ιδάσκων:αν. Καθ. Κ. Λαµπρινουδάκης

Transcript

1 ΤΕΧΝΟΛΟΓΙΕΣ ΙΑΣΦΑΛΙΣΗΣ Ι ΙΩΤΙΚΟΤΗΤΑΣ Μάθηµα:Τεχνολογίες ιασφάλισης Iδιωτικότητας Τεχνολογίες Ενίσχυσης Ιδιωτικότητας (PETs) ιδάσκων:αν. Καθ. Κ. Λαµπρινουδάκης Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 1 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας - Anonymizer Anonymizer Xαρακτηριστικό παράδειγµα εργαλείου για ανωνυµία στον Ιστό. Η λειτουργία του βασίζεται στην ύπαρξη ενός ιστοχώρου ο οποίος ενεργεί ως «ενδιάµεσος» µεταξύ του χρήστη που θέλει να επισκεφθεί µία ιστοσελίδα στον Ιστό και της ιστοσελίδας που θέλει να επισκεφθεί ο χρήστης. Με αυτόν τον τρόπο ο χρήστης επιτυγχάνει να επισκεφτεί την ιστοσελίδα που επιθυµεί χωρίς να αφήσει κάποιο «ίχνος» (όπως είναι η διεύθυνση IP του υπολογιστή του ή τον DNS server του) στον κυβερνοχώρο ότι προέβει σε αυτή την επίσκεψη, διατηρώντας έτσι την ανωνυµία του και κατ επέκταση την ιδιωτικότητα του. Το Anonymizer αποτελείται από ένα σύνολο εξουσιοδοτηµένων HTTP εξυπηρετητών (servers). Σκοπός καθενός από αυτούς τους εξυπηρετητές είναι να προωθήσει το αίτηµα του χρήστη να επισκεφθεί κάποια ιστοσελίδα στον εξυπηρετητή της ιστοσελίδας και να παρουσιάσει το περιεχόµενο της ιστοσελίδας στον χρήστη, διαφυλάσσοντας σε κάθε περίπτωση την ανωνυµία του χρήστη. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 2 1

2 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας - Anonymizer Η µόνη IP address που αποκαλύπτεται στους servers που φιλοξενούν την ιστοσελίδα και παρέχουν υπηρεσίες στους χρήστες είναι η διεύθυνση του Anonymizer. Ο Anonymizer παρέχεται από έναν H.T.T.P. proxy server που εκτελείται στη θύρα 8080 του server ο οποίος φιλοξενεί την σελίδα Ένας χρήστης µπορεί είτε να καταγράψει το U.R.L. του proxy server, είτε να παρακάµψει τον proxy server καταγράφοντας απευθείας το U.R.L. του H.T.T.P. server. Η υπηρεσία ανωνυµίας (Anonymizer Anonymous Surfing ) είναι µία απλή στη χρήση υπηρεσία ανώνυµης προώθησης, η οποία µπορεί να χρησιµοποιηθεί δωρεάν για διάστηµα µίας εβδοµάδας και έναντι του ποσού των 22,5 για διάστηµα ενός έτους. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 3 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας - Anonymizer Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 4 2

3 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας - Anonymizer Παράδειγµα αίτησης επίσκεψης ιστοσελίδας µέσω του Anonymizer 1. O user συνδέεται µε την ιστοσελίδα και ζητάει προσπέλαση στην ιστοσελίδα από τον proxy server του Anonymizer. 2. O proxy server επικοινωνεί µε τον server που βρίσκεται στη θέση για να ανακτήσει τη ζητούµενη σελίδα. 3. Η σελίδα επιστρέφεται στον proxy server. 4. Η σελίδα προωθείται στο browser του user. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 5 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας - Anonymizer Πλεονεκτήµατα 1. Ο browser αφήνει ίχνη µόνο στα log files του server που εκτελεί την υπηρεσία του Anonymizer. 1. Ο administrator του server δε θα µπορεί να ανακαλύψει την ΙΡ address ή το D.N.S. του συστήµατος που χρησιµοποιήθηκε για να ανακτήσει το U.R.L. χρησιµοποιώντας την υπηρεσία του Anonymizer. 1. Η υπηρεσία του Anonymizer είναι καλά διαµορφωµένη ώστε να αποκρύπτει τις ταυτότητες των χρηστών και τις ΙΡ addresses των browser από τους Η.Τ.Τ.Ρ. Servers. Μειονεκτήµατα 1. Όποιος επιλέγει τον Anonymizer για την προστασία της ιδιωτικότητας του πρέπει να εµπιστεύεται τους χορηγούς και τους διαχειριστές αυτής της υπηρεσίας. 1. Ο authorized server µπορεί να εγκατασταθεί µε τρόπον ώστε να καταγράφει όλες τις επιθυµητές ιστοσελίδες και να συλλέξει ένα τεράστιο όγκο πληροφοριών που σχετίζονται µε τη συµπεριφορά ενός συγκεκριµένου χρήστη. 1. O Anonymizer δεν είναι αποτελεσµατικός στην απόκρυψη της ταυτότητας του χρήστη µεταξύ των authorized proxies του ίδιου του Anonymizer. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 6 3

4 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας -LPWA LPWA Lucent Personalized Web Assistant Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 7 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας -LPWA Επιτρέπει στους χρήστες να φυλλοµετρούν τον ιστό χρησιµοποιώντας ψευδώνυµα που έχουν παραχθεί από το LPWA Ιδιότητες συστήµατος LPWA: Αυτόµατη, ασφαλή, συνεπή και ψευδώνυµη παραγωγή ψεύτικων στοιχείων Υπηρεσία ηλεκτρονικού ταχυδροµείου Υπηρεσία anti-spam και anti-junk Φίλτρο ευαίσθητων πεδίων ανωνυµίας της HTTPεπικεφαλίδας Εµποδίζει τον εντοπισµό του υπολογιστή του χρήστη (ύπαρξη proxy µεταξύ χρήστηιστοσελίδων) Μη αποθήκευση πινάκων «µετάφρασης» Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 8 4

5 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας -LPWA Επιµέρους συστήµατα: Η γεννήτρια προσωπικοτήτων (persona generator) Ο HTTPπληρεξούσιος (HTTP proxy) Ο προωθητής µηνυµάτων ηλεκτρονικής αλληλογραφίας ( forwarder). Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 9 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας -LPWA LPWA (Lucent Personalized Web Assistant) Σύστηµα λογισµικού µε σκοπό να υποστηρίξει τους χρήστες στην περιήγηση τους στον Ιστό µε έναν εξατοµικευµένο, ιδιωτικό και ασφαλή τρόπο χρησιµοποιώντας ψευδώνυµα LPWA Το LPWA αποτελείται από τρία λειτουργικά τµήµατα: την γεννήτρια persona, ένα πληρεξούσιο περιήγησης στον Ιστό (HTTP Proxy) και ένα αποστολέα ηλεκτρονικών µηνυµάτων. Τα λειτουργικά τµήµατα του LPWA µπορούν να εγκατασταθούν σε διάφορα µέρη. Η γεννήτρια persona µπορεί να εκτελεί την λειτουργία της στον περιηγητή Ιστού (web browser) του χρήστη ή στον πληρεξούσιο περιήγησης στον Ιστό (HTTP Proxy). Το πληρεξούσιο περιήγησης στον ιστό µπορεί να εγκατασταθεί σε ένα τείχος προστασίας (firewall) ή σε ένα σηµείο πρόσβασης φορέων παροχής υπηρεσιών ιαδικτύου (ISP) ή κάποιο άλλο τόπο σχετικό µε το διαδίκτυο. Ο προωθητής ηλεκτρονικών µηνυµάτων πρέπει να εγκατασταθεί µακριά από την µηχανή του χρήστη ώστε να είναι αόρατος στον χρήστη. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 10 5

