Toepassingen van cryptografie

Transcriptie

1 Toepassingen van cryptografie

2

3 Toepassingen van cryptografie Gerard Tel Instituut voor Informatica en Informatiekunde Universiteit Utrecht

4 iv

5 Inhoudsopgave Inhoudsopgave Voorwoord v ix 1 DMCA (Costyn van Dongen ) Artikelen in de DMCA Gevolgen Gevallen van Misbruik In Europa: de EUCD Kwaad en erger: CBDTPA Conclusie An.on (Roman Kakisina ) Inleiding Proxies & Mixen Java Anon Proxie (JAP) Samenvatting en conclusie The Free Network Project (Pieter Poorthuis ) Wat is Freenet Ontstaansgeschiedenis Werking van Freenet Drempels voor Freenet Geheimen in hardware, een case study: XBOX (Frank Verbruggen ) Inleiding Geheimen bewaren in hardware, de XBOX bootsector kraak Mogelijke verbeteringen in de veiligheid van hardwaregeheimen Kraken van de hard-disk in de XBOX DVD versleuteling - CSS (Guido Diepen ) Geschiedenis DVD De (schijn)oplossingen (De)coderen met CSS Stappenplan decoderen DVD v

6 vi Inhoudsopgave 5.5 Kraken van CSS - DeCSS Het programma DeCSS Conclusie Virtual Private Networks (Nabil el Ouali ) Inleiding Protocollen VPN/Firewall oplossingen vs Stand alone VPN s Samenvatting Windows 2000 Advanced Server (Bas Ribbers ) Korte platform beschrijving Kerberos Server Authentication Secure Networking Encrypting File System (EFS) Smart Cards Windows 2000 Public Key Infrastructure Biometrie (Lars Hemel ) Passwords versus Biometrie Introductie van biometrische systemen Vingerafdrukken Vingerafdruk scanners Smartcards Conclusie Fraunhofer SMM (Marcel Blokpoel ) Wie is Fraunhofer? Wat is SMM? Waarom SMM? Toepassing Niveaus Evaluatie en daarna Toekomst CyberVote: Elektronische Verkiezingen (Joris Valkonet ) Eisen kiessystemen Elementen van Verkiezingsprotocollen Twee typen kiesprotocollen CyberVote Bulletin Board Model (Cramer, Gennaro en Schoenmakers) Conclusie SmartGun (Kevin Kwee ) Het SmartGun project Voorloper van de SmartGun: Radio Frequency Technology Biometric Technology: Pattern Analysis

7 Toepassingen van cryptografie vii 11.4 System Integration Samenvatting en conclusies Informatiebeveiliging binnen Siemens (Stefan Holdermans ) Inleiding Gebruik van public-keycryptografie Overzicht van Siemens public-keyinfrastructuur Conclusie ITicket/Ticket Solution (Gerd-Jan van Gils ) ITicket/Ticket Solution Beveiliging De toekomst Digital Credentials (Peter Scheer ) Het Model Tonen van een Digital Credential Aanvragen van een Digital Credential Beperken van het gebruik Conclusie Pailliers Public-Key Cryptosysteem (Jurn Franken ) Public-Key encryptie Deciding Composite Residuosity Een nieuw Probabilistic Encryption Scheme A New One-Way Trapdoor Permutation Bijna kwadratische decryptie complexiteit Efficientie en Implementatie Aspecten Verklaring gebruikte notaties Cryptografie met elliptische krommen (Erik Jan van Leeuwen ) Eindige lichamen Elliptische krommen over eindige lichamen Elliptische krommen in cryptografie Aanvallen op het ECDLP Evaluatie Wireless security (Gido van der Star ) WEP Veiligheid van WEP Draadloos veilig? Conclusie AES - Rijndael (Niels Egberts ) Totstandkoming van een standaard Specificaties van Rijndael De veiligheid van AES Een chronologisch tijdoverzicht van het ontstaan van AES

8 viii Inhoudsopgave 18.5 Samenvatting en Conclusies Real-time aanval op A5/1 (Eelko Penninkx ) Inleiding Werking De aanval Conclusie Bibliografie 187 Index 191

9 Voorwoord Deze bundel is ontstaan uit het college Cryptografie dat in het najaar van 2002 aan de Universiteit Utrecht werd gegeven. Om de besproken stof te koppelen aan de praktijk van de cryptografie deed elke deelnemer een kleine case study als project. Er werd een cryptografisch systeem of toepassing bestudeerd, waarover een voordracht van 20 minuten werd gehouden. Vragen die werden behandeld waren o.a.: Waar is het voor gemaakt en wat doet het systeem precies? Hoe werkt het? Wie maken (of maakten) er gebruik van en is (was/wordt) het systeem veilig? Kan het worden gekraakt? Welke delen van de theorie worden in dit systeem toegepast? Over de 19 case studies werden 17 voordrachten gehouden op een mini-symposium op 9 december. Alle geschreven bijdragen treft u in deze bundel aan. De bundel kan beschouwd worden als een aanvulling op het boek Cryptografie: Beveiliging van de digitale maatschappij van Gerard Tel [Tel02], dat bij het college werd gebruikt. Stijl en layout van het boek zijn in de bijdragen in deze bundel overgenomen. De schrijvers van de bijdragen in deze bundel zijn: Marcel Blokpoel, Guido Diepen, Costyn van Dongen, Niels Egberts, Jurn Franken, Gerd-Jan van Gils, Lars Hemel, Stefan Holdermans, Roman Kakisina, Kevin Kwee, Erik Jan van Leeuwen, Nabil el Ouali, Eelko Penninkx, Pieter Poorthuis, Bas Ribbers, Peter Scheer, Gido van der Star, Joris Valkonet, Frank Verbruggen. We hopen dat alle lezers aan deze bundel plezier zullen beleven en dat de bundel als een zinvolle aanvulling op het boek wordt beschouwd. Gerard Tel, Januari ix

