Open Topics

Die Fehlertoleranz von Mix-Netzen wurde von der Forschung bisher weitesgehend übergangen und der Fokus stattdessen auf Performanz und Anonymitätsgrad der jeweiligen Netze gelegt. Die Sicherstellung der Verfügbarkeit von Anonymitätsnetzen ist jedoch unverzichtbar. Eine (temporäre) Nichtverfügbarkeit der Netze kann sowohl zu einer Verkleinerung der Anonymitätsgruppe als auch zur Nutzung weniger sicherer Netze führen. In beiden Fällen verringert dies die Anonymität der Nutzenden und riskiert folglich ihre Deanonymisierung.

Mix-Netze fallen unter die Kategorie der verteilten Systeme. Der Aspekt der Anonymität erschwert eine Übertragung existierender Fehlertoleranz-Mechanismen anderer verteilter Systeme (z.B. Lastenverteilung oder Relocation of Roles) auf die Architektur der Mix-Netze. So sind beispielsweise Ende-zu-Ende-Mechanismen ungeeignet, da sie eine Verkehrsanalyse begünstigen.

Im Rahmen dieser Abschlussarbeit soll daher

- bestehende Fehlertoleranz-Mechanismen für verteilte Systeme sollen in einer Literaturrecherche ermittelt und auf ihre Anwendbarkeit auf Mix-Netze geprüft werden,

- Vor- und Nachteile der Mechanismen auf die Anonymität, Performanz und die IT-Schutzziele im Netz erhoben werden,

- ein Fehlertoleranz-Mechanismus für high-latency Mix-Netze entworfen werden.

Mit der Implementation von Katzenpost [1,2] ist es erstmals gelungen, ein Automatic-Repeat-reQuest-Schema (ARQ) innerhalb eines Mix-Netzes umzusetzen, ohne dabei das Risiko einer VVerkehrsanalyse für die Nutzenden des Anonymisierungsnetzes signifikant zu erhöhen. ARQ-Schemata sind bereits durch das TCP-Protokoll bekannt, wo sie durch ACKnowledgement-Kontrollnachrichten einen gewissen Grad an Zuverlässigkeit in die Nachrichtenübertragung bringen. Durch eine Erweiterung des Sphinx-Protokolls [3] ist es möglich, sogenannte SURBs (Single Use Reply Block) in die versendeten Mix-Nachrichten zu integrieren, die bei Ankunft in sogenannten Edge-Providern ausgelesen und über eine direkte Route zurück zum Absender geleitet werden können.

Da Katzenpost, wie die meisten Mix-Netze, eine Verbindung über drei verschiedene Mixe bildet (samt 2 Edge-Providern) können die gesendeten Nachrichten an verschiedenen Stellen der Verbindung verloren gehen. Momentan ist Katzenpost lediglich in der Lage, einen Verlust zu melden, kann allerdings nicht spezifizieren, an welcher Stelle der Verbindung die Nachricht verloren gegangen ist. Dem Klienten ist es daher unmöglich, den Fehler in Verbindung gezielt zu umgehen.

Innerhalb dieser Abschlussarbeit soll

- die Architektur Katzenposts erforscht werden, inwieweit diese die Erweiterung der Verlässlichkeit oder weitere Ziele zur Steigerung der Verfügbarkeit ermöglicht,

- eine Implementation der oben genannten Möglichkeiten erfolgen,

- die Auswirkungen auf die IT-Schutzziele, Anonymität und Performanz in Katzenpost analysiert werden.

[1] https://katzenpost.mixnetworks.org/

[2] https://sphinx.rs/catshadow.pdf

[3] https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=5207650

Cloud-Umgebungen ermöglichen ein flexibles Anmieten von Rechenressourcen ohne vorherige Beschaffung eigener Hardware. Stellt ein Cloud-Provider eine Infrastructure-as-a-Service-Umgebung für die Öffentlichkeit bereit, werden in der Regel virtuelle Maschinen (VMs) verschiedener Kunden, die sich untereinander nicht unbedingt vertrauen, auf einem physischen Computer gehostet. Trotz der weitestgehenden Isolation dieser VMs voneinander entstehen durch die gemeinsame Nutzung von Ressourcen Sicherheitsprobleme. So ist es beispielsweise möglich, mittels Seitenakanlangriffen Rückschlüsse über Aktivitäten in anderen VMs zu ziehen.