6 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας -LPWA Η γεννήτρια persona παράγει µοναδικά, συνεπή και συγκεκριµένα ψεύτικα στοιχεία (ταυτότητα χρήστη, συνθηµατικό και διεύθυνση ηλεκτρονικού ταχυδροµείου) για κάθε ιστοσελίδα που επιθυµεί να επισκεφθεί ο χρήστης και στην οποία του ζητούνται ταυτότητα χρήστη (user name), συνθηµατικό (password) και διεύθυνση ηλεκτρονικού ταχυδροµείου ( address). Οι πληροφορίες που αποζητάει η γεννήτρια από τον χρήστη είναι µία ταυτότητα χρήστη (ID) όπου ο χρήστης πρέπει να δώσει την πραγµατική διεύθυνση του ηλεκτρονικού του ταχυδροµείου και έναν κωδικό πρόσβασης (Secret). Αυτές οι πληροφορίες και η διεύθυνση της ιστοσελίδας, από την οποία απαιτούνται από το χρήστη τα στοιχεία, χρησιµοποιούνται ως είσοδος στη συνάρτηση janus που περιέχεται στην γεννήτρια ώστε να υπολογιστεί εξ ονόµατος του χρήστη ένα persona για αυτή την ιστοσελίδα. H συνάρτηση janus είναι ένας συνδυασµός κρυπτογραφικών συναρτήσεων. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 11 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας -LPWA Όταν ο χρήστης επισκεφθεί την ιστοσελίδα στην οποία του ζητάνε να δώσει ταυτότητα χρήστη, συνθηµατικό και διεύθυνση ηλεκτρονικού ταχυδροµείου αυτός συµπληρώνει αντίστοιχα στα πεδία \u, \p και \@. Τα \u, \p και \@ είναι χαρακτήρες διαφυγής τους οποίους το LPWA αντιλαµβάνεται και δηµιουργεί στον πληρεξούσιο περιήγησης στον Ιστό τα ψεύτικα στοιχεία για την ιστοσελίδα εκ µέρους του χρήστη. Αυτά τα ψεύτικα στοιχεία δεν χρειάζεται να τα θυµάται ο χρήστης και δεν του ζητείται να πληκτρολογήσει οτιδήποτε περίπλοκο και µνηµονεύσιµο αναγνωριστικό. Ο προωθητής ηλεκτρονικών µηνυµάτων προωθεί µηνύµατα που δεν είναι αυτόκλητα (spam) στην πραγµατική διεύθυνση ηλεκτρονικού ταχυδροµείου του χρήστη. Επίσης επειδή το LPWA δηµιουργεί την κάθε ψεύτικη ηλεκτρονική διεύθυνση µε κρυπτογράφηση της πραγµατικής ηλεκτρονικής διεύθυνσης του χρήστη ο προωθητής ηλεκτρονικών µηνυµάτων οφείλει να αποθηκεύει µε ασφάλεια το µυστικό κλειδί της αποκρυπτογράφησης. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 12 6

7 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας -LPWA Personal generator Έγκυρη Hλεκτρονική διεύθυνση Secret Domain Συνάρτηση janus Ψευδώνυµα (διαφορετικά για κάθε domain) δηλ. ψεύτικα username, password, HTTP Proxy Όταν σε µια ιστοσελίδα ο χρήστης κληθεί να συµπληρώσει username, password ή , απλώς πληκτρολογεί τους κωδικούς χαρακτήρες διαφυγής \u, \p, αντίστοιχα, οπότε δηµιουργείται το κατάλληλο alias Forwarder H ψευδώνυµη ηλεκτρονική διεύθυνση, που παράγεται µε τη χρήση του \@, είναι το αποτέλεσµα κρυπτογράφησης της πραγµατικής. Ο proxy- forwarder οφείλει να αποθηκεύει µε ασφάλεια το µυστικό κλειδί της αποκρυπτογράφησης Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 13 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας -LPWA Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 14 7

8 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας -LPWA Σηµεία ευπάθειας: Απαιτείται εµπιστοσύνη στον κεντρικό πληρεξούσιο Η δηµόσια σύνδεση µεταξύ του φυλλοµετρητή του χρήστη και του πληρεξούσιου είναι εύκολα παραβιάσιµη Η απόδοση του συστήµατος είναι χαµηλή σε ότι αφορά την ανάκτηση ιστοσελίδων (περισσότερος χρόνος αναµονής) Το LPWA δε φιλτράρει εφαρµογές Java και JavaScript, οι οποίες λαµβάνουν πληροφορίες από τους φυλλοµετρητές και τις αποστέλλουν στους εξυπηρέτες τους Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 15 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας - TRUSTe TRUSTe Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 16 8

9 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας - TRUSTe Πρόγραµµα µε σκοπό τη διαφύλαξη της ανωνυµίας των χρηστών Παρέχονται, µετά από έλεγχο, ψηφιακές σφραγίδες εµπιστοσύνης στις ιστοθέσεις εκείνες που ακολουθούν σωστές πρακτικές συλλογής και προστασίας προσωπικών δεδοµένων Περιλαµβάνοντας το σήµα, µία ιστοθέση δηλώνει ρητά ότι έχει υλοποιηµένες διαδικασίες για την προστασία των πληροφοριών που κατέχει, έναντι απώλειας, µη εξουσιοδοτηµένης χρήσης ή αλλοίωσης, καθώς και µηχανισµούς που επιτρέπουν στους χρήστες να διορθώσουν ανακριβή στοιχεία που τους αφορούν Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 17 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας - TRUSTe TRUSTe Το TRUSTe είναι ένα πρόγραµµα του οποίου κύριος στόχος είναι να βελτιώσει την εµπιστοσύνη του καταναλωτικού κοινού στο διαδίκτυο επιβεβαιώνοντας ότι κάποιες ιστοσελίδες συµφωνούν µε µία υγιή πολιτική ιδιωτικότητας, λαµβάνοντας υπόψη συγκεκριµένα τεχνικά χαρακτηριστικά των ιστοσελίδων καθώς επίσης και των εφαρµογών και των υπηρεσιών που προσφέρουν. Αφότου µία ιστοσελίδα γίνει µέλος του TRUSTe, το TRUSTe συνεχίζει να ελέγχει περιοδικά την ιστοσελίδα ως προς την διαφύλαξη της ιδιωτικότητας που αυτή προσφέρει στους χρήστες της επιβεβαιώνοντας ότι ικανοποιεί όλα τα απαιτούµενα κριτήρια ώστε να είναι µέλος του TRUSTe. Μερικά από τα κριτήρια γύρω από τα οποία κρίνεται ο ιστοχώρος είναι η ενηµέρωση στην αρχική σελίδα του σχετικά µε τις πρακτικές συλλογής και διάδοσης προσωπικών πληροφοριών, αν παρέχει τη δυνατότητα στους χρήστες να δώσουν την έγκριση τους σε περίπτωση διανοµής πληροφοριών που τους αφορούν σε τρίτους, αν τηρούνται µέτρα ασφαλείας ώστε να προστατεύονται οι προσωπικές πληροφορίες που συλλέγονται, από το αν επιτρέπεται στους χρήστες να διορθώσουν/ενηµερώσουν τις πληροφορίες που τους αφορούν. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 18 9

10 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας - TRUSTe Το TRUSTe διατηρεί µία αρχική αναφορά της πολιτικής ιδιωτικότητας κάθε ιστοχώρου, που εξασφαλίζει τη συνέπεια στις αρχές του TRUSTe. Σε αυτήν αναφέρονται οι δηλώσεις του ιστοχώρου σχετικά µε την διαφύλαξη της ιδιωτικότητας των χρηστών που τον επισκέπτονται όπως είναι οι τύποι των προσωπικών πληροφοριών που συγκεντρώνονται από τον ιστοχώρο, ποιος τις συλλέγει αυτές τις πληροφορίες και για ποιο σκοπό και σε ποιον θα αποκαλυφθούν. Στους κατόχους των TRUSTe πιστοποιητικών τηρούνται οι εξής αρχές: Γνωστοποίηση (Notice). Η ιστοθέση πρέπει να περιλαµβάνει µία δήλωση ανωνυµίας, η οποία θα συνδέεται µε την αρχική σελίδα και θα περιλαµβάνει τις πληροφορίες που καταγράφει καθώς και τις µεθόδους διάδοσής τους. Το TRUSTe συνεργάζεται µε την ιστοθέση για να αναπτύξει περιεκτικές δηλώσεις ανωνυµίας, οι οποίες θα είναι εύκολες να αναγνωσθούν και να κατανοηθούν. Επιλογή (Choice). Η ιστοθέση πρέπει να παρέχει, κατ ελάχιστο, τη δυνατότητα στους χρήστες να αποσύρουν και ακυρώσουν τη δυνατότητα διάθεσης των προσωπικών τους δεδοµένων και πληροφοριών που χρησιµοποιούνται από τρίτα µέρη για δευτερεύοντες σκοπούς. Ασφάλεια (Security). Η ιστοθέση πρέπει να υλοποιεί διαδικασίες προστασίας προσωπικών πληροφοριών από απώλεια, κατάχρηση, ή µη εξουσιοδοτηµένη τροποποίηση. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 19 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας - TRUSTe Στους κατόχους των TRUSTe πιστοποιητικών τηρούνται οι εξής αρχές: Ποιότητα των δεδοµένων και πρόσβαση (Data Quality and Access). Η ιστοθέση πρέπει να παρέχει µηχανισµό στους χρήστες, ο οποίος θα επιτρέπει διορθώσεις των πληροφοριών που τους αφορούν. Επιβεβαίωση και Επιτήρηση (Verification and Oversight). Το TRUSTe εγγυάται στους χρήστες ότι η ιστοθέση ακολουθεί τις καθορισµένες µεθόδους ανωνυµίας, αξιοποιώντας τα συµπεράσµατα των αρχικών και των περιοδικών ελέγχων. Επίλυση παραπόνων (Complaint Resolution). Το TRUSTe παρέχει στους χρήστες µία δοµή για επίλυση των παραπόνων, τα οποία δεν µπορούν να επιλυθούν επαρκώς από τους κατόχους του TRUSTe της ιστοθέσης. Το TRUSTe διαχειρίζεται ένα αρχείο ιχνηλάτησης (audit trail) των προτάσεων ανωνυµίας των κατόχων, έτσι ώστε να γνωρίζει τις εκφρασθείσες απαιτήσεις των κατόχων TRUSTe. Το TRUSTe διαβεβαιώνει ότι τα παράπονα θα απαντηθούν µε δίκαιο και έγκαιρο τρόπο. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 20 10