10 Hoofdstuk 1 DMCA Door Costyn van Dongen De DMCA, oftewel de Digital Millenium Copyright Act is een door het Congress van de Verenigde Staten ingestelde wet voor het beschermen van intellectuele eigendommen (IE). De artiest, auteur, programmeur kan de wetten gebruiken om op deze manier onrechtmatig kopieëren tegen te gaan, en zo geen geld te verliezen. Het concept digital rights management (DRM) is voortgekomen uit het idee dat er een eind moest komen aan ongeauthorizeerd kopiëren en distribueren van digitale intellectuele eigendommen. Op zich is dit natuurlijk niet zo n slecht idee. De DMCA heeft het dan ook sinds 1998 onrechtmatig gemaakt om DRM systemen te omzeilen. De wet maakt alleen geen onderscheid tussen het omzeilen van DRM voor doeleinden die de auteurswet overtreden, en het omzeilen van DRM voor wettige eigen gebruik doeleinden. Eigen gebruik doeleinden, in het Engels fair use, houdt in dat een persoon voor zichzelf een kopie mag maken, van bijvoorbeeld een CD die in eigendom is, om te beluisteren in de auto of op werk. Het betekent dus dat als men een CD koopt met DRM, dat men geen recht heeft om een legale kopie te maken voor eigen gebruik, zonder daarvoor de DRM te omzeilen. 1.1 Artikelen in de DMCA De relevante delen van de DMCA luiden: Sec Circumvention of copyright protection systems (a) VIOLATIONS REGARDING CIRCUMVENTION OF TECHNOLOGI- CAL MEASURES- (1)(A) No person shall circumvent a technological measure that effectively controls access to a work protected under this title. The prohibition contained in the preceding sentence shall take effect at the end of the 2-year period beginning on the date of the enactment of this chapter. 1

11 2 DMCA (2) No person shall manufacture, import, offer to the public, provide, or otherwise traffic in any technology, product, service, device, component, or part thereof, that 1. is primarily designed or produced for the purpose of circumventing a technological measure that effectively controls access to a work protected under this title; 2. has only limited commercially significant purpose or use other than to circumvent a technological measure that effectively controls access to a work protected under this title; or 3. is marketed by that person or another acting in concert with that person with that person s knowledge for use in circumventing a technological measure that effectively controls access to a work protected under this title. Dus, men mag geen DRM omzeilen en nergens aan werken en niets verkopen wat DRM omzeilt. De complete text van de DMCA is te vinden op: Gevolgen Ontnomen Rechten Eigen Gebruik Het auteursrecht biedt de auteurs middelen om zich te beschermen tegen misbruik, maar er bestaan ook enkele uitzonderingen, rechten voor de consument wat betreft hun gekochte IE waarop auteursrecht rust: Het is toegestaan om kopieën te maken voor eigen gebruik. Daaronder wordt verstaan backup kopie (voor het geval het orgineel beschadigd wordt in verloop van gebruik), een kopie voor gebruik op andere plekken en media (je mag een kopie van een CD maken voor op je werk, je mag een CD rippen en omzetten naar MP3 of Ogg Vorbis om het daarna in een persoonlijke MP3 speler te kunnen beluisteren, je mag van gekochte CDs remixes maken voor eigen luister plezier). Het is toegestaan om onderdelen uit een IE te kopieëren voor academische en journalistiek doeleinden. Een journalist kan onderdelen uit een boek citeren voor een recensie of parodie doeleinden, bijvoorbeeld. Als men een boek heeft gekocht, mag men het daarna weer verkopen. Er is geen restrictie op het doorverkopen van boeken. Je mag alleen geen kopieën van het boek maken.

12 1.3 Gevallen van Misbruik 3 De invoering van de DMCA bracht dus een vermindering van rechten met zich mee voor de consument. Het bedrijfsleven is er op vooruit gegaan, de consument er op achteruit. Als een consument een door DRM beveiligd werk koopt, mag hij niet meer z n eigen gebruik rechten uitoefenen, omdat dat in zou houden dat de DRM omzeild zou moeten worden. Ik citeerde een stuk tekst uit de DMCA in het vorige onderdeel. Gelukkig dat er geen DRM op het DMCA document zaten, anders had ik niet rechtmatig deze tekst in mijn tekst kunnen zetten Onderzoek naar encryptie in gevaar De DMCA zegt dus eigenlijk dat onderzoek naar bestaande beveiligingen opeens verboden zou zijn. Als een encryptie schema gebruikt is voor het beveiligen van een document, bijvoorbeeld, is het opeens onrechtmatig geworden om onderzoek te doen naar de veiligheid van dit encryptie schema. Het proberen te breken van encryptie schemas is een belangrijk onderdeel van onderzoek in encryptie. Bruce Schneier, in z n artikel over het geval van Felten vs. RIAA (ivm SDMI, dit geval beschreven in sectie 1.3.1), zei: 9. Unlike many academic disciplines, security is inherently adversarial. Researchers who invent security systems are always competing with those who break security systems. Due to the nature of how security works, it is impossible to categorically state that a security system is secure. It may be secure against all known attacks, but there is no guarantee that a successful attack will not be invented tomorrow. Despite not being able to prove security, it is quite possible to definitively show insecurity, by explaining how to break a system, or by publicly demonstrating one s ability to do so. Since the presence of a negative result (break-in) shows that a security system is insecure, security can only be demonstrated by the lack of such results. Dus, een belangrijk onderdeel van onderzoek naar beveiligingen is het schrijven van code om proberen een bestaand encryptie schema te breken. Hier volgt een aantal echte gevallen die zich hebben voorgedaan de laatste aantal jaren. 1.3 Gevallen van Misbruik Professor Felten en de SDMI In september 2000 werd er door een groep bekend als de SDMI, de Secure Digital Music Initiative, een nieuwe manier van beveiliging van digitale muziek voorgesteld. Dit maakte gebruik van watermerken die in de muziek verborgen zitten, die verder voor de beluisteraar niet te horen waren. Een muziekbestand zou vervolgens gebonden zijn aan het programma om een bestand af te spelen. Zo zou kopieëren naar een andere computer zinloos zijn omdat het afspeelprogramma van de ander het afspelen zou weigeren. Het watermerk was een manier van identificeren van bestanden.