Da solche Sicherheitsprobleme sich in der Regel auf VMs beziehen, die auf demselben physischen Computer betrieben werden, wurden Platzierungsstrategien entwickelt, die durch geschickte Verteilung der VMs verschiedener Kunden auf Server die sogenannte Kolokationsresistenz erhöhen sollen. Diese beschreibt, wie wahrscheinlich es ist, dass nie eine VM eines Kunden mit der VM eines Angreifers auf einem Server zusammentrifft. Die Erreichung dieses Ziels steht im Konflikt mit der optimalen Ausnutzung von Ressourcen und somit der Minimierung von Kosten und Stromverbrauch. Dieser Konflikt wird dadurch verstärkt, dass bisherige kolokationsresistente Platzierungsstrategien Migrationen von VMs während ihrer Laufzeit außer Acht lassen. Sie nehmen an, dass eine VM stets auf demselben Computer verbleibt, selbst wenn hierdurch mehrere schwach ausgelastete Server betrieben werden müssen, von denen einige durch ein Zusammenlegen von VMs abgeschaltet werden könnten.

Die Abschlussarbeit soll empirisch untersuchen, welche Auswirkungen verschiedene Migrationsstrategien auf die Kolokationsresistenz und Ressourcenauslastung haben, die mit VM-Platzierungsstrategien erreicht werden können. Hierzu soll ein bestehendes Simulationsframework so erweitert werden, dass es VM-Migrationen unterstützt und effizient simulieren kann. Es sollen verschiedene Migrationsstrategien implementiert werden. Berücksichtigt werden sollen hierbei unter anderem ein regelmäßiges Optimieren der Packungsdichte von VMs, ein regelmäßiges Erhöhen der Kolokationsresistenz durch stärkere Konzentration der VMs einzelner Nutzer oder Abwandlungen dieser Strategien, die nicht in regelmäßigen Intervallen, sondern bei Unter- bzw. Überschreiten bestimmten Schwellwerte aktiviert werden.

Die Konstruktion sowie die Untersuchung der Sicherheit kryptologischer Werkzeuge wie Verschlüsselungen und Signaturen sind ein wesentliches Aufgabengebiet der Kryptologie. Mit Entwicklung von RSA in [RSA78] und der Entdeckung der Eigenschaft der partiellen, multiplikativen Homomorphie von RSA, stellte sich erstmalig in [RAD78] die Frage nach einer vollhomomorphen Verschlüsselung. Trotz intensiver Forschung gelang die Konstruktion der ersten vollhomomorphen Verschlüsselung jedoch erst in [Gen09].

In dieser Arbeit soll

1. die Funktionalität der vollhomomorphen Verschlüsselung erläutert werden,

2. eine Darstellung gängiger Definitionen von Sicherheit im Zusammenhang mit (vollhomomorphen) Verschlüsselungen erfolgen,

3. die Realisierung dieser Funktionalität durch bekannte Verfahren im Hinblick auf Korrektheit bewiesen und im Hinblick auf Sicherheit und Effizienz erläutert werden,

4. ein Überblick über mögliche Anwendungsfelder vollhomomorpher Verschlüsselung gegeben werden, in denen partiell homomorphe Verschlüsselungen nicht ausreichen,

5. ein Vergleich dieser Realisierungen im Hinblick auf Sicherheit, Effizienz, Anwendbarkeit und mögliche zusätzliche Eigenschaften mancher dieser Realisierungen erbracht werden.

Der Vergleich soll hierbei insbesondere hinsichtlich in der Praxis verwendeter Sicherheitsparameter zwecks Schutz vor bekannten Angriffen erfolgen. Die Erbringung von Sicherheits- oder Effizienzbeweisen ist in keinem Fall erforderlich, jedoch eine entsprechende Begründung.

