Sacrificing privacy is a heavy price to pay for the advantages of mobile communication but today’s growing number of users on the move are left no alternative. Existing mechanisms for providing the anonymity essential to privacy protection fail to meet the demands of mobile use. Alf Zugenmaier takes us the first mile in bridging this gap. His conceptual model, the „Freiburg privacy diamond“, systematically identifies the characteristic features of mobility. He then uses it to deduce „location addressing“, an innovative anonymizing mechanism which places the users’ mobility at the core of the solution. Highly recommended reading for lecturers, students and ICT professionals who wish to consider privacy aspects in their work. In Zusammenhang mit dem elektronischen Handel, dem E-Commerce, hat sich gezeigt, dass persönliche Daten zunehmend auch zu einem handelbaren Gut werden. Um den Handel mit diesen Daten auch einem Endkunden in einer E-Commerce Transaktion zu ermöglichen, muss er1 von Anfang an dafür sorgen, dass er seine Daten nicht ohne Gegenleistung preisgibt. Zu Beginn einer Transaktion muss er also anonym sein. Für einen Kunden, der von seinem PC aus am E-Commerce teilnimmt, existieren verschiedene Mechanismen, um Anonymität zu erreichen. Aufgrund der zunehmenden Verbreitung von mobilen persönlichen Geräten, die auch für den E-Commerce eingesetzt werden können, stellt sich die Frage, ob Anonymität auch für Benutzer dieser mobilen Endgeräte gewährleistet werden kann. Im ersten Teil der Arbeit werden Kriterien abgeleitet, die ein Anonymitätsmechanismus erfüllen muss, um den Anforderungen eines mobilen Einsatzes gerecht zu werden. Es wird gezeigt, dass die existierenden Anonymitätsmechanismen diese Kriterien nicht erfüllen, also für den mobilen Einsatz nicht geeignet sind. Die Mobilität wurde im Design dieser Mechanismen nicht berücksichtigt. Im zweiten Teil der Arbeit wird ein Angreifermodell vorgestellt, in dem der spezielle Aspekt der Mobilität in den Vordergrund gerückt wird, nämlich die Trennung von Gerät, mit dem eine Aktion durchgeführt wird, Benutzer, der sie ausführt und Ort, von dem aus diese Aktion ausgeführt wird. Ausgehend von dieser Trennung werden Möglichkeiten aufgezeigt, mit denen ein Angreifer dieIdentität des Nutzers aufdecken kann. Aus diesem Modell werden Klassen möglicher Anonymisierungsmechanismen abgeleitet. Eine dieser Klassen ist für den mobilen Einsatz besonders gut geeignet, da sie sowohl die Nutzung eines persönlichen Gerätes zulässt, als auch im Netzwerk Optimierungen abhängig vom aktuellen Aufenthaltsort erlaubt. Im dritten Teil dieser Arbeit wird ein Mechanismus entwickelt, der dieser Klasse zuzuordnen ist. In diesem Mechanismus, Ortsadressierung genannt, wird ausgenutzt, dass durch die Mobilität des Benutzers sowohl die Beziehung zwischen Ort und Benutzer als auch die zwischen Ort und Gerät nicht fix ist. Wenn sich aus dem Ort, an dem sich der Benutzer mit seinem Endgerät befindet, keine Rückschlüsse auf die Identität des Nutzers ziehen lassen, darf der Ort, an dem die Aktion durchgeführt wurde, dem Angreifer bekannt werden. Die Merkmale, die das Gerät oder den Nutzer identifizieren, müssen jedoch weiterhin verdeckt werden. Da es bereits Mechanismen gibt, mit denen ein Nutzer sicherstellen kann, dass er keine persönlich identifizierenden Merkmale in einer Aktion verrät, muss der Mechanismus der Ortsadressierung darüberhinaus nur noch dafür sorgen, dass das Gerät keine das Gerät selber identifizierenden Merkmale herausgibt. Einen solchen Mechanismus kann man auf der Basis von existierenden Kommunikationsprotokollen mit folgender Methodik aufbauen: Die einzelnen Kommunikationsprotokolle auf allen Schichten des Protokollstapels werden untersucht, in wie fern sie identifizierende Merkmale preisgeben. Diese werden dann geblendet, also so weit wie möglich durch zufällige Werte ersetzt. Das wichtigste identifizierende Merkmal ist die Adresse des Gerätes. Eine Adresse wird benötigt, um eine Nachricht an den richtigen Ort zu bringen. Daher kann die Geräteadresse nicht vollständig zufällig sein. Die Adresse des Gerätes wird aus dem Ort, an dem es sich gerade befindet, abgeleitet. Dem Netzwerk wird somit die Möglichkeit gegeben, das Routing zu optimieren. Desweiteren wird die Adresse oft auch zur Zuordnung von Nachrichten zu einer Verbindung verwendet. Deswegen muss