13 4 DMCA De SDMI daagde onderzoekers in de informatica wereld uit in een wedstrijd om het watermerk uit een muziek stuk te halen zonder dat de kwaliteit daarvan hoorbaar achteruit ging. Enkele onderzoekers van Princeton University zijn hier in geslaagd, samen met collegas van Rice University en Xerox. Toen ze hun resultaten wilden publiceren op een conferentie kwamen juristen van de SDMI die stelde dat de wetenschappers wettelijk zouden worden vervolgd als ze hun resultaten zouden presenteren. Dit werd ook gemeld aan de werkgevers van de wetenschappers en aan de organisatoren van de conferentie. Tegen hun zin in hebben de wetenschappers toen hun werk niet op de conferentie publiek gemaakt. Pas na het aangespannen van een rechtzaak in de Amerikaanse Federal Court, konden ze uiteindelijk hun werk publiceren. Meer informatie over de SDMI te vinden op de site van Professor Felten: Dimitry Sklyarov en Adobe Adobe kwam in 2001 met hun e-book file formaat. Dit formaat leek op PDF, maar het was speciaal bedoeld voor het publiceren van boeken in electronisch formaat. De inhoud was versleuteld om kopiëren tegen te gaan. Deze encryptie was makkelijk te breken omdat de sleutel in het document zelf was verborgen. De Russische programmeur Dimitry Sklyarov had een programma geschreven, de Advanced e-book Processor, dat deze e-books omzette naar PDF formaat. Het programma werd vervolgens verkocht door zijn werkgever, Elcomsoft Co. Ltd. om e-books over te kunnen zetten op PDAs en laptops vanaf PCs. Blinden zouden de software kunnen gebruiken om hun e-book te laten voorlezen door text-to-speech programmas. Toen Dimitry in Juli 2001 naar de Amerikaanse beveiligings conventie DEFCON ging om daar een presentatie over z n werk te geven, lichtte Adobe de FBI hierover in. De FBI heeft Dimitry toen gearresteerd en in de gevangenis gestopt, waar hij 5 maanden in voorarrest heeft gezeten, wachtend op z n proces. Hij mocht uiteindelijk in December 2001 van de Department of Justice (DoJ) naar huis, maar de DoJ is nog steeds bezig met een proces tegen z n werkgever, Elcomsoft. Dimitry heeft nooit een auteursrecht geschonden door het kopieëren van e-books, maar heeft alleen een programma geschreven dat mischien ooit door mensen die hij niet zou kennen, gebruikt zou worden om de auteurswet te schenden. Dimitry s programma is vooral populair onder de blinden, die met behulp van zijn programma de gedecodeerde texten in een text-to-speech programma kunnen doen, zodat het boek hun voorgelezen wordt. En het programma van Dimitry was zo dat je alleen het kon decoderen als men het al kon lezen met een geauthorizeerde e-book reader (en er dus recht op had). Onlangs (5 December, 2002), is er in de rechtzaak van Elcomsoft tegen Adobe (die sinds een paar weken weer op gang was) uitgekomen dat Adobe op het web geen enkel ebook heeft kunnen vinden dat met de tool van Elcomsoft gekraakt was. Een engineer bij Adobe vertelde dat, na uitgebreid zoeken, hij geen enkel e-book had kunnen vinden dat met de Advanced e-book Processor gekraakt was. Meer hierover te vinden op: Sinds het geval van Dimitry zijn er al verschillende onderzoekers in encryptie, zoals

14 1.3 Gevallen van Misbruik 5 landgenoot Niels Ferguson, die hun resultaten niet publiceren of ander onderzoek zijn gaan doen Niels Ferguson en Intel Intel had een encryptie systeem bedacht voor video streams, het zogenaamde HDCP, High bandwidth Digital Content Protection. Niels Ferguson had een groot zwakke plek in dit encryptie schema gevonden, maar na Dimitry heeft Niels alle referenties naar, en publicaties van zijn onderzoek van zijn website gehaald. Hij gaf als reden dat hij ook regelmatig naar de Verenigde Staten ging en bang was gearresteerd te worden FatWallet en WalMart De site FatWallet is een site voor consumenten door consumenten, waar mensen de prijslijsten van de dag van winkels, winkeltips, kritiek over winkels, en dergelijke kan plaatsen. Enkele dagen voor Black Friday (de dag na Thanksgiving), werd er anoniem de prijslijsten van een aantal warenhuizen op de site geplaatst. Dit nog voordat de warenhuizen zelf hun lijsten hadden gepubliceerd. Het was dus kennelijk een probleem van een employee die de informatie uitlekte. Wallmart, een grote supermarkt keten in de VS, en verschillende andere warenhuizen vonden dit niet leuk en hebben de DMCA gebruikt om FatWallet hiermee te laten stoppen. Hun argument was dat op hun prijzen een auteursrecht rustte, en dat FatWallet in overtreding was van de auteurswet. Prijzen van goederen zijn feiten, niet IE, en het gebruik van de DMCA is eigenlijk niet van toepassing. Maar sites zoals FatWallet hebben geen geld om dit in het gerechtshof uit te vechten, en halen dan maar de lijsten van hun site. De DMCA is in dit geval gemakkelijkste wetstelsel om te gebruiken. Als de DMCA er niet was zou er een andere wet gebruikt zijn om de websites te onderdrukken. Dit gebeurt in de VS steeds meer de laatste tijd. Een groot bedrijf klaagt een kleine aan, ook al is het kleine bedrijf in de meeste gevallen duidelijk niet schuldig, maar omdat het grote bedrijf meer geld heeft dan het kleine, moet het kleine bedrijf wel meewerken. He who has the most money, wins MP3 maken Een gevolg van de DMCA zou kunnen zijn dat je binnenkort niet meer CDs die je gekocht hebt naar MP3 (of ander formaat) kan rippen en op CD branden, of naar je draagbare MP3 speler uploaden. Als een CD dan beveiligd is, en je gebruikt een programma wat die beveiliging omzeilt, ben je onrechtmatig bezig, volgens de DMCA. Het maken van persoonlijke kopieën voor eigen gebruik was altijd toegestaan onder de auteurswet, maar bedrijven kunnen nu, door het op de markt brengen van CDs met kopieerbeveiliging, dit verhinderen. De programmas die deze CDs repareren zijn onrechtmatig onder DMCA, en de bedrijven kunnen de auteurs hiervan nu vervolgen.