Hinweis: Eine Übersicht zahlreicher Sicherheitsdefinitionen im Zusammenhang mit Verschlüsselung und weiterer Ergebnisse findet sich unter anderem im exzellenten Buch [KL14]. Eine Übersicht zu vollhomomorphen Verschlüsselungen findet sich beispielsweise in [Mar+22].

Referenzen:

[Gen09] Craig Gentry. “A Fully Homomorphic Encryption Scheme”. AAI3382729. PhD thesis. Stanford, CA, USA, 2009. isbn: 9781109444506.

[KL14] Jonathan Katz and Yehuda Lindell. Introduction to Modern Cryptography, Second Edition. 2nd. Chapman & Hall/CRC, 2014. isbn: 1466570261.

[Mar+22] Chiara Marcolla et al. “Survey on Fully Homomorphic Encryption, Theory, and Applications”. In: Proceedings of the IEEE 110.10 (2022), pp. 1572–1609. doi: 10.1109/ JPROC.2022.3205665.

[RAD78] R. L. Rivest, L. Adleman, and M. L. Dertouzos. “On Data Banks and Privacy Homomorphisms”. In: Foundations of Secure Computation, Academia Press (1978), pp. 169–179.

[RSA78] R. L. Rivest, A. Shamir, and L. Adleman. “A Method for Obtaining Digital Signatures and Public-Key Cryptosystems”. In: Commun. ACM 21.2 (Feb. 1978), pp. 120–126. issn: 0001-0782. doi: 10.1145/359340.359342.

Die erste Formalisierung sicherer Mehrparteienberechung erfolgte durch [Yao82]. Gegenstand intensiver Forschung ist bis heute das in Verbindung mit dieser Formalisierung präsentierte Millionärsproblem. In diesem Problem möchten zwei Personen wissen, wer reicher ist, ohne dabei weitere Informationen bekanntzugeben. Yao’s Millionärsproblem ist somit äquivalent zum Problem der Berechnung von a > b ohne Veröffentlichung von a oder b. Anwendungsbereiche entsprechender Protokolle erstrecken sich von E-Commerce über E-Voting bis hin zu Data-Mining.

Ein bis auf generische Lösungen weitestgehend unbehandeltes Problem ist hingegen die Frage nach der ökonomischen Diskrepanz |a-b| zweier Parteien ohne Bekanntgabe weiterer Informationen. In dieser Arbeit sollen im Angreifermodell eines ehrlichen, aber neugierigen Angreifers

1. mögliche Anwendungen eines Zwei-Parteien-Protokolls für die Funktionalität der ökonomischen Diskrepanz in der realen Welt untersucht werden,

2. die Realisierung dieser Funktionalität durch das wohl bekannteste, generische Zwei-Parteien-Protokoll, Yao’s Garbled Circuit nach [Yao86], im Hinblick auf Korrektheit, Sicherheit und Effizienz erläutert werden,

3. ein nichtgenerisches Zwei-Parteien-Protokoll für die Funktionalität der ökonomischen Diskrepanz möglichst ohne Senken der Schutzziele entwickelt und im Hinblick auf Korrektheit, Sicherheit und Effizienz erläutert werden,

4. die generische Lösung unter Verwendung von Yao’s Garbled Circuit mit der eigenen Lösung erneut im Hinblick auf obige drei Kategorien verglichen werden.

Bezüglich der Korrektheit der entsprechenden Protokolle wird die Erbringung von Beweisen erwartet. Die Erbringung von Sicherheitsbeweisen im Hinblick auf das ebenfalls in [GMW87] entwickelte, auf [GM84] zurückgehende Reale-Ideale-Welt Paradigma oder eine Erbringung von Beweisen bezüglich der Effizienz sind jedoch in keinem Fall erforderlich.

