Defending the Right to Communicate: Anonymity and Filter Traversal & Fair Validation of Database Replies Der Technischen Fakultät der Universität Erlangen–Nürnberg zur Erlangung des Grades Doktor – Ingenieur vorgelegt von Dipl. math. Matthias Bauer Erlangen – 2004 Als Dissertation genehmigt von der Technischen Fakultät der Universität Erlangen–Nürnberg Tag der Einreichung: 16. September 2004 Tag der Promotion: 3. Juni 2005 Dekan: Prof. Dr. rer. nat. A. Winnacker Berichterstatter: Prof. Dr-Ing. R. German Dr-Ing. M. Kaiserswerth Das Recht auf Kommunikation verteidigen: Anonymität und Filter–Unterwanderung & Gerechte Überprüfung von Datenbank–Antworten Der Technischen Fakultät der Universität Erlangen–Nürnberg zur Erlangung des Grades Doktor – Ingenieur vorgelegt von Dipl. math. Matthias Bauer Erlangen – 2004 Als Dissertation genehmigt von der Technischen Fakultät der Universität Erlangen–Nürnberg Tag der Einreichung: 16. September 2004 Tag der Promotion: 3. Juni 2005 Dekan: Prof. Dr. rer. nat. A. Winnacker Berichterstatter: Prof. Dr-Ing. R. German Dr-Ing. M. Kaiserswerth Inhaltsverzeichnis I Freie Kommunikation in Gegenwart eines starken Angreifers 9 1 Einleitung 11 1.1 Freie Kommunikation im Internet: eine Utopie? . 11 1.1.1 Beispiel: E–Mail . 17 1.2 Struktur dieses Teils der Arbeit . 17 2 Anonymität und verwandte Konzepte 19 2.1 Terminologie . 19 2.1.1 Definition des Angreifers . 20 2.2 Methoden . 21 2.2.1 Verschlüsselter Rundfunk . 21 2.2.2 Chaums Mixe und verwandte Protokolle . 21 2.2.3 Erweiterungen von Chaums Mixen . 23 2.2.4 Implementationen von Mixen . 25 2.2.5 Onion Routing . 26 2.2.6 Chaums Dining Cryptographers Netzwerke . 27 2.3 Anti–Zensur Techniken . 29 2.4 Protokolle für unzuverlässige Medien . 31 2.4.1 Multicast als scheinbar attraktiver Rundfunk Kanal . 32 2.4.2 Multicast und Empfänger–Anonymität . 33 2.5 Ergebnisse dieses Kapitels . 37 3 Verdeckte Kanäle im TCP/IP Stack 39 3.1 Überblick . 39 3.2 Tunneln . 39 3.3 Verdeckte und Sublime Kanäle . 40 3.3.1 Verdeckte Kanäle . 40 3.3.2 Sublime Kanäle . 41 3.3.3 Verwandtes . 43 3.4 Neue Perspektiven auf Kanäle . 44 3.5 Verdeckte Kanäle in TCP/IP Protokollen . 45 3.5.1 Klassifijation von Kanälen . 46 3.5.2 Blockieren von ausgewählten Kanälen . 46 3.6 Schlussfolgerungen . 59 3 4 4 Bewegliche Begegnungspunkte 61 4.1 Einleitung . 61 4.1.1 Übliche Vorgehensweisen . 61 4.1.2 Struktur dieses Kapitels . 62 4.2 Begegnungspunkte . 62 4.2.1 Grundsätzlicher Ansatz . 62 4.3 Beispiel mit Freenet . 63 4.4 Mit etablierten Protokollen . 64 4.4.1 Kurzer Exkurs: das Domain Name System . 64 4.4.2 Beispiel mit Dynamic DNS Diensten . 65 4.4.3 Mit offenen Relais zur Kommunikation anstelle von Spam 66 4.4.4 Leichte Verschlechterung des Angebots . 67 4.4.5 ICMP Push und Pull . 68 4.5 Verwandte Methoden . 70 4.6 Ergebnisse dieses Kapitels . 70 5 Das gedämpfte Posthorn 71 5.1 Motivation . 71 5.2 Verwandte Arbeiten . 73 5.3 Bedrohungs–Modell . 73 5.4 Hintergrund . 74 5.5 Server–zu–Server Kanäle . 75 5.6 Das gedämpfte Posthorn . 78 5.6.1 Der Aufbau . 78 5.6.2 Eine erste Version . 79 5.6.3 Verbesserte Version . 80 5.6.4 Eigenschaften des Protokolls . 81 5.7 Verbleibende Probleme und Vorschläge . 82 5.8 Die Implementation . 82 5.9 Ergebnisse dieses Kapitels . 84 6 Schlussfolgerungen 85 6.1 Ist Filtern überhaupt möglich? . 85 II Gerechte Überprüfung von Databank–Antworten 87 7 Gerechte Überprüfung von Databank–Antworten 89 7.1 Motivation . 89 7.1.1 Angriffe bemerken . 90 7.2 Zustands–Credentials . 93 7.2.1 Bloom Filter . 92 7.2.2 Einfache Hashes . 92 7.2.3 Hash Ketten . 92 7.2.4 Hash Bäume . 93 7.3 Hash Bäume mit Schlüsseln . 94 7.4 Ausgedünnte Hash Baum Algorithmen . 95 2 7.4.1 Berechnung von Paaren entlang von Pfaden . 96 7.4.2 Einfügen eines Eintrags . 97 7.4.3 Löschen eines Eintrags . 97 7.4.4 Eigenschaften . 97 7.5 Verwandte Arbeiten . 