15 6 DMCA Er zijn nu al beveiligde CDs op de markt. Platen maatschapijen zoals Sony en Universal hebben al meerdere CDs hier in Nederland uitgebracht. Deze hebben een Table of Contents (TOC) die met opzet corrupt is, en door computer CD-ROM spelers als onleesbaar gezien worden (of, in het geval van de imac, er ook nog helemaal niet meer uit te krijgen zijn). Normale CD spelers die alleen audio CDs kunnen lezen kijken niet naar de TOC en zullen de CD wel afspelen. Nu had iemand ondekt dat door een bepaald spoor op de CD met een zwarte stift te markeren, de CD weer leesbaar zou worden voor CD-ROM spelers. Volgens de DMCA zou de stift dus eigenlijk een circumvention device zijn en dusdanig verboden. Maar, gelukkig voor Staedler en andere fabrikanten, moet het wel primair voor omzeilings doeleinden gemaakt zijn, zoals is beschreven in de DMCA (zie sectie 1.1) DVDs kijken zonder MS Windows: DeCSS Op 3 februari 2000 besliste een Amerikaanse rechter in New York, Judge Kaplan, dat de decryptie software DeCSS beveiliging op DVDs omzeilt en dus strijdig is met de DMCA. Het was niet de bedoeling van de programmeur van DeCSS om onrechtmatig kopieën te gaan maken van DVDs, maar hij wilde slechts zijn DVD collectie ook op zijn computer onder Linux kunnen bekijken. Hij had de DeCSS code verkregen door reverse engineering toe te passen op een stuk bestaande software. Reverse engineering is toegestaan onder de autersrechtwet. Helaas maakte dit niet uit voor de rechtzaak. De rechter deed de uitspraak dat het in het vervolg onrechtmatig is om de DeCSS software te verspreiden. Niet dat dit veel geholpen heeft, want er zijn steeds meer sites met DeCSS software en ook intussen spelers onder Linux die DVDs kunnen afspelen. Over DeCSS is een nog een ander hoofdstuk in het boek gewijd, zie hoofdstuk Verdere gevallen Er zijn nog meer gevallen van wetenschappers en onderzoekers die hun resultaten niet publiceren, omdat ze bang zijn te worden vervolgd door bedrijven die de DMCA gebruiken om hun slecht uitgedachte producten te beschermen. Zo zijn er ook onderzoekers die niet meer naar conferenties in de Verenigde Staten gaan. Zo worden een aantal conferenties niet meer in de VS gehouden. Ze zijn verhuisd naar andere landen, waar de onderzoekers in ieder geval niet vervolgd kunnen worden door de FBI. Een meer uitgebreide lijst van gevallen waarin de DMCA misbruikt is kan worden gevonden bij de Electronic Frontier Foundation, die een white paper hebben geschreven Unintended Consequences: Three Years Under the DMCA. Te vinden op hun website: En het trefwoord DMCA intypen in Google levert natuurlijk ook veel informatie op.

16 1.4 In Europa: de EUCD In Europa: de EUCD In Europa hebben we de European Union Copyright Directive (EUCD). Dit is een aantal richtlijnen die door de EU zijn opgezet, volgens een mandaat van de door de VS gedomineerde WIPO, oftewel de World Intellectual Property Organization. De individuele EU lidstaten zijn verplicht binnen een bepaald termijn deze richtlijnen te gebruiken om in eigen land de wetgeving aan te passen, dan wel nieuwe wetten in te voeren. De overheden hebben tot 22 December 2002 de tijd. Een goed overzicht van de huidige implementatiestatus is te vinden op: Status van de EUCD in Nederland In Nederland bestaat de EUCD nu als concept wetsvoorstel, het wetsvoorstel Uitvoering Richtlijn Auteursrecht (Kamerstuk ). Op de website van het Ministerie van Justie is een dossier te vinden over de huidige status van de auteursrecht wetsvoorstel: Op het moment ligt het wetsvoorstel bij de Tweede Kamer. Die moet uiteindelijk nog beslissen over de implementatie. Voor meer informatie, zie: Problemen met de Uitvoering Richtlijn Auteursrecht De Uitvoering Richtlijn Auteursrecht heeft, net zoals de DMCA, een artikel die gaat over technologische beveiligingen en het eventuele omzeilen daarvan. Dit artikel (Artikel 6) houdt niet veel anders in dan de DMCA, en vormt dus ook een zelfde gevaar voor gebruiksrechten en wetenschappelijk onderzoek naar beveiliging. Het bedrijfsleven, consumenten en academici hebben in november 2001 kans gehad om in een forum te reageren op het wetsvoorstel. Hierop hebben verschillende instanties gereageerd, waaronder BUMA/STEMRA, het Nederlands Uitgeversverbond, de Nederlandse Vereniging voor de Rechtspraak, de NLIP (Branchevereniging van Nederlandse Internetproviders), de Stichting Auteursrechtbelangen en de Orde van Advocaten, om er maar een paar te noemen. De complete lijst is te vinden op: auteursrecht/integrale_reacties/integrale_reacties.asp De reacties van deze partijen hebben er uiteindelijk niet toe geleid dat het betreffend artikel zodanig werd aangepast dat de Uitvoering Richtlijn Auteursrecht geen gevaar meer is voor de gebruiksrecht en wetenschappelijk onderzoek naar beveiliging. Eenendertig deskundigen op het gebied van technologie en auteursrecht hebben op 9 oktober 2002 een open brief gestuurd aan de leden van de vaste Kamercommissie Justitie en de ICT-woordvoerders van de fracties. Hierin zetten zij hun bezwaren uiteen tegen het huidige wetsvoorstel. Ze geven ook een oplossing aan, namelijk een verandering in het wetsvoorstel die er zou toe moeten leiden, dat er in ieder geval geen ambiguiteiten meer mogelijk zijn in interpretatie van de wet. Ze vragen aan de Kamercommissie en ICT-woordvoerders om:

17 8 DMCA garanties te scheppen dat werken in het publieke domein openlijk en vrijelijk toegankelijk zullen blijven en een expliciete vrijwaring te creëren in het wetsvoorstel van consumentenen onderzoeksrechten, conform overweging 48 van de Richtlijn: Een dergelijke rechtsbescherming moet in overeenstemming zijn met het evenredigheidsbeginsel en mag niet leiden tot een verbod van inrichtingen of activiteiten die een ander commercieel doel of nut hebben dan het omzeilen van de technische beveiliging. Deze bescherming mag met name het onderzoek op het gebied van de cryptografie niet hinderen. (cursivering van ondergetekenden). Deze brief is te vinden op: We moeten maar zien of dit effect heeft gehad als de wet in werking treed op 22 december Het kan nog erger, zoals we in het volgende onderdeel zien. 1.5 Kwaad en erger: CBDTPA De CBDTPA, de Consumer Broadband and Digital Television Promotion Act (was bekend als de SSSCA: Security Systems Standards and Certification Act), doet nog een schepje bovenop de DMCA. De CBDTPA is een voorgestelde wet in de VS, die makers van hardware en software verplicht om er voor te zorgen dat er in elk consumer electronics device kopieer beveiliging zit (DRM). Dit voorstel is door de Walt Disney Corporation geschreven en door verder lobbyen van hun in de Senaat als voorstel gekomen. Op deze manier zou het onwettig worden om electronica te verkopen die geen kopieerbeveiliging had. Verder zou het ook onrechtmatig zijn om materiaal waar auteursrecht op zit te distribueren zonder adequate beveiliging. Alle hardware bedrijven in de VS zouden dan DRM moeten implementeren in hun apparaten, en buitenlandse bedrijven die geen DRM in hun apparatuur hebben zouden niet hun spullen mogen verkopen in de VS. Gevolgen? Men wordt dus verplicht om DRM software en hardware (zeg maar policeware ) te hebben op elk electronisch apparaat wat inhoud met auteursrecht zou kunnen bevatten. Het onrechtmatig maken om dit te verwijderen. Alternatieve operating systemen zijn dan ook onrechtmatig, omdat deze de policeware niet zouden hebben of willen hebben. Installeren van bijvoorbeeld Linux of FreeBSD zou je dus in de gevangenis kunnen belanden. De wet is nog niet ingevoerd door Congres, omdat het nog door Senator Patrick Leahy is geblokkeerd. De wet kan alleen nog wel ter discussie komen volgend jaar. Er zijn ook nog andere senatoren die met vergelijkbare wetsvoorstellen bezig zijn. Zie een artikel in Wired Online:

18 1.6 Conclusie Conclusie De DMCA en EUCD zijn niet duidelijk waar de wetten en richtlijnen die zij aangeven wel en niet van toepassing zijn. Er zouden veranderingen en duidelijkheid in het woordgebruik van de wetten moeten komen, zodat de consumenten dezelfde rechten blijft houden en het wetenschappelijk onderzoek naar cryptografie en beveiligingsmethodes gewoon mag doorgaan.

19 10 DMCA

20 Hoofdstuk 2 An.on Door Roman Kakisina An.on staat voor anonimitat online. Het is een project dat in 2001 is opgezet door het Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein, de TU Dresden en de FU Berlin en duurt tot en met het jaar Het wil een bijdrage leveren aan de huidige protocollen en infrastructuur ten behoeve van de anonimiteit en onwaarneembaarheid op het internet. Het doel van het project is dan ook een anonimiteit en onwaarneembaarheid te bewerkstelligen voor elke gebruiker van het internet. Dit heeft geleid tot de ontwikkeling van een tool, JAP, welke kosteloos gedownload kan worden van de website Om Jap en de ideeën erachter beter in kaart te brengen zullen allereerst een aantal zaken aan de orde komen die de basis hebben gevormd van de uiteindelijke tool. In volgende sectie zullen een aantal eenvoudige mogelijkheden, welke de anonimiteit zou verhogen, uiteen worden gezet. En wat voor rol deze hebben gespeeld in jap, wordt in de daarop volgende sectie verduidelijkt. 2.1 Inleiding Waarom, Wie en Wat? Waarom is anonimiteit op internet zo belangrijk? Allereerst omdat het een van onze grondrechten is. De grondwet gebiedt, volgens de bescherming van persoonlijke gegevens, dat deze gegevens slechts dan voor anderen bekend mogen worden, mits de betreffende persoon daarmee instemt. Bovendien is het zeer begrijpelijk dat mensen die hulp of advies zoeken op het internet niet willen dat iedereen weet van hun problemen. Gebruikersgegevens worden ook voor bedrijven en instanties interessanter. Zij gebruiken deze om zogenaamde profielen samen te stellen om ze vervolgens te belasten met spam, een van de grootste ergenissen van het internet. 11