Hinweis: Als generische Lösungen gelten solche Protokolle, welche zur Mehrparteienberechnung einer Vielzahl von Funktionen verwendet werden können. Oft lassen sich bei Betrachtung spezifischer Funktionen effizientere Realisierungen finden. Alternativ zur Nutzung generischer Lösungen können zur sicheren Mehrparteienberechnung Schutzziele gesenkt werden. Hierbei ist jedoch Vorsicht geboten. Realisierungen im Angreifermodell mit ehrlichem, aber neugierigem Angreifer können nach [GM84] generisch unter Nutzung von Nullwissenbeweisen zu Lösungen im Angreifermodell mit bößartigen Angreifer ergänzt werden. Eine Übersicht zahlreicher generischer Mehrparteienprotokolle und theoretischer Ergebnisse findet sich unter anderem im exzellenten, frei verfügbaren Buch [EKR18].

Referenzen:

[EKR18] David Evans, Vladimir Kolesnikov, and Mike Rosulek. “A Pragmatic Introduction to Secure Multi-Party Computation”. In: Foundations and Trends® in Privacy and Security 2.2-3 (2018), pp. 70–246. issn: 2474-1558. doi: 10.1561/3300000019.

[GM84] Shafi Goldwasser and Silvio Micali. “Probabilistic encryption”. In: Journal of Computer and System Sciences 28.2 (1984), pp. 270–299. issn: 0022-0000. doi: 10.1016/0022-0000(84)90070-9.

[GMW87] O. Goldreich, S. Micali, and A. Wigderson. “How to Play ANY Mental Game”. In: STOC ’87 (1987), pp. 218–229. doi: 10.1145/28395.28420.

[Yao82] Andrew C. Yao. “Protocols for secure computations”. In: 23rd Annual Symposium on Foundations of Computer Science (sfcs 1982). 1982, pp. 160–164. doi: 10.1109/SFCS.1982.38.

[Yao86] Andrew Chi-Chih Yao. “How to generate and exchange secrets”. In: 27th Annual Symposium on Foundations of Computer Science (sfcs 1986). 1986, pp. 162–167. doi: 10.1109/SFCS.1986.25.

Die erste Formalisierung sicherer Mehrparteienberechung erfolgte durch [Yao82]. Gegenstand intensiver Forschung ist bis heute das in Verbindung mit dieser Formalisierung präsentierte Millionärsproblem. In diesem Problem möchten zwei Personen wissen, wer reicher ist, ohne dabei weitere Informationen bekanntzugeben. Yao’s Millionärsproblem ist somit äquivalent zum Problem der Berechnung von a > b ohne Veröffentlichung von a oder b. Anwendungsbereiche entsprechender Protokolle erstrecken sich von E-Commerce über E-Voting bis hin zu Data-Mining. Das Problem lässt sich auf beliebig viele Personen erweitern.

Ein bis auf generische Lösungen weitestgehend unbehandeltes Problem ist hingegen die Frage nach der ökonomischen Diskrepanz max_i{a_i}-min_i{a_i} mehrerer Parteien ohne Bekanntgabe weiterer Informationen. In dieser Arbeit sollen im Angreifermodell eines ehrlichen, aber neugierigen Angreifers

1. mögliche Anwendungen eines Mehrparteienprotokolls für die Funktionalität der ökonomischen Diskrepanz in der realen Welt untersucht werden,

2. die Realisierung dieser Funktionalität durch das wohl bekannteste, generische Mehrparteienprotokoll, GMW nach [GMW87], im Hinblick auf Korrektheit, Sicherheit und Effizienz erläutert werden,

3. ein nichtgenerisches Mehrparteien-Protokoll für die Funktionalität der ökonomischen Diskrepanz möglichst ohne Senken der Schutzziele entwickelt und im Hinblick auf Korrektheit, Sicherheit und Effizienz erläutert werden,

4. die generische Lösung unter Verwendung von GMW mit der eigenen Lösung erneut im Hinblick auf obige drei Kategorien verglichen werden.

Bezüglich der Korrektheit der entsprechenden Protokolle wird die Erbringung von Beweisen erwartet. Die Erbringung von Sicherheitsbeweisen im Hinblick auf das ebenfalls in [GMW87] entwickelte, auf [GM84] zurückgehende Reale-Ideale-Welt Paradigma oder eine Erbringung von Beweisen bezüglich der Effizienz sind jedoch in keinem Fall erforderlich.