11 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας - TRUSTe Στους κατόχους των TRUSTe πιστοποιητικών τηρούνται οι εξής αρχές: Συνέπειες (Consequences). Ανάλογα µε την αυστηρότητα της παραβίασης της ανωνυµίας, όπως αποτυχία σε µία έκθεση συµµόρφωσης µιας ιστοθέσης ή αποτυχία σε µία συµφωνία µε αποτέλεσµα την αµφισβήτηση της λειτουργίας του ίδιου του TRUSTe, µπορεί να γίνει µέχρι και ανάκληση των πιστοποιητικών των κατόχων. Το TRUSTe µπορεί να αναφέρεται για σχετικά θέµατα στις κατάλληλες κυβερνητικές υπηρεσίες, οι οποίες µπορεί να είναι το αρµόδιο γραφείο προστασίας καταναλωτών ή και τα γραφεία εισαγγελικών λειτουργών. Εκπαίδευση (Education). Παρέχεται ένα ειδικό πρόγραµµα εκπαίδευσης ανωνυµίας που απευθύνεται στους χρηστες και στις επιχειρήσεις. Σφραγίδα Εγγύησης της Ανωνυµίας του TRUSTe (TRUSTe Privacy Seal). Το TRUSTe για την παροχή µιας εύκολα αναγνωρίσιµης εγγύησης ανωνυµίας, παρέχει ένα σήµα σε όλες τις ιστοθέσεις που συµφωνούν µε τις απαιτήσεις του. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 21 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας - TRUSTe Οι κάτοχοι των TRUSTeπιστοποιητικών πρέπει να τηρούν τις εξής αρχές: Γνωστοποίηση (Notice) Επιλογή (Choice) Ασφάλεια (Security) Ποιότητα των δεδοµένων και πρόσβαση (Data Quality & Access) Επιβεβαίωση και Επιτήρηση (Verification & Oversight) Επίλυση Παραπόνων (Complaint Resolution) Συνέπειες (Consequences) Εκπαίδευση (Education) Το επιθυµητό για το TRUSTe είναι η αξιοπιστία Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 22 11

12 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας P3P Privacy Preferences Project P3P Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 23 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας P3P P3P Το P3P αποτελεί µία γλώσσα XML µέσω της οποίας µπορεί κάποιος να εκφράσει τις πολιτικές προσωπικού απορρήτου τοποθεσιών Ιστού (Web site privacy policies). Η δηµοσίευση του P3P ως Σύσταση W3C υποδηλώνει ότι πρόκειται για έγγραφο µε σταθερή ισχύ, το οποίο συµβάλλει στη διαλειτουργικότητα του Παγκόσµιου Ιστού. Σε πρώτο επίπεδο, το P3P είναι µία σειρά τυποποιηµένων ερωτήσεων πολλαπλών επιλογών, οι οποίες καλύπτουν όλα τα κυρίαρχα ζητήµατα σχετικά µε τις πολιτικές προσωπικού απορρήτου στις τοποθεσίες Ιστού. Το σύνολο των απαντήσεων παρουσιάζει την πολιτική προσωπικού απορρήτου δεδοµένης τοποθεσίας Ιστού σε µορφή αναγνώσιµη από µηχανή και προσφέρει µία σαφή εικόνα του τρόπου µε τον οποίο η δεδοµένη τοποθεσία χειρίζεται τις προσωπικές πληροφορίες των χρηστών. Το P3P επιτρέπει στις τοποθεσίες Ιστού να διαθέτουν τις εν λόγω πληροφορίες µε πρότυπη µορφή, αναγνώσιµη από µηχανή. Χάρη στο P3P η εικόνα αυτή µπορεί να "διαβαστεί" αυτοµάτως από τους φυλλοµετρητές (browsers) και να συγκριθεί µε το σύνολο των προτιµήσεων των καταναλωτών σχετικά µε το προσωπικό απόρρητο. Το P3P συνδράµει στην απόκτηση µεγαλύτερου ελέγχου από τους χρήστες, διευκολύνοντας τους να ανακαλύψουν τις πολιτικές προσωπικού απορρήτου µε µορφή που µπορούν να κατανοήσουν και το σηµαντικότερο, τους προσφέρει τη δυνατότητα να δρουν και να συµµετέχουν σε αυτά που βλέπουν. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 24 12

13 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας P3P Καθιστά ικανούς τους χρήστες να δηλώνουν τις προτιµήσεις τους για τις µεθόδους προστασίας της ιδιωτικότητας των ιστοθέσεων Επιτρέπει στους χρήστες την ενηµέρωσή τους για τις µεθόδους προστασίας της ιδιωτικότητας που ακολουθούν οι ιστοθέσεις και τη συγκεκριµένη προσαρµογή των σχέσεών τους µε διάφορες ιστοθέσεις Οι ιστοσελίδες, σύµφωνα µε το πρωτόκολλο P3P, ενσωµατώνουν στον κώδικά τους στοιχεία, όπως τις πρακτικές σε θέµατα που αφορούν: στο είδος των πληροφοριών που συλλέγουν στο χρονικό διάστηµα που τις φιλοξενούν στο σκοπό για τον οποίο τις διαθέτουν στη διάθεση των πληροφοριών σε τρίτους Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 25 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας P3P Με τη χρήση ειδικού λογισµικού που συνεργάζεται µε το φυλλοµετρητή, ο χρήστης λαµβάνει στοιχεία για την πολιτική που ακολουθεί κάθε ιστοσελίδα που επισκέπτεται και τη συγκρίνει µε τους όρους που έχει θέσει ο ίδιος Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 26 13

14 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας P3P Η επικοινωνία, µε χρήση του P3P, έχει δύο στάδια: Στάδιο διαπραγµατεύσεων (negotiation)και εφόσον αυτές είναι επιτυχείς και γίνουν αποδεκτές από τα δύο µέρη, ακολουθεί το στάδιο συναλλαγής (transaction).στο στάδιο των διαπραγµατεύσεων, η δοµή δεδοµένων που περιέχει την πολιτική προστασίας δεδοµένων (privacy policy), αποστέλλεται στον χρήστη και αυτός αποφασίζει εάν την αποδέχεται ή όχι. Εάν τελικά την αποδεχθεί, µία επίσης τυποποιηµένη δοµή δεδοµένων που περιλαµβάνει τα ζητούµενα δεδοµένα, αποστέλλεται από τον χρήστη στον εξυπηρέτη του δικτυακού τόπου. Στο στάδιο συναλλαγής, εφόσον έχει προηγηθεί αποδοχή, ο χρήστης αποκτά πρόσβαση στις υπηρεσίες του εξυπηρέτη και µπορεί να εκτελέσει συναλλαγές µαζί του. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 27 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας P3P Βήµα 1: Ο Web Browser αιτείται µιας ιστοσελίδας και το αρχείο P3Pπολιτικής από τον Web server Βήµα 2: Ο Web server στέλνει την ιστοσελίδα και το αρχείο P3P πολιτικής στον browser Εµφάνισε προειδοποιητικό µήνυµα ΟΧΙ Βήµα 3: Ο Browser συγκρίνει την πολιτική προστασίας της ιδιωτικότητας της ιστοσελίδας µε τις επιλογές του χρήστη Βήµα 4: Η πολιτική προστασίας της ιστοσελίδας είναι η επιθυµητή; Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 28 14

15 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας P3P Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 29 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας P3P Στόχος του P3Pείναι να καταστήσει ικανούς τους χρήστες να µπορούν να εκφράζουν τις προτιµήσεις τους στις πρακτικές ανωνυµίας του Internet µέσω των ιστοθέσεων. Οι εφαρµογές του P3P, θα επιτρέψουν στους χρήστες να ενηµερώνονται για τις πρακτικές των ιστοθέσεων, να µεταβιβάζουν αποφάσεις όταν το επιθυµούν και να δηµιουργούν σχέσεις µε συγκεκριµένες ιστοθέσεις. Η εµπιστοσύνη των χρηστών στις συναλλαγές πραγµατικού χρόνου µπορεί να αυξηθεί. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 30 15