die Adresse, die für Nachrichten im Zusammenhang mit einer Verbindung eingesetzt wird, für die Dauer dieser Verbindung konstant sein. Das Design einer Implementierung, genannt Freiburg Location Addressing SCHEme (FLASCHE), wird vorgestellt, basierend auf einem Endgerät mit dem Betriebssystem UNIX, einer Funkschnittstelle nach IEEE 802.11b, einem TCP/ IP Protokollstapel mit IPv6-Unterstützung und einem Web-Browser. Im vierten Teil der Arbeit wird verifiziert, dass der so entworfene Mechanismus tatsächlich den Kriterien, die im ersten Teil der Arbeit aufgestellt wurden, entspricht. Zudem werden mögliche Angriffe auf den Mechanismus untersucht und bewertet. Ein Beitrag dieser Arbeit ist das Angreifermodell, mit dem sich einerseits Anonymitätsmechanismen untersuchen lassen, das sich andererseits auch konstruktiv zum Entwurf neuer Anonymitätsmechanismen eingesetzen lässt. Ein weiterer Beitrag ist die Entwurfsmethodik, die für das Design von FLASCHE angewandt wurde, und die es darüber hinaus ermöglicht, den Anonymitätsmechanismus „Ortsadressierung“ auch auf anderen Kommunikationstechnologien aufzubauen. Introduction Security, a key factor for the acceptance of new technologies, accompanies technology, due to the fact that new technologies entail new threats, as well as new possibilities. Most of the threats arising from the use of information and communication technologies are related to the privacy of the users of these technologies. In the early years of computing, protection of the privacy of users could be regulated by data protection legislation based on a central data processing model. The emergence of the Internet and the increasing networking of computers and corporations raised security questions that were solved by mapping the new topologies onto the old ones: firewalls separate the outside from the inside, areas with sensitive information are protected against access from other networks. In order to benefit from networking, authorized access has to be allowed. The authentication of authorized users can be ensured, e.g., by a public key infrastructure. These mechanisms, firewalls [ChBe1994] and public key infrastructures [ITU2000], reach their limit with the current trend towards wireless networks, spontaneous and ad hoc networking, miniaturized devices and seemingly ubiquitous computing. Information is processed on mobile devices in constantly changing networks. New devices may join the network, others may leave, changing the environment and the available services. If a network can be reached via its radio interface a device may join this network at any time. The primary operators and users in a network may not be interested in protecting security, in particular protecting the privacy of the user of an additional device. In view of this changing environment it is necessary to look at existing security mechanisms and see whether they are suitable for the new environment as well. The concept of multilateral security [RaPfMü1997],[RaPfMü1999] recognizes this problem and offers all involved participants a means of expressing their respective protection goals. A main protection goal defined in multilateral security which is related to the privacy of the user is anonymity. This complies with the essential goal of a user not to be identifiable in certain situations. Anonymity becomes important in the digital economy as soon as personal identification information is viewed as a negotiable value. A basis for negotiation regarding the controlled release of this information can only be achieved if anonymity is provided. It is then possible to reveal the identity stepwise as the negotiation proceeds. In this sense, anonymity is not a protection goal that has to be achieved all the time and under all possible circumstances. It can be seen as a protection goal that is required at the start of the communication. A number of mechanisms may ensure anonymity, however, they either require an anonymizing infrastructure like “mix” networks [Chaum1981], “Crowds” [ReRu1998], and “onion routing” [GoReSy1996] or they require a lot of resources like “DC-networks” [Chaum1988] which demand continuous activity on the part of all participants. For a mobile user with a mobile device, these resources may not be available and the anonymizing infrastructure may not be accessible. A different approach to anonymizing is proposed in this thesis. 