21 12 An.on 3. Dezember 2002 Kader 2.1: Niet iedereen is even enthousiast. P R E S S E M I T T E I L U N G Autoritäre Staaten behindern AN.ON Deutsche Firmen und Organisationen mit ausländischen Dependancen nutzen für ihre Internetrecherchen offenbar zunehmend das im AN.ON-Projekt entwickelte Anonymitätstool JAP. Mit diesem Tool ist es möglich, auch aus Ländern mit beschränktem Internetzugriff freien Informationszugang zu erlangen. Unterdessen wurde bereits vereinzelt der Zugriff auf die Anonymitätsserver aus solchen Ländern, die über keine demokratische Staatsform verfügen, unterbunden. Darauf hat nunmehr das Projekt AN.ON seinerseits reagiert. In einigen Fällen konnte inzwischen eine Lösung gefunden werden, um die Sperrung des Zugriffs auf die Anonymitätsserver zu umgehen. Die Behinderung von AN.ON durch undemokratische Staaten werfe natürlich die Frage auf, ob die Anonymisierung der Anonymisierung möglich ist, meint Dr. Hannes Federrath, Leiter der JAP-Entwicklung an der FU Berlin und TU Dresden. Der Leiter des Unabhängigen Landeszentrums für Datenschutz, Dr. Helmut Bäumler, erklärte, der Vorgang zeige zweierlei: Fortschrittliche Datenschutztechnologien sind nicht nur für den Schutz der Privatsphäre der Bürgerinnen und Bürger notwendig, sondern auch für die Wirtschaft von zunehmender Bedeutung. Zum anderen ist bezeichnend, dass der Anonymisierungsdienst AN.ON vornehmlich undemokratischen Staaten ein Dorn im Auge ist. Sie fürchten die Autonomie der Internetnutzer und sehen ihre Chancen schwinden, diese auf Schritt und Tritt zu überwachen. Een groot deel van de mensen denkt al te beschikken over anonimiteit op internet. Alles wat zij doen achter hun computer zijn toch zaken waar niemand anders weet van heeft. Niets is minder waar. Door de activiteiten op het net, hetzij het bezoeken van een website, hetzij het versturen van een , wordt er door elke gebruiker een digitaal spoor achtergelaten, waaruit veel van die activiteiten te achterhalen is. Informatie waarover instanties als de politie en geheime diensten maar al te graag willen beschikken, maar voor anderen, bijvoorbeeld je Internet Service Provider (ISP) meer een last is. Iedereen zou in principe dit digitale spoor kunnen waarnemen, mits zij toegang hebben tot het net. Dit geldt voor zowel interne waarnemers, mensen van ISP, netwerkbeheerders en andere gebruikers die lokaal op hetzelfde netwerk zitten, als voor de externe waarnemers. Deze laatste moet weliswaar meer moeite doen, maar kunnen toch nog betrekkelijk makkelijk aan de gegevens komen. Wat kan dan precies waargenomen worden? Alle gegevens op het internet worden verzonden in kleine datapakketten. Al deze pakketten bevatten een adres en geadresseerde,

22 2.2 Proxies & Mixen 13 welke gerepresenteerd worden door een uniek nummer, het zogenaamde IP-adres. Bij elke sessie op het internet krijgt elke gebruiker een dergelijk nummer toegewezen. Wanneer er gebruik wordt gemaakt van een inbelverbinding wordt het IP-adres verbonden met je telefoonaansluiting. Waarnemers hoeven slechts toegang te hebben tot die toewijzing en de datapakktetten om zo profielen te kunnen creëren Cookies Een ander aspect welke anonimiteit op het net beperkt, zijn zogenaamde cookies. Deze geven bezoekers van een bepaalde website een uniek kenmerk die bij elk bezoek van de webserver wordt overhandigd. Om de anonimiteit te verhogen zullen gebruikers cookies en javascript moeten uitschakelen. Het nadeel daarvan is dat veel websites dan niet meer toegankelijk zijn, omdat velen gebruik maken van die gegevens om instellingen aan te passen om zodoende de site voor de bestemde browser te optimaliseren. Om toch de cookies op een of andere manier uit te schakelen zijn er al vele tools beschikbaar die kosteloos zijn te downloaden. Deze zorgen ervoor dat cookies eenmaal worden aangenomen, maar na elke sessie weer worden verwijderd. De tool cookiecooker gaat daarin nog een stap verder. Deze gooit de cookies niet weg, maar mengt ze over een netwerk van cookie-servers met cookies van andere gebruikers, met als gevolg dat de betreffende webservers verward raken en niet in staat zullen zijn correcte profielen samen te stellen Anonimiteit & Onwaarneembaarheid De gedachte dat absolute anonimiteit als enkeling niet te bereiken is, vormt de basis van het project. Wanneer deze enkeling echter lid is van een groep, waarvan de overige leden hetzelfde gedrag vertonen, is het voor een waarnemer moeilijker te constateren welk lid welke website aanvraagt, omdat er nu onderscheid gemaakt moet worden gemaakt tussen een groter aantal gebruikers waarvan de verschillen minimaal zijn. Onwaarneembaarheid gaat nog een stapje verder. Deze houdt in dat een waarnemer überhaupt niet kan bepalen of een gebruiker op een bepaald tijdstip actief is of niet. Zogenaamde dummy-traffic speelt hierbij een cruciale rol. Dummy-traffic is verkeer dat wordt gegenereerd wanneer een gebruiker niet actief is, waardoor die gebruiker op elk willekeurig moment dataverkeer heeft en het voor een waarnemer ten alle tijde de schijn heeft dat die gebruiker actief is. 2.2 Proxies & Mixen Proxies Om anonimiteit te bereiken, dat wil zeggen voor de webserver onbekend te blijven, dienen aanvragen niet direct gericht te worden tot de webserver, maar moet dat gebeuren via een omweg. Hiervoor zijn de anon-proxies geïntroduceerd. Dit zijn als het ware