16 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας P3P Ακολούθως περιγράφεται ένα παράδειγµα χρήσης του P3P: Έστω ότι ένας χρήστης επιθυµεί να επισκεφθεί την ιστοσελίδα ενός καταστήµατος Έστω ότι η ιστοθέση έχει τοποθετήσει πολιτικές Ρ3Ρ σε όλες τις σελίδες της. Αρχικά ο χρήστης εισάγει τη διεύθυνση της σελίδας στο φυλλοµετρητή. Στη συνέχεια, ανακτώνται τα δεδοµένα της ιστοσελίδας συνοδευόµενα από την πολιτική Ρ3Ρ της ιστοσελίδας. Μετά το πέρας αυτής της διαδικασίας, ο φυλλοµετρητής ελέγχει τις ρυθµίσεις που έχει προσδιορίσει ο χρήστης. Θεωρούµε ότι ο υποθετικός χρήστης έχει προσδιορίσει ότι αποδέχεται αυτή την πολίτική. Η ιστοσελίδα εµφανίζεται πλέον κανονικά χωρίς pop-up µηνύµατα, εκτός ίσως από ένα µικρό εικονίδιο που αναφέρει ότι η ιστοσελίδα ανέφερε µία πολιτική για τα προσωπικά δεδοµένα και ότι ήταν σύµφωνη µε τις ρυθµίσεις. Έπειτα ο χρήστης επιλέγει ένα online κατάλογο. Η σελίδα αυτή χρησιµοποιεί cookies για να παρέχει ένα καλάθι αγορών. Ο εξυπηρέτης στέλνει µία νέα πολιτική Ρ3Ρ στο φυλλοµετρητή του χρήστη και υποτίθεται ότι αυτός αποδέχεται την ακολουθητέα πολιτική. Με την αποδοχή αυτή δε δέχεται pop-up µηνύµατα. Ο χρήστης συνεχίζει και επιλέγει ορισµένα προϊόντα που θέλει να αγοράσει. Έπειτα προχωρεί στη σελίδα για την αγορά. Στη σελίδα αυτή ζητούνται ως πληροφορίες το όνοµα, η διεύθυνση, το τηλέφωνο και ο αριθµός της πιστωτικής κάρτας του χρήστη. Ο εξυπηρέτης στέλνει µία νέα πολιτική Ρ3Ρ που περιγράφει τα δεδοµένα που θα συλλέξει, αλλά και τη διαβεβαίωση ότι αυτά θα χρησιµοποιηθούν µόνο για να εκπληρωθεί η αγορά και για κανέναν άλλο σκοπό. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 31 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας P3P Έστω ότι ο χρήστης έχει ορίσει να προειδοποιείται κάθε φορά που του ζητά µία εφαρµογή ιστού τον αριθµό του τηλεφώνου του. Σε αυτήν την περίπτωση, ο φυλλοµετρητής εµφανίζει ένα pop-up µήνυµα που αναφέρει ότι η ιστοσελίδα ζητάει το τηλέφωνό του και ύστερα εξηγεί τα περιεχόµενα της δήλωσης του Ρ3Ρ. Πλέον ο χρήστης µπορεί να αποφασίσει εάν θα το αποδεχτεί ή όχι. Εάν το αποδεχτεί συνεχίζει την παραγγελία του, αλλιώς την ακυρώνει. Εναλλακτικά, ο χρήστης µπορούσε να είχε ορίσει να προειδοποιείται µόνον όταν ζητείται το τηλέφωνό του και αυτό θα χρησιµοποιηθεί από την ιστοσελίδα ή άλλους για επιπρόσθετους σκοπούς εκτός από την παραγγελία. Εάν είχε συµβεί αυτό, δε θα εµφανιζόταν κανένα µήνυµα και θα προχωρούσε κανονικά η ολοκλήρωσης της συναλλαγής. Η διαδικασία όπου µία υπηρεσία στέλνει µία πρόταση και ο χρήστης την αποδέχεται ή την απορρίπτει, συµβαίνει µε ευέλικτο τρόπο. Κάποιες φορές αναφέρεται και ως διαπραγµάτευση (negotiation). Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 32 16

17 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας P3P Σηµεία ευπάθειας: Το πρωτόκολλο αυτό δεν προστατεύει την ιδιωτικότητα και την ανωνυµία. Αποτελεί, απλώς, πρωτόκολλο ανταλλαγής δεδοµένων που πληροφορεί τους χρήστες για θέµατα προστασίας προσωπικών δεδοµένων Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 33 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας P3P Το P3P έχει δεχθεί αρκετή κριτική. εν παρέχει καµία δυνατότητα εφαρµογής τεχνικών ιδιωτικότητας (κρυπτογραφία, ψευδωνυµία, ανωνυµία κλπ). Εάν ο χρήστης θέλει να κάνει χρήση ψευδωνύµου, πρέπει η όλη διαδικασία διαπραγµάτευσης να γίνει µε το ψευδώνυµό του και όχι µε τα πραγµατικά του στοιχεία. Επιπλέον, δεν παρέχει καµία διαβεβαίωση εάν το πληροφοριακό σύστηµα πράγµατι είναι ειλικρινές σχετικά µε την χρήση των στοιχείων του χρήστη και δεν εξασφαλίζει ότι αυτά δεν θα χρησιµοποιηθούν µε διαφορετικό τρόπο από αυτόν που δηλώνεται. Παρόλο που το P3P παρέχει υπηρεσίες αυτοµατισµού της αποδοχής ή απόρριψης µιας πολιτικής προστασίας προσωπικών δεδοµένων, σήµερα, οι περισσότεροι διαδικτυακοί τόποι που το εφαρµόζουν στην πράξη, αρκούνται στο να συµπεριλαµβάνουν απλά στην σελίδα τους µια δήλωση (P3P statement), η οποία απλώς πληροφορεί τους υποψήφιους χρήστες περί του είδους και της ποσότητας των προσωπικών στοιχείων που πρόκειται να συλλεχθούν µε την είσοδό τους στο σύστηµα, καθώς και για την περαιτέρω χρήση αυτών των στοιχείων από τον ιδιοκτήτη του συστήµατος. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 34 17

18 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας ΟΝΙΟΝ ROUTING Onion Routing Το σύστηµα Onion routing, αναπτύσσει ένα πρωτόκολλο για παροχή ανωνυµίας για το IP στρώµα δικτύου και είναι εφαρµόσιµο τόσο σε, βασισµένα σε σύνδεση, πρωτόκολλα, όσο και σε πρωτόκολλα που δεν απαιτούν σύνδεση. Σε οποιαδήποτε φάση αρχικοποίησης, ο αποστολέας αποφασίζει µία διαδροµή µέσω µια σειράς από onion δροµολογητές (routers). Ο αποστολέας προσθέτει, επαναληπτικά, πληροφορία δροµολόγησης και την κρυπτογραφεί, χρησιµοποιώντας το δηµόσιο κλειδί κρυπτογράφησης των onion δροµολογητών. Το αποτέλεσµα είναι, ένα πολυστρωµατικό σύστηµα κρυπτογραφήσεων που αφαιρούνται µία -µία καθώς το πακέτο µεταδίδεται µέσω του δροµολογητή. Με τον τρόπο αυτό, οι onion δροµολογητές δρουν ως δροµολογητές -αναµίκτες και είναι δύσκολη η ανίχνευση της διαδροµής ενός πακέτου µέσα στο δίκτυο. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 35 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας ΟΝΙΟΝ ROUTING Η ιδέα του onion routing είναι η προστασία της ιδιωτικότητας του αποστολέα και του παραλήπτη ενός µηνύµατος, ενώ επίσης παρέχει προστασία στο περιεχόµενο του µηνύµατος που µεταφέρεται µέσω του δικτύου δίκτυο. Η δροµολόγηση οnion πραγµατοποιείται σύµφωνα µε την αρχή των Mix- Net του Chaum: τα µηνύµατα ταξιδεύουν από την πηγή στον προορισµό µέσω µιας αλληλουχίας πληρεξουσίων ("onion routers"), που επαναδροµολογούν τα µηνύµατα σε απρόβλεπτο µονοπάτι. Για να αποφευχθεί να υποκλέψει κάποιος το περιεχόµενο των µηνυµάτων, τα µηνύµατα κρυπτογραφούνται µεταξύ των δροµολογητών. Το πλεονέκτηµα του onion routing, και γενικά των Mix-Nets, είναι ότι δεν είναι απαραίτητο να υπάρχει εµπιστοσύνη σε κάθε συνεργαζόµενο δροµολογητή. Εάν ένας ή περισσότεροι δροµολογητές είναι σε κίνδυνο, η ανώνυµη επικοινωνία µπορεί να επιτευχθεί. Αυτό συµβαίνει επειδή κάθε δροµολογητής σε ένα Onion Routing δίκτυο που δέχεται µηνύµατα, τα επανακρυπτογραφεί, και τα µεταδίδει σε άλλο onion δροµολογητή. Ένας εισβολέας µε την ικανότητα να παρακολουθεί κάθε δροµολογητή onion σε ένα δίκτυο µπορεί να είναι σε θέση να ανιχνεύσει τη διαδροµή που ακολουθεί ένα µήνυµα καθώς µεταφέρεται µέσω του δικτύου, αλλά ένας εισβολέας µε πιο περιορισµένες ικανότητες θα έχει δυσκολίες ακόµα και αν ελέγχει έναν ή περισσότερους δροµολογητές που βρίσκονται στην διαδροµή που ακολουθεί το µήνυµα. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 36 18