1.1 Thesis Statement A new approach to providing anonymity for the communication of users with mobile devices is required. In this thesis, the property of a mobile user to be at different locations which cannot be attributed to the user is exploited to anonymize the user. Of course, for this mechanism to work, all information identifying the mobile device or the user must be anonymized. Addresses often include information identifying a device, which could be used to discover the identity of the user. To remove this information, addressing of the device is done only through the location of the user. This thesis asserts that location addressing provides a way to achieve anonymity for a mobile user. It describes a design method and the design of an instance of a communication system for mobile users employing location addressing. The concept and the design are derived from an explicit attacker model, the Freiburg privacy diamond, which has been developed in the course of this thesis. 1.2 Thesis Assumptions Mobile users use services in the local environment as clients. If users have to, or wish to, identify themselves they may choose to do so. Users are considered mobile if they are outside of their home or office environment. An example of a situation where these assumptions apply is that of a user at a train station checking time tables. This example does not require the user to surrender privacy by identifying himself. A user acessing the system from home will be identifiable by his or her location or at least the number of people coming into question will be reduced to the number of people staying there. Therefore, a violation of these assumptions yields reduced or no anonymity at all. The group of people which the user can use to conceal his identity is significantly reduced. 1.3 Thesis Organization The next chapter deals with mobile applications and deduces demands these applications make on the communication system they use. It describes existing communication systems which can be used for these mobile applications. Subsequently, the concept of multilateral security and, in greater detail, the protection goal of anonymity are introduced. Existing security mechanisms for achieving anonymity are described and their inadequacies for use with mobile applications are illustrated. Security mechanisms attempt to enforce a protection goal in the presence of an attacker. The third chapter presents the attacker model used in this thesis to describe the capabilities of an attacker. The Freiburg privacy diamond is developed at this point. It is a model for describing the knowledge an observer, the attacker, has about the user who wishes to remain anonymous. The privacy diamond represents the attacker’s knowledge as relations and can be extended to incorporate probabilities. The approach of probabilistic logic used for this extension originates in expert systems and artificial intelligence [Nilsson1986]. Some of the anonymizing techniques described in Chapter Two are evaluated using the privacy diamond, to show that this model can be applied to anonymizing techniques. In Chapter Four, the Freiburg privacy diamond is used to classify possible anonymizing systems. The concept of location addressing is described. It shows how this anonymity mechanism can be integrated, both in networks which have an infrastructure and networks which lack one. A method is presented which illustrates how this mechanism can be integrated into existing communication systems by introducing minor modifications on the client side only. FLASCHE (Freiburg location addressing scheme), an implementation design for a network with an infrastructure, is proposed. Chapter Five evaluates FLASCHE with respect to achievable anonymity. The Freiburg privacy diamond is used to assess the possibilities for an attacker to link several transactions and, ultimately, to link these to the identity of the user. The interoperability of FLASCHE with other security mechanisms is assessed at a conceptual level and at the implementation design level. Evidence is given that FLASCHE does, in fact, fulfil the requirements for an anonymizing technique for use with mobile devices which are cited in Chapter Two. The last chapter summarizes the contributions made by this thesis and discusses areas for further research.weiterlesen