98 7.5.1 Undeniable Attesters . 98 7.5.2 Zero-Knowledge Sets . 101 7.6 Schlussfolgerungen . 104 Bibliographie 109 3 Die Arbeit besteht aus zwei Teilen. Die Hauptaussage des ersten Teils besteht darin, dass geheime Zwei–Wege–Kommunikation im Internet nicht verhindert werden kann, unabhängig von etwaigen Filtermethoden. Wir zeigen wie Part- ner Kanäle für spätere Kommunikation auch unter aktiver Filterung anlegen können. Wir untersuchen verdeckte Kanäle auf allen Schichten des TCP/IP Schichtmodells und der wichtigsten Anwendungsprotokolle. Wir beschreiben Anonymisierungstechniken und ihre Beschränkungen in bestimmten Szenar- ien. Durch Kombination von verdeckten Kanälen in einem verbreiteten Pro- tokoll und Anonymisierung entwickeln wir ein Nachrichtenprotokoll das unbeobachtbare Kommunikation erlaubt. Im zweiten Teil der Dissertation stellen wir ein Protokoll zur interaktiven Überprüfung von Datenbank–Antworten vor. Das Protokoll ist effizient in der Anzahl und Größe der ausgetauschten Nachrichten. Eine besondere Eigen- schaft ist, dass sogar die Nicht–Existenz von Einträgen effizient verifiziert wer- den kann. 4 This dissertation consists of two parts. The main thesis of the first part is that secret, two–party communication cannot be prevented on the Internet, regard- less of filtering methods. We show how partners can arrange a channel for further communication despite active filtering. We examine covert channels on all layers of the TCP/IP stack and its main application protocols. We de- scribe anonymizing techniques and their limits in certain scenarios. By com- bining covert channels in a popular protocol and anonymization we develop a messaging protocol which allows unobservable communication. In the second part of the dissertation we present a protocol for the inter- active validation of database replies. The protocol is efficient in the number and size of the messages exchanged. A special property is that even the non– existence of records can be verified efficiently. Contents I Free Communication in Presence of strong Adversaries 9 1 Introduction 11 1.1 Free Communication on the Internet: a Utopia? . 11 1.1.1 Example: E–Mail . 17 1.2 Structure of this part of the Thesis . 17 2 Anonymity and related Concepts 19 2.1 Terminology . 19 2.1.1 Definition of Attackers . 20 2.2 Methods . 21 2.2.1 Encrypted Broadcast . 21 2.2.2 Chaumian Mixes and related protocols . 21 2.2.3 Extensions of Chaum's Mixes . 23 2.2.4 Implementations of Mixes . 25 2.2.5 Onion Routing . 26 2.2.6 Chaum's Dining Cryptographers Networks . 27 2.3 Anti–Censorship Techniques . 29 2.4 Protocols for unreliable Media . 31 2.4.1 Multicast as seemingly attractive broadcast channel . 32 2.4.2 Multicast and receiver–anonymity . 33 2.5 Results of this chapter . 37 3 Covert Channels in the TCP/IP Stack 39 3.1 Overview . 39 3.2 Tunneling . 39 3.3 Covert and Subliminal Channels . 40 3.3.1 Covert Channels . 40 3.3.2 Subliminal Channels . 41 3.3.3 Related Topics . 43 3.4 New perspectives on channels . 44 3.5 Covert Channels in TCP/IP Protocols . 45 3.5.1 Classification of Channels . 46 3.5.2 Blocking of selected Channels . 46 3.6 Conclusion . 59 5 6 CONTENTS 4 Moving Points of Rendezvous 61 4.1 Introduction . 61 4.1.1 Common practice . 61 4.1.2 Structure of this Chapter . 62 4.2 Points of Rendezvous . 62 4.2.1 Basic Approach . 62 4.3 Example using Freenet . 63 4.4 Using established Protocols . 64 4.4.1 Short excursion: the Domain Name System . 64 4.4.2 Example using Dynamic DNS Services . 65 4.4.3 Using open relays for communication instead of spam- ming . 66 4.4.4 Slight Degradation of Service . 67 4.4.5 ICMP Push and Pull . 68 4.5 Related Methods . 70 4.6 Results of this chapter . 70 5 The Muted Post–horn 71 5.1 Motivation . 71 5.2 Related Work . 73 5.3 Threat Model . 73 5.4 Background . 74 5.5 Server–to–Server Channels . ..