19 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας ΟΝΙΟΝ ROUTING Οι δροµολογητές onion είναι δοµές δεδοµένων που χρησιµοποιούνται για τη δηµιουργία διαδροµών µέσω των οποίων πολλά µηνύµατα µπορούν να µεταδίδονται. Για να δηµιουργηθεί ένα δίκτυο onion (κρεµµύδι), ο δροµολογητής που είναι επικεφαλής της µετάδοσης επιλέγει έναν αριθµό από onion δροµολογητές τυχαία και δηµιουργεί ένα µήνυµα για κάθε έναν από αυτούς, εφοδιάζοντας τους ταυτόχρονα µε συµµετρικά κλειδιά για την αποκωδικοποίηση των µηνυµάτων και αναφέροντας τους ποιος θα είναι ο επόµενος δροµολογητής που θα ακολουθήσουν τα µηνύµατα. Κάθε ένα από αυτά τα µηνύµατα και τα µηνύµατα που προορίζονται για τους επόµενους δροµολογητές, είναι κρυπτογραφηµένα µε το δηµόσιο κλειδί του αντίστοιχου δροµολογητή. Αυτό παρέχει µια πολυεπίπεδη δοµή, στην οποία είναι αναγκαίο να αποκρυπτογραφηθούν όλα τα εξωτερικά στρώµατα του κρεµµυδιού (onion), προκειµένου να φτάσει η διαδικασία σε ένα πιο εσωτερικό στρώµα. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 37 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας ΟΝΙΟΝ ROUTING Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 38 19

20 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας ΟΝΙΟΝ ROUTING Το κρεµµύδι (onion) µεταφορικά µιλώντας περιγράφει την έννοια µιας τέτοιας δοµής δεδοµένων. Κάθε δροµολογητής που λαµβάνει µήνυµα, "ξεφλουδίζει" ένα στρώµα από το κρεµµύδι αποκωδικοποιώντας µε το ιδιωτικό κλειδί και αποκαλύπτοντας έτσι τις οδηγίες δροµολόγησης που προορίζονται για αυτό τον δροµολογητή χωρίς να αποκρυπτογραφεί τις οδηγίες δροµολόγησης που προορίζονται για τους δροµολογητές που βρίσκονται σε χαµηλότερο επίπεδο του µονοπατιού. Λόγω αυτής της ρύθµισης, το πλήρες περιεχόµενο του µηνύµατος αποκαλύπτεται µόνο αν το µήνυµα µεταδοθεί στους δροµολογητές της διαδροµής µε την σειρά που ορίζουν τα επίπεδα δροµολόγησης. Αφότου οριστεί η διαδροµή, παραµένει ενεργή για τη µεταφορά των δεδοµένων για κάποιο χρονικό διάστηµα. Όσο η διαδροµή είναι ενεργή, ο αποστολέας µπορεί να µεταφέρει κρυπτογραφηµένα µηνύµατα (ίσα σε µέγεθος) χρησιµοποιώντας τα συµµετρικά κλειδιά που καθορίζονται από το onion, τα οποία παραδίδονται κατά µήκος της διαδροµής. Κάθε µήνυµα που αφήνει έναν δροµολογητή, ξεφλουδίζει ένα στρώµα χρησιµοποιώντας το συµµετρικό κλειδί του επόµενου δροµολογητή, και ως εκ τούτου δεν είναι αναγνωρίσιµο ότι πρόκειται για το ίδιο µήνυµα. Ο τελευταίος δροµολογητής ξεφλουδίζει και το τελευταίο επίπεδο και στέλνει το µήνυµα στον αποδέκτη. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 39 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας ΟΝΙΟΝ ROUTING Οι συνδέσεις του Onion Routing είναι ανεξάρτητες από το πρωτόκολλο που θα χρησιµοποιηθεί, ενώ περιλαµβάνουν τρεις φάσεις: τη διαδικασία ρύθµισης της σύνδεσης, τη διακίνηση των δεδοµένων και τη διαδικασία τερµατισµού της σύνδεσης. Η πρώτη φάση ξεκινά όταν ο χρήστης δηµιουργήσει ένα Onion και τότε καθορίζεται το µονοπάτι του δικτύου που θα ακολουθήσει η σύνδεση. Το Onion είναι ακριβώς µία δοµή δεδοµένων που αποτελείται από στρώµατα και καθορίζει τις ιδιότητες της σύνδεσης, όπως τις πληροφορίες κρυπτογραφικού ελέγχου δηλαδή τους συµµετρικούς κρυπτογραφικούς αλγόριθµους και τα µυστικά κλειδιά που θα χρησιµοποιηθούν κατά τη διάρκεια διακίνησης των δεδοµένων. Κάθε δροµολογητής Onion στο µονοπάτι χρησιµοποιεί το δηµόσιο κλειδί του για να αποκρυπτογραφήσει ολόκληρο το Onion που παραλαµβάνει. Αυτή η διαδικασία εκθέτει τις πληροφορίες ελέγχου της κρυπτογράφησης, την ταυτότητα του επόµενου δροµολογητή Onion και το συνηµµένο Onion. Εάν χρειαστεί, ο δροµολογητής Onion συµπληρώνει µε στοιχεία το συνηµµένο Onion και το στέλνει στον επόµενο δροµολογητή Onion. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 40 20

21 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας ΟΝΙΟΝ ROUTING Αφού πραγµατοποιηθεί η σύνδεση, τα δεδοµένα µπορούν να σταλούν και προς τις δύο κατευθύνσεις. Επαναλαµβανόµενα δεδοµένα από τον ιδρυτή της σύνδεσης κρυπτογραφούνται µε διάφορους αλγόριθµους και τα κλειδιά καθορίζονται µέσα στο Onion. Καθώς προχωρούν τα δεδοµένα στην ανώνυµη σύνδεση, κάθε δροµολογητής του Onion αφαιρεί ένα στρώµα κρυπτογράφησης και αποκαλύπτει τον επόµενο δροµολογητή, ενώ τελικά το µήνυµα φτάνει στον παραλήπτη σε αποκρυπτογραφηµένη µορφή. Εάν ακολουθηθεί η αντίστροφη πορεία, η διαστρωµάτωση αυτή ακολουθείται στην αντίστροφη σειρά µε διαφορετικούς αλγόριθµους και κλειδιά. Η διαδικασία τερµατισµού της σύνδεσης µπορεί να πραγµατοποιηθεί είτε από τα δύο άκρα είτε και στη µέση αν έτσι απαιτηθεί. Μόλις τερµατιστεί η σύνδεση, οι δροµολογητές Onion χάνουν όλη την πληροφορία σχετικά µε τη σύνδεση. Για να µην µπορέσει κάποιος να συνάγει το µήκος του δροµολογίου, τα οnions πρέπει να διατηρούν σταθερό µέγεθος κατά τη διάρκεια της δροµολόγησής τους. Για να επιτευχθεί αυτό, κάθε δροµολογητής υποχρεούται να συµπληρώνει (padding) στο Onion που του αποκαλύπτεται το κενό που δηµιούργησε η αφαίρεση του στρώµατος από αυτό. Εάν το Onion δεν έχει το σωστό και αυστηρά καθορισµένο µέγεθος όταν σταλεί, απορρίπτεται από τον επόµενο δροµολογητή. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 41 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας ΟΝΙΟΝ ROUTING Κάθε Onion φαίνεται διαφορετικά σε κάθε δροµολογητή Onion, λόγω της διαστρωµατοποιηµένης κρυπτογράφησης δηµοσίου κλειδιού. Οµοίως, κατά τη διάρκεια της µεταφοράς των δεδοµένων κάθε Onion φαίνεται διαφορετικό λόγω της διαστρωµατοποιηµένης κρυπτογράφησης συµµετρικού κλειδιού. Αυτή η τεχνική αντιστέκεται στις επιθέσεις ανάλυσης κίνησης, περισσότερο από κάθε άλλη παρόµοια τεχνική στο Internet. Το προκύπτον κόστος για τη λειτουργία του Onion Routing είναι σχετικά µικρό. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 42 21