23 14 An.on vervangers van de browser. De gebruiker vraagt nu niet de browser maar de proxies om een bepaalde website, waarna de proxie namens die gebruiker de betreffende webserver vraagt om de website en het antwoord vervolgens laadt in de browser. Op deze manier kan anonimiteit jegens de webserver worden bereikt en zelfs jegens je ISP, mits versleuteling is toegepast. Echter voor de proxie is nog steeds bekend welke aanvraag bij welke gebruiker en webserver hoort. Bij het gebruik van proxies is het zaak meer dan een proxie te gebruiken om je aanvraag te behandelen. Zou er tot een bepaald moment slechts 1 proxie gebruikt worden dan is het voor een waarnemer goed mogelijk te achterhalen welk aanvraag bij welk IP-adres hoort. Een ander nadeel van proxies is het feit dat weinig bescherming biedt tegenover externe waarnemers, die alle verbindingen in de gaten houden (Big Brother). Deze kunnen zeer nauwkeurig nagaan op welk tijdstip een aanvraag de proxie is ingegaan. Zelfs versleuteling zou hiertegen geen bescherming bieden, omdat na lange observatie alsnog het verband te leggen is tussen IP-adres en aanvraag vanwege de korrelatie wat betreft tijd tussen die twee Mix-Netwerk Een mix-netwerk bestaat uit een aantal computers, de mixen, die over het internet met elkaar vebonden zijn. Het concept van de mix is ontwikkeld door David Chaum in 1981 voor de anonieme verzending van . Met een aantal aanpassingen, die niet verder besproken zullen worden, is het concept goed toe te passen op het anoniem surfen. In tegenstelling tot een aaneensluiting van proxies, bieden mixen ook bescherming tegen waarnemers van alle verbindingen. In een mix worden aanvragen namelijk veranderd en opnieuw verstuurd. Zowel de ingaande als de uitgaande datapakketten hebben gelijke grootte, opdat grootte geen criterium zou kunnen zijn om verbanden te leggen tussen ingaande en uitgaande pakketten van een mix om op die manier relaties tussen IP-adressen en webservers te kunnen vinden. Ook zal een mix niet direct alle verwerkte data doorsturen. Nadat een pakketje is verwerkt/veranderd, wordt eerst gewacht totdat er een bepaald aantal pakketten verstuurd kan worden. De volgorde van de pakketten wordt gemixt en vervolgens worden ze tegelijkertijd verzonden naar de volgende mix of webserver. Hierdoor kunnen waarnemers, zelfs als ze alle verbindingen in de gaten houden, niet vaststellen welke gebruiker welke aanvraag heeft gedaan. Het aanvragen van een website is te vergelijken met het anoniem versturen van een brief via meerdere postkantoren. De afzender stuurt het eerste postkantoor de aanvraag die meerdere malen is beveiligd met behulp van enveloppen. Het postkantoor opent de envelop, waarin opnieuw een envelop zit met het adres van het tweede postkantoor. Deze opent vervolgens die envelop en stuurt de envelop die daar weer in zit naar de volgende etc. De brief is de aanvraag, de postkantoren de verschillende mixen en het uiteindelijke

24 2.3 Java Anon Proxie (JAP) 15 Kader 2.2: Java Anon Proxie adres de website. Het is belangrijk dat de afzender zijn brief dusdanig beveiligd dat de brieven slechts in de juiste volgorde van postkantoren open te maken zijn. Hiervoor dient de afzender zijn beveiliging te beginnen met de laatste in de volgorde, opdat alleen deze in staat zal zijn het resultaat te lezen. Vervolgens dient hij deze weer te beveiligen tegen de voor laatste van de volgorde etc. (In de volgende sectie zal uitgebreider worden ingegaan op deze procedures). Bij het gebruik van de mixen is het noodzakelijk dat er meer dan één gebruikt wordt. Wanneer er slechts één gebruikt wordt, zou dat ten koste van de anonimiteit gaan, omdat de betreffende mix kennis heeft van zowel de aanvraag als van wie deze afkomstig is. Het uiteindelijk aantal mixen, waarover een gebruiker zijn aanvragen gemixt wil hebben is afhankelijk van het vertrouwen van de gebruiker in de mixen. Er hoeft er maar een betrouwbaar te zijn, om anonimiteit te bewerkstelligen. Hierdoor zijn de keuzes van mixen dan ook zeer belangrijk Deze dienen zorgvuldig uitgekozen te worden. Want wanneer al de mixen met elkaar samenwerken is het mogelijk van de gebruikers te achterhalen welke websites door welke gebruiker is aangevraagd. Hierbij wordt gedacht aan instellingen en instanties bij welke discretie sowieso bevorderd wordt, zoals kerkelijk organisaties of banken. 2.3 Java Anon Proxie (JAP) De Java Anon Proxie is opgebouwd uit 3 componenten, de infoservice, mix-kaskaden en jap. Zie kader 2.2.

25 16 An.on Infoservice Dit is een databank welke informatie bijhoudt van de actuele mix-kaskaden. Deze gegevens kunnen door een gebruiker worden opgevraagd om vervolgens de mate van anonimiteit van die gebruiker te bepalen Mix-Kaskaden Het is nu wel duidelijk dat er meer dan 1 mix gebruikt moet worden. Nu was de vraag hoe dit te implementeren, waarbij gekozen moest worden uit 2 mogelijkheden. De eerste was de gebruiker de mogelijkheid te geven zelf een volgorde van mixen samen te stellen. Dit is de meest gebruikersvriendelijke keuze, maar zou wel ten koste gaan van de anonimiteit. Zou iedereen zijn of haar eigen volgorde mogen kiezen, is de kans groter dat er heel veel verschillende routes zijn. Het zou dan voor een waarnemer makkelijker zijn om gebruikers te onderscheiden, dat wil zeggen dat de anonimiteit gevaar loopt. Uiteindelijk is er gekozen voor zogenaamde mix-kaskaden. Dit zijn niets anders dan vaste volgordes van mixen. Een mix behoort tot hoogstens 1 mix-kaskade en een mix-kaskade bestaat uit minstens 2 mixen. Een gebruiker kan uiteindelijk wel uit verschillende mix-kaskaden kiezen Jap De Jap is een programma dat elke gebruiker op zijn computer dient te installeren. Bij de installatie ervan wordt eerst verbinding gezocht met de infoservice, welke bepaalt of de laatste update is gebruikt. Vervolgens zal de gebruiker moeten kiezen over welke mix-kaskaden deze wil dat de aanvragen worden verstuurd. Dit programma versleutelt de aanvraag van de gebruiker en stuurt ze vervolgens naar de eerste mix-kaskade. Uiteindelijk zal de Jap het verkregen versleutelde antwoord van die kaskade terugkrijgen en die inladen in de browser Versleuteling Jap maakt gebruik van zowel symmetrische als asymmetrische versleuteling. Voor de symmetrische versleuteling wordt AES gebruikt met een sleutellengte van 128 bits. En voor Assymetrische versleuteling wordt er gebruikt gemaakt van RSA met een sleutellengte van 1024 bits. Het programma Jap weet de volgorde van mixen, mix 1... mix a, die door een gebruiker is gekozen. De versleutelingsprocedure voor de aanvraag gebeurt in a stappen, met a het aantal gebruikte mixen. Het bericht, de aanvraag, wordt met behulp van de 128bits sleutel met AES versleuteld. Dit gebeurt symmetrisch vanwege effici entie redenen. Bij het gebruik van RSA is het noodzakelijk dat elke gebruiker ervan, in dit geval de verschillende mixen, beschikt over een geheime sleutel en een publieke sleutel. Met deze publieke sleutels zullen de symmetrische sleutels versleuteld worden.

