zu gestalten, dass die eigentliche Kommunikation mit dem Server
nicht zu erkennen ist. Dabei konnte festgestellt werden, dass diese Funktionalität durch
einige Anonymisierungsdienste erbracht wird, weshalb diese hierfür Verwendung finden.
Allerdings stellen Anonymisierungsdienste nur eine mögliche Umsetzung dieses An-
satzes dar und es sind, dem generellen Aufbau folgend, weitere Wege denkbar, um die
Inhalte der Client-Proxy-Kommunikation zu verbergen. So könnte beispielsweise ein ver-
schleierndes Transportprotokoll verwendet werden, um den angesprochenen Schutz auf
dem Teilpfad umzusetzen. Dadurch wären allerdings tatsächlich nur die Inhalte verbor-
gen und die generelle Kommunikation von Client und Proxy bliebe für den Zensor er-
kennbar28 . Um zusätzlich noch diese Kommunikationsbeziehung zu verbergen, soll für
die Client-Proxy-Kommunikation auf die Transportfunktionalität eines tolerierten Diens-
tes zurückgegriffen werden (Abbildung 7). Da es sich bei dem erwähnten Proxy auch um
den Zugangspunkt eines Anonymisierungsdienstes handeln kann und über diesen Weg
eine zensurresistente Verbindung zu diesem aufgebaut wird, soll der beschriebe Ansatz
dazu dienen, Anonymisierungsdiensten eine gewisse Form von „Blockungsresistenz“ zu
verschaffen.
Transportsystem
des Dienstes
Browser Proxy
Transportsystem eines Dienstes
dient zur verschleierten
Kommunikation
Abbildung 7: Verschleierung der Kommunikation mittels eines Dienstes
28
Unter der Annahme, dass dem Zensor die Adresse des Proxy bekannt ist und das verschleiernde Protokoll
die selbe Adressierung verwendet. Davon kann ausgegangen werden, da zur Umsetzung eines eigenen
Adressierungsmechanismus eine entsprechende Infrastruktur geschaffen werden muss, was nicht alleine
durch ein Protokoll gelingt.
Sebastian Dochow 18Sie können auch lesen