22 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας ΟΝΙΟΝ ROUTING Secure Site Internet W is a Proxy/Routing Node controlled by Secure Site W X U Initiator Machine Y Z Responder Machine Anonymous Connection from W to Z Link Encrypted Connection between Onion Routers Onion Router Proxy/Onion Router Παράδειγµα δικτύου Onion Routing µε µία ανώνυµη σύνδεση από έναν αποστολέα σε έναν ανταποκριτή διαµέσου των router W, X, Y, Z. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 43 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας ΟΝΙΟΝ ROUTING Ένας Onion proxy δηµιουργεί και διαχειρίζεται τις ανώνυµες συνδέσεις και εποµένως είναι το πιο έµπιστο συστατικό τµήµα του συστήµατος. Αποτελεί µία διεπαφή µεταξύ των εφαρµογών και του δικτύου. Για τη δηµιουργία των Onions και τον καθορισµό διαδροµών, ο Onion proxyπρέπει : 1.να γνωρίζει την τοπολογία του δικτύου και την κατάσταση της διασυνδεσιµότητάς του 2. να έχει υπόψη του τα δηµόσια πιστοποιητικά, 3.καθώς και υπό ποιες συνθήκες µπορεί και πώς θα διαχειρισθεί µία έξοδο κόµβου από το Internet. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 44 22

23 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας TOR Aποτελεί µια βελτιωµένη έκδοση του onion routing. Οι κόµβοι που µετέχουν στο σύστηµα είναι όλοι ίσοι ενώ για κάθε user υπάρχει ένα onion proxy που αναλαµβάνει να φέρνει τα αρχεία και να φτιάχνει τα µονοπάτια. Κάθε onion router έχει ένα long term key που χρησιµεύει για να εγγράφεται στον t.o.r. descriptor (σηµείο εγγραφής όλων των routers του συστήµατος). Επιπλέον κάθε onion router έχει και ένα short term key το οποίο αλλάζει συχνά και χρησιµεύει για την προστασία των αιτήσεων των κόµβων και την εγκαθίδρυση µονοπατιών. Πολύ σηµαντικό στοιχείο του µηχανισµού είναι τα κελιά δεδοµένων (cells) που βοηθούν την επικοινωνία µεταξύ των κόµβων. ιακρίνονται σε control cells τα οποία µεταφέρουν εντολές που διαβάζονται από κάθε κόµβο στον οποίο περνάνε και relay cells που µεταφέρουν µηνύµατα από τον ένα κόµβο στον άλλο. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 45 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας TOR Η διαδικασία δηµιουργίας του µονοπατιού µεταξύ δύο οντοτήτων που θέλουν να επικοινωνήσουν δεν διαφέρει πολύ από το onion routing. Αρχικά ο ιδρυτής δηµιουργεί ένα create cell το οποίο στέλνει στον πρώτο κόµβο του µονοπατιού µαζί µε το πρώτο µισό του µυστικού κλειδιού που θα µοιράζεται µαζί του για τις συναλλαγές τους. Ο κόµβος κατόπιν απαντά στέλνοντας το άλλο µισό του κλειδιού. Για να επεκταθεί το µονοπάτι ο ιδρυτής στέλνει ένα relay cell στον πρώτο κόµβο µε τη διεύθυνση του επόµενου router του µονοπατιού και το µισό από το µυστικό κλειδί που θα µοιράζεται µαζί του. Κατόπιν ο κόµβος δηµιουργεί ένα create cell προς τον επόµενο κόµβο και το στέλνει. Μόλις ο νέος router του µονοπατιού λάβει το create cell απαντά στον ιδρυτή µε το άλλο µισό του µυστικού κλειδιού που θα µοιράζονται από δω και πέρα. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 46 23

24 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας TOR Αν χρειάζεται επέκταση ακόµη περισσότερο το µονοπάτι ακολουθείται η ίδια µέθοδος µέχρι τον τελικό κόµβο. Τα κλειδιά είναι κρυπτογραφηµένα για την ασφάλεια των επικοινωνιών. Ακόµη για να εξασφαλίζεται η µυστικότητα τα µηνύµατα που κυκλοφορούν στο µονοπάτι είναι κρυπτογραφηµένα µε βάση αυτά τα κλειδιά. Κατόπιν για να επικοινωνήσουν οι οντότητες µεταξύ τους ο ιδρυτής κρυπτογραφεί το µήνυµα µε όλα τα κλειδιά των ενδιάµεσων κόµβων δηµιουργώντας έτσι «στρώµατα κρυπτογραφίας» και το στέλνει. Κατά τη µετάδοσή του το µήνυµα καθώς περνάει από του ενδιάµεσους κόµβους αποκρυπτογραφείται διαδοχικά µέχρι να φτάσει στον τελικό κόµβο. Όταν ο τελικός κόµβος απαντήσει το µήνυµα ακολουθεί την αντίστροφη πορεία και διαδοχικά προστίθενται σε αυτό στρώµατα κρυπτογραφίας µέχρι να φτάσει στον ιδρυτή ο οποίος µε τη χρήση των κλειδιών τα αποκρυπτογραφεί και διαβάζει την απάντηση Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 47 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας TOR Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 48 24

25 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας - CROWDS Crowds To Crowds επιτρέπει την ανώνυµη επικοινωνία χρηστών που συµµετέχουν σε οµότιµα (peer-to-peer) δίκτυα. Επίσης επιτρέπει την ανώνυµη φυλλοµέτρηση, είτε σχετικά µε την οντότητα που προσπελαύνει, είτε σχετικά µε την ίδια την πληροφορία. Αντί οι χρήστες να πραγµατοποιούν HTTP αιτήσεις διαµέσου µιας συγκεκριµένης τρίτης οντότητας, τις πραγµατοποιούν µέσω ενός πλήθους (crowd) Για να εγγραφεί κάποιος ως µέλος του πλήθους, εκτελεί µία διεργασία Jondo στον υπολογιστή του, οπότε γίνεται ενηµέρωση όλων των µελών. Ακολούθως, το Jondo λειτουργεί ως πληρεξούσιος (proxy) για όλες τις δικτυακές εφαρµογές του χρήστη Το µονοπάτι των συνεργαζόµενων πληρεξουσίων επιλέγεται τυχαία, βήµαβήµα, µία φορά κάθε ηµέρα και χρησιµοποιείται για όλες τις ανώνυµες επικοινωνίες από τον ιδρυτή σε κάθε παραλήπτη Η συνολική επικοινωνία µεταξύ των Jondos κρυπτογραφείται µε συµµετρικό κλειδί Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 49 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας - CROWDS Crowds Jondo 4 Crowds User Browser Jondo 1 Proxy Jondo 3 Web Server 1 Crowds User Browser Jondo 2 Proxy Jondo 5 Web Server 2 Jondo 6 Web Server 3 Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 50 25

26 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας - CROWDS Το Crowds βασίζεται στην αρχική ιδέα ότι οι άνθρωποι εύκολα διατηρούν την ανωνυµία τους όταν κινούνται µέσα στο πλήθος. Με αυτό τον τρόπο, αντί να πραγµατοποιούν H.T.T.P. αιτήσεις διαµέσου µιας συγκεκριµένης τρίτης οντότητας, τις πραγµατοποιούν µέσω ενός πλήθους (crowd)! Το πρόγραµµα Crowds αποτρέπει : 1. τους servers να καταγράψουν πληροφορίες (IP address, domain name, σελίδα από την οποία προήλθε ο χρήστης, τύπος υπολογιστή του χρήστη) και 1. τους ωτακουστές να παρακολουθούν απευθείας τα διακινούµενα µηνύµατα από τον υπολογιστή του χρήστη. Στo πρωτόκολλο Crowds, το path των συνεργαζόµενων proxy services επιλέγεται τυχαία βήµα προς βήµα καθώς η αρχική αίτηση προωθείται µέσω του πλήθους. Το path επιλέγεται από το πλήθος µία φορά και χρησιµοποιείται για όλες τις ανώνυµες επικοινωνίες από έναν αποστολέα (ιδρυτή), σε κάθε παραλήπτη εντός µιας περιόδου 24ωρών. Το Crowds ξεκινά µε την εκτέλεση ενός πρωτοκόλλου αρχικοποίησης. Όταν αυτό ολοκληρωθεί, ο αποστολέας γνωρίζει ένα µυστικό συµµετρικό κλειδί το οποίο γνωρίζουν και όσοι άλλοι Jondo συµπεριλαµβάνονται στο πλήθος. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 51 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας - CROWDS Για την αποστολή δεδοµένων, ο ιδρυτής δηµιουργεί και προωθεί ένα πακέτο, το οποίο περιλαµβάνει: 1. ένα τυχαίο path που αναπαρίσταται µε p, 2. την IP address του παραλήπτη γνωστή ως R, καθώς και 3. τα data τα οποία είναι κρυπτογραφηµένα µε ένα κλειδί K ij, το οποίο διαµοιράζεται µε τον τυχαία επόµενο επιλεγµένο Jondo j Κάθε µέλος του πλήθους λαµβάνοντας ένα πακέτο µε ένα νέο id path, αποφασίζει τυχαία µε βάση µία πιθανότητα προώθησης 0.5 <= P f < 1 εάν θα το προωθήσει στον παραλήπτη ή σε κάποιο άλλο επιλεγµένο τυχαίο Jondo. Όταν ο παραλήπτης λάβει το πακέτο, επιστρέφει ένα πακέτο απάντησης διαµέσου του αντίστροφου path της αίτησης. Τα επόµενα πακέτα µεταξύ του αποστολέα και του παραλήπτη θα ακολουθούν πάντοτε το ίδιο path. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 52 26