Hinweis: Als generische Lösungen gelten solche Protokolle, welche zur Mehrparteienberechnung einer Vielzahl von Funktionen verwendet werden können. Oft lassen sich bei Betrachtung spezifischer Funktionen effizientere Realisierungen finden. Alternativ zur Nutzung generischer Lösungen können zur sicheren Mehrparteienberechnung Schutzziele gesenkt werden. Hierbei ist jedoch Vorsicht geboten. Realisierungen im Angreifermodell mit ehrlichem, aber neugierigem Angreifer können nach [GM84] generisch unter Nutzung von Nullwissenbeweisen zu Lösungen im Angreifermodell mit bößartigem Angreifer ergänzt werden. Eine Übersicht zahlreicher generischer Mehrparteienprotokolle und theoretischer Ergebnisse findet sich unter anderem im exzellenten, frei verfügbaren Buch [EKR18].

Referenzen:

[EKR18] David Evans, Vladimir Kolesnikov, and Mike Rosulek. “A Pragmatic Introduction to Secure Multi-Party Computation”. In: Foundations and Trends® in Privacy and Security 2.2-3 (2018), pp. 70–246. issn: 2474-1558. doi: 10.1561/3300000019.

[GM84] Shafi Goldwasser and Silvio Micali. “Probabilistic encryption”. In: Journal of Computer and System Sciences 28.2 (1984), pp. 270–299. issn: 0022-0000. doi: 10.1016/0022-0000(84)90070-9.

[GMW87] O. Goldreich, S. Micali, and A. Wigderson. “How to Play ANY Mental Game”. In: STOC ’87 (1987), pp. 218–229. doi: 10.1145/28395.28420.

[Yao82] Andrew C. Yao. “Protocols for secure computations”. In: 23rd Annual Symposium on Foundations of Computer Science (sfcs 1982). 1982, pp. 160–164. doi: 10.1109/SFCS.1982.38.

Im Rahmen des Projektes FIIPS@Home entwickeln die Arbeitsbereiche SVS und NET derzeit zusammen mit weiteren Projektpartnern ein Intrusion-Detection-und-Prevention-System (IDPS) für Heimnetzwerke, welches die Anforderungen moderner Smart-Home-Geräte berücksichtigen soll.

Im Rahmen der Abschlussarbeit soll die Oberfläche einer App für ein solches System entwickelt und prototypisch implementiert werden. Die zu enwickelnde App soll soll dabei zunächst über vorgegebene bzw. mit den relevanten Projektpartnern zu vereinbarende Schnittstellen mit externen Instanzen des FIIPS-Systems kommunizieren können, welche auf separater Hardware innerhalb des Heimnetzes ausgeführt werden. Hierdurch soll es möglich sein, von diesen gewonnene Informationen über die Sicherheit von Geräten im Heimnetz und mögliche Angriffe einfach verständlich darzustellen. Des Weiteren sollen diese externen Geräte auch gesteuert werden und so etwa Gegenmaßnahmen gegen einen erkannten Angriff eingeleitet werden können. Alternativ soll es (zu einem späteren Zeitpunkt) unter Nutzung derselben Schnittstellen möglich sein, die App um eine eigene FIIPS-Instanz zu erweitern, welche Teile der zunächst extern bereitgestellten Funktionalität direkt integriert.

Im Rahmen der Abschlussarbeit soll ermittelt werden, wie sich die Oberfläche einer solchen App so gestalten lässt, dass diese auch von technischen Laien leicht bedient werden kann und dabei einen leicht verständlichen Überblick über Sicherheitsprobleme im Heimnetz und mögliche Gegenmaßnahmen gibt. Es soll untersucht werden, inwieweit sich eine solche App plattformübergreifend für iOS und Android umsetzen lässt. Für mindestens eine dieser Plattformen soll ein Prototyp entwickelt werden. Eine mögliche Internationalisierbarkeit der App soll dabei berücksichtigt werden.