27 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας - HORDES Η τεχνολογία Hordes αποτελεί µία ακόµη επιλογή για ανωνυµία, η οποία µοιάζει στο σχεδιασµό µε τις τεχνολογίες Crowds και Onion routing. Το πρωτόκολλο Hordes όπως και το πρωτόκολλο Crowds χρησιµοποιεί πολλαπλούς πληρεξούσιους (proxies) για την ανώνυµη δροµολόγηση ενός πακέτου αλλά χρησιµοποιεί και υπηρεσίες πολλαπλής δροµολόγησης (multicast routing) δηλαδή πολυκατευθυντική IP διεύθυνση για την ανώνυµη δροµολόγηση της απάντησης προς τον ιδρυτή του µηνύµατος. Το Hordes είναι το πρώτο πρωτόκολλο ανωνυµίας που εκµεταλλεύεται τα αποτελέσµατα της απόδοσης και της έµφυτης ανωνυµίας στην πολλαπλή δροµολόγηση IP (IP multicast routing) Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 53 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας - HORDES Αρχικοποίηση: Σκοπός της φάσης αρχικοποίησης είναι να παρέχει στα νέα µέλη του πλήθους µία αυθεντικοποιηµένη, καινούρια λίστα των άλλων µελών του πλήθους. Η αρχικοποίηση περιλαµβάνει πέντε βήµατα. Βήµα 1: Αρχικά, ο ιδρυτής στέλνει στον εξυπηρέτη µία αίτηση για σύνδεση στο Hordes, η οποία περιλαµβάνει την IP διεύθυνση του ιδρυτή IPI, ένα δείκτη νεότητας (nonce) ΝΙ και το δηµόσιο κλειδί του ιδρυτή KI+ (όπως και στο Crowds οι συµµετέχοντες ονοµάζονται Jondos). I -> S : IPI, NI, KI+ Βήµα 2: Ο εξυπηρέτης απαντά µε ένα θετικό σήµα σύνδεσης που αποτελείται από ένα νέο δείκτη νεότητας και µία επανάληψη του δείκτη νεότητας του ιδρυτή. Σκοπός της ανταλλαγής των δεικτών νεότητας είναι η διασφάλιση ότι το πρωτόκολλο βρίσκεται σε λειτουργία και η αποφυγή επιθέσεων τύπου επανεκποµπής προς τον εξυπηρέτη. S -> I : [ NI, NS] KS- Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 54 27

28 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας - HORDES Βήµα 3: Ο ιδρυτής απαντά µε ένα σήµα αντίγραφο των δεικτών νεότητας. I -> S : [NI, NS] KI- Βήµα 4: Εάν οι δείκτες νεότητας είναι ορθοί, ο εξυπηρέτης στέλνει µία multicast διεύθυνση βάσης M που χρησιµοποιείται από όλα τα µέλη του πλήθους και µία λίστα µε όλα τα άλλα µέλη του πλήθους και τα δηµόσια κλειδιά τους. Ο εξυπηρέτης διασφαλίζει το γεγονός ότι η λίστα είναι ανανεωµένη µε τα τελευταία κλειδιά, καθώς επίσης και ότι περιλαµβάνει τους δείκτες νεότητας. Η λίστα αυθεντικοποιείται µε την υπογραφή του εξυπηρέτη. S -> H : [M, IPh, Kh+, NI, NS] KS-, h -> H Βήµα 5: Ο εξυπηρέτης πληροφορεί όλο το πλήθος, ότι ο Ι έχει συνδεθεί στέλνοντας ένα multicast µήνυµα. Η γνωστοποίηση περιλαµβάνει µία χρονική ένδειξη TS για να διασφαλιστεί το γεγονός ότι η ενηµέρωση δεν έχει επαναµεταδοθεί. S -> H : [IPI, KI+, TS ] KS- Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 55 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας - HORDES Τα βήµατα για τη µετάδοση των δεδοµένων είναι τα παρακάτω: Βήµα 1: Ο ιδρυτής, ή οποιοσδήποτε άλλος Jondo, επιλέγει τυχαία ένα µικρό υποσύνολο Jondos h από H, που θα χρησιµοποιηθεί για την προώθηση των µηνυµάτων και στέλνει στο κάθε Jondo ένα συµµετρικό κλειδί Kf, κρυπτογραφηµένο µε το δηµόσιο κλειδί του εποµένου του και υπογεγραµµένο µε το ιδιωτικό του κλειδί. I -> s : { [Kf] Kr- }Ks+ Βήµα 2: Ο ιδρυτής επιλέγει τυχαία µία οµάδα multicast m από τη βάση M, η οποία είναι η συγκεκριµένη οµάδα διευθύνσεων που διαµοιράζονται όλοι οι Jondos στο πρωτόκολλο Hordes. Το όφελος επιλογής των διαφορετικών οµάδων είναι το ότι οι παραλήπτες κατανέµονται µε τέτοιο τρόπο, ώστε να µην ακούν όλη την κίνηση. Σε αυτό το σηµείο, ο ιδρυτής πρέπει να συνδεθεί στην οµάδα multicast ώστε να επιλεγεί ως παραλήπτης. Για την προώθηση των δεδοµένων, ο ιδρυτής στέλνει ένα µήνυµα σε ένα τυχαίο Jondo που ανήκει στην οµάδα προώθησης. Το µήνυµα περιέχει τη διεύθυνση του παραλήπτη R, τη multicast οµάδα m στην οποία ο παραλήπτης θα στείλει τις απαντήσεις, έναν τυχαίο αριθµό id που θα χρησιµοποιηθεί αργότερα ώστε να αναγνωρισθεί µία συγκεκριµένη απάντηση στο δέντρο multicast, καθώς και τα δεδοµένα. Αυτό το τµήµα του µηνύµατος κρυπτογραφείται από ένα συµµετρικό κλειδί Kf, και µαζί µε ένα αναγνωριστικό κλειδιού i, διαµοιράζονται στο επόµενο βήµα προώθησης I -> h : i, {R, id, m, data}kf Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 56 28

29 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας - HORDES Βήµα 3: Σε κάθε Jondo που λαµβάνει ένα µήνυµα, υπάρχει µία πιθανότητα που υποδηλώνει ότι το µήνυµα θα σταλεί στον παραλήπτη. ιαφορετικά, ο Jondo επιλέγει τυχαία ένα άλλο Jondo από την οµάδα προώθησης που ανήκει. Σηµειώνεται αυτό το Jondo ως h. Ο Jondo στέλνει τον ίδιο τύπο µηνύµατος όπως στο βήµα 1, όµως τώρα υπάρχει ένα διαφορετικό αναγνωριστικό κλειδιού i και ένα διαµοιραζόµενο κλειδί Kf. j -> h : i, { R, id, m, data }Kf Βήµα 4: Μετά από έναν αριθµό βηµάτων προώθησης (hops) µέσα στο πλήθος, ο τελευταίος Jondo, συµβολιζόµενος ως h στον παρακάτω τύπο, προωθεί το µήνυµα στον ανταποκριτή. h -> R : m, data, id Βήµα 5: Η απάντηση, που εµφανίζεται ως reply στον κανόνα, στέλνεται στην οµάδα multicast m. Αυτή συνυπάρχει µε έναν τυχαίο αριθµό id, για να προσδιορίσει την ταυτότητά του στον παραλήπτη, ώστε να είναι εύκολη η παραλαβή από την οµάδα multicast. R -> m : id, reply Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 57 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας - FREEDOM Το δίκτυο Freedom είναι ένα δίκτυο που εκτελείται υπεράνω του διαδικτύου. Χρησιµοποιεί στρώµατα κρυπτογράφησης για να επιτρέψει στους χρήστες του να συµµετέχουν σε µια ευρεία ποικιλία ψευδώνυµης δραστηριότητας µε απόκρυψη των πραγµατικών τους διευθύνσεων IP, των διευθύνσεων του ηλεκτρονικού τους ταχυδροµείου και άλλων πληροφοριών που µπορούν να τους προσδιορίσουν. Οι χρήστες ενθαρρύνονται να δηµιουργούν ψευδώνυµα σε κάθε περιοχή στην οποία θέλουν να διαφυλάξουν την ιδιωτικότητα τους. Τα ψευδώνυµα που δηµιουργούνται στο Freedom καλούνται nyms. Το δίκτυο Freedom προστατεύει την ιδιωτικότητα των χρηστών διαµέσου των υποστηριζόµενων πρωτοκόλλων της υπηρεσίας πληρεξούσιου και αποστέλλει τα πακέτα διαµέσου ενός ιδιωτικού δικτύου πριν αυτά προωθηθούν στο Internet για την κανονική υπηρεσία. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 58 29

30 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας - FREEDOM Οι συνιστώσες που συνθέτουν το σύστηµα Freedom περιλαµβάνουν το δίκτυο Freedom (Freedom Network) και τους βασικούς εξυπηρέτες Freedom (Freedom Core Servers). Παράλληλα το σύστηµα υποστηρίζεται από διάφορα συστατικά λογισµικού, όπως ο εξυπηρετούµενος Freedom (Freedom client), οι Ανώνυµοι Πληρεξούσιοι Κόµβοι Freedom (Freedom Anonymous Internet Proxies AIPs), το Σύστηµα Αναφοράς και Πληροφόρησης ικτύου (Network Information and Reporting System - NIRS), οι PKI εξυπηρέτες (PKI servers) και το Σύστηµα Ηλεκτρονικού Ταχυδροµείου (Mail System). Το δίκτυο Freedom χρησιµοποιεί ένα σύνολο κόµβων, των AIPs, για τη µεταφορά της κρυπτογραφηµένης IP κίνησης. Το πλήθος των κόµβων αυτών, για κάθε διαδροµή, επιλέγεται από το χρήστη στον εξυπηρετούµενο Freedom, µε σκοπό να ρυθµιστεί το επίπεδο ασφάλειας. Οι ίδιοι οι κόµβοι AIPs δε διασυνδέονται µε συγκεκριµένη τοπολογία µεταξύ τους, αλλά µπορούν να επικοινωνούν µε οποιοδήποτε άλλο AIP του δικτύου, όπως καθορίστηκε από τον εξυπηρετούµενο κατά την αρχική δηµιουργία της διαδροµής. Για τη διασφάλιση αυθεντικοποιηµένων διαδροµών προς έναν AIP, απαιτείται υποβολή σχετικού αιτήµατος δηµιουργίας διαδροµής, ψηφιακά υπογεγραµµένου από ένα ψευδώνυµο nym. Με τη λήψη από το AIP ενός σχετικού αιτήµατος, ανακτάται το αντίστοιχο δηµόσιο κλειδί του nym και επαληθεύεται η ταυτότητα αυτή. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 59 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας - FREEDOM Οι Ανώνυµοι Πληρεξούσιοι του Internet (Anonymous Internet Proxies AIPs) αποτελούν τους δαίµονες πυρήνα της δικτυακής ανωνυµίας για το δίκτυο Freedom. Οι AIPs ενθυλακώνουν τα δικτυακά πακέτα µεταξύ τους µέχρις ότου τα δεδοµένα να φτάσουν σε έναν κόµβο εξόδου. Το Freedom NIRS αποτελείται από κόµβους που περιέχουν τρία διαφορετικά συστατικά: τον NISS εξυπηρέτη που ενηµερώνεται για την κατάσταση διαφόρων εξυπηρετών, τον NIDB εξυπηρέτη που αποθηκεύει σχετικές πληροφορίες και τον NIQS εξυπηρέτη που λαµβάνει από τη βάση δεδοµένων απαντήσεις για ερωτήσεις που προέρχονται από διάφορες οντότητες του συστήµατος Freedom Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 60 30

31 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας - FREEDOM Οι PKI εξυπηρέτες περιλαµβάνουν: έναν εξυπηρέτη κλειδιών για την παροχή δηµόσιων κλειδιών για διασφάλιση της εµπιστευτικότητας και της ακεραιότητας, έναν εξυπηρέτη διαχείρισης nym ψευδωνύµων και έναν εξυπηρέτη διακριτικών που παρέχει τη δυνατότητα στους χρήστες να δηµιουργούν ψευδώνυµα χωρίς να δηλώνουν την πραγµατική τους ταυτότητα. Το Σύστηµα Ηλεκτρονικού Ταχυδροµείου Freedom διαχειρίζεται τα µηνύµατα που διακινούνται από τα ψευδώνυµα nyms. Χρησιµοποιεί το δίκτυο Freedom για την ανώνυµη αποστολή µηνυµάτων και αξιοποιεί έναν POP χώρο υποδοχής µηνυµάτων για την αποθήκευση των µηνυµάτων που στέλνονται προς τα ψευδώνυµα nyms. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 61 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας - FREEDOM Network Application (Netscape, Outlook...) Networking calls (connect(), sendto()... ) Sanitized Data Stream Freedom Traffic Network API (Winsock 2, sockets) Networking calls Datagrams Network Access Layer Networking Stacks Traffic Filter Network Interface Freedom Client Graphical Interface Freedom Client Components (Simplified) Data Stream Sanitized Data Stream Datagrams Aplication Filters Freedom Routing, Crypto, etc... Sanitized Encrypted Datagrams (Freedom Traffic) Freedom Traffic Internet Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 62 31

32 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας - FREEDOM Ο εξυπηρετούµενος Freedom δίνει τη δυνατότητα σε δικτυακές εφαρµογές να προσπελαύνουν το Internet µέσω του συστήµατος Freedom. Αποτελείται από διάφορες επιµέρους συνιστώσες, όπως µία γραφική διεπαφή GUI, ένα επίπεδο πρόσβασης δικτύου, ένα φίλτρο κυκλοφορίας, φίλτρα εφαρµογών, καθώς και ένα σύνολο βιβλιοθηκών που υλοποιούν τη λειτουργικότητα που απαιτείται για ενέργειες κρυπτογράφησης, δροµολόγησης, διαχείρισης nyms, δηµιουργίας διαδροµών κλπ. Η διεπαφή επιτρέπει στο χρήστη τον έλεγχο λειτουργίας των ποικίλων συνιστωσών: δηµιουργεί και καταστρέφει οντότητες του συστήµατος Freedom, αναβαθµίζει τη δικτυακή πληροφορία, διαχειρίζεται τις ταυτότητες των ψευδωνύµων και ελέγχει την εφαρµογή και τα φίλτρα κίνησης. Το επίπεδο πρόσβασης δικτύου χρησιµοποιείται για να παγιδεύσει τις δικτυακές κλήσεις µιας εφαρµογής και τις ανακατευθύνει στο τοπικό φίλτρο της εφαρµογής. Τα φίλτρα εφαρµογής χρησιµοποιούνται για να ελαχιστοποιούν τη δικτυακή ροή δεδοµένων της εφαρµογής. Πολλά πρωτόκολλα εφαρµογών, όπως τα SMTP και HTTP αποκαλύπτουν πληροφορίες που σχετίζονται µε το χρήστη. Το φίλτρο προσθέτει ή διαγράφει αυτές τις πληροφορίες εξετάζοντας τη ροή δεδοµένων σύµφωνα µε το κατάλληλο πρωτόκολλο και αναδηµιουργεί µια νέα µικρότερη δοµής. Καθώς οι απαντήσεις καταφθάνουν από το αποµακρυσµένο υπολογιστικό σύστηµα προς το φίλτρο, η ροή επεξεργάζεται ξανά ώστε η τοπική δικτυακή εφαρµογή να µην είναι ενήµερη µε τις αλλαγές που έχουν διεξαχθεί. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 63 Τεχνολογίες Ενίσχυσης Ιδιωτικότητας - FREEDOM Μετά την επιστροφή της ροής δεδοµένων από το φίλτρο εφαρµογής και το επίπεδο πρόσβασης δικτύου, αυτή εισάγεται στη δικτυακή στοίβα του υπολογιστικού συστήµατος του εξυπηρετούµενου. Η στοίβα µετατρέπει τη ροή δεδοµένων σε πακέτα IP, TCP και UDP. Αντί να επιτρέπεται στο υπολογιστικό σύστηµα να τοποθετεί αυτά τα πακέτα άµεσα στη δικτυακή σύνδεση, τα πακέτα λαµβάνονται από το φίλτρο κίνησης του Freedom. Το φίλτρο αυτό µετριάζει τα πακέτα, αφαιρώντας την IP διεύθυνση πηγής, τα υπόλοιπα TCP και IP στοιχεία και µηδενίζοντας τα άλλα πεδία. Στη συνέχεια, το πακέτο κρυπτογραφείται για να ακολουθήσει την πορεία που έχει δηµιουργηθεί για το ενεργό ψευδώνυµο. Το κρυπτογραφηµένο πακέτο αποστέλλεται στον πρώτο εξυπηρέτη Freedom της πορείας. Η επιστρεφόµενη κίνηση επεξεργάζεται κατά την αντίστροφη πορεία: τα πακέτα αποκρυπτογραφούνται σύµφωνα µε τις παραµέτρους δροµολόγησης, οι επικεφαλίδες αναδηµιουργούνται και τα φίλτρα κίνησης προωθούν τα πακέτα στη δικτυακή στοίβα του υπολογιστικού συστήµατος του εξυπηρετούµενου Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αν. Καθ. Κ. Λαµπρινουδάκης 64 32