26 2.3 Java Anon Proxie (JAP) 17 Kader 2.3: Versleuteling in Jap Mixvolgorde mix 1... mix a Publieke sleutels p n van mix n met n=1... a Geheime sleutels g n van mix n met n=1... a Symmetrische sleutel k 1 Encryptie van x1 Stap 1: E k1 (x 1 )=x 2, E pa (k 1 )=k 2 Stap 2: E k2 (x 2 )=x 3, E pa 1 (k 2 )=k 3... Stap a: E ka (x a )=x a+1, E p1 (k a )=k a+1 Decryptie van x a+1, k a+1 Mix 1: D g1 (k a+1 )=k a, D ka (x a+1 )=x a Mix 2: D g2 (k a )=k a 1, D ka 1 (x a )=x a 1... Mix a: D ga (k 2 )=k 1, D k1 (x 2 )=x 1 In stap 1 wordt aanvraag x symmetrisch versleuteld met een door Jap gekozen sleutel k 1. Vervolgens wordt deze sleutel versleuteld met de publieke sleutel mix a. Het resultaat hiervan, k 2, dient als symmetrische sleutel in de volgende stap. In stap 2 wordt de inmiddels versleutelde aanvraag x nogmaals versleuteld met de symmetrische sleutel, k 2, verkregen door de versleuteling van de symmetrische sleutel gekozen door Jap. Vervolgens wordt k 2 weer versleuteld met de publieke sleutel van mix a 1. Dit gaat zo door tot in stap a ook de publieke sleutel van de eerste mix is gebruikt om de symmetrische sleutels te encrypten. Het uiteindelijke resultaat daarvan zal naar de eerste mix worden verstuurd. Het nut van deze versleutelingen is dat het bericht en de oorspronkelijk symmetische sleutel dusdanig zijn ge encrypt dat het resultaat slechts te achterhalen is wanneer de bovenstaande procedure in de omgekeerde volgorde, dus de volgorde van mixen die de gebruiker heeft gekozen, weer wordt gedecrypt. Dit is slechts mogelijk met behulp van de geheime sleutels van alle gebruikte mixen. Hierdoor is het zo dat de eerste mix alleen kennis heeft van wie de aanvraag afkomstig is, maar weet niet voor welke webserver. En de laatste mix weet slechts voor welke webserver de aanvraag geldt, maar niet van wie deze afkomstig is. Op de terugweg kan dankbaar gebruik worden gemaakt van het feit dat alle mixen nog beschikken over een symmetrische sleutel. Het antwoord van de webserver wordt allereerst verzonden naar de laatste mix (mix a ). Deze versleutelt het antwoord met zijn symmetrische sleutel en stuurt het door naar mix a 1. Deze doet hetzelfde met zijn symmetrische sleutel en stuurt het op zijn beurt weer door naar de vorige mix. Totdat uiteindelijk de eerste mix het versleutelde antwoord naar Jap terugstuurt. Deze heeft als enige (mix a uitgezonderd) kennis van alle symmetrische sleutels, waardoor deze het

27 18 An.on antwoord kan ontsleutelen en de opgevraagde site kan laden in de browser Zwakheden Doel van het project was een anonimiseringsdienst te ontwikkelingen, welke bestand zou zij tegen een zeer sterke aanvaller/waarnemer. Het huidige systeem heeft echter 2 grote zwakheden: Een mix mag niet door een aanvaller gecontroleerd worden en niet samenwerken met een mix. Een aanvaller mag niet alle gebruikers controleren. Op dit moment is het systeem nog in ontwikkeling en zijn er nog een tal van mogelijke aanvallen denkbaar. Het systeem is nog niet dusdanig sterk dat het aanvallen van een zeer sterke aanvaller kan afslaan. Dit komt deels doordat veel van de mixfunctionaliteiten nog niet volledig zijn geïmplenteerd. Ook kan zogenaamde dummy-traffic nog niet geïmplenteerd worden. Dit vanwege efficientie-overwegingen. Alle gebruikers beschikken over zeer snelle verbindingen en om dummy-traffic te kunnen realiseren zonder in te moeten leveren op de kwaliteit van de dienst zullen de mixen een veelvoud van het huidige dataverkeer moeten kunnen verwerken. Ook filtert Jap nog geen cookies. Om werkelijk anoniem te kunnen surfen zal de gebruiker: de aanname van cookies uitschakelen, cookies regelmatig verwijderen of een tool downloaden die ze verwijdert 2.4 Samenvatting en conclusie Anonimiteit en onwaarneembaarheid op internet is zeer moeilijk te realiseren. Inmiddels zijn er al verschillende anonymizers te dowloaden. Dit zijn tools die het een gebruiker mogelijk moet maken, anoniem over het internet te surfen. Zij hebben hun model echter gebasseerd op de aanname van een betrekkelijk zwakke aanvaller, omdat een sterke niet realistisch zou zijn op internet. In 95% van de observaties zullen zij wel gelijk hebben, maar om die overige 5% uit te sluiten is het zaak uit te gaan van een zo sterk mogelijke aanvaller. Stel bijvoorbeeld dat een encryptietool 99 van de 100 berichten goed versleuteld, maar de 100ste als klare tekst verstuurt. Dan zou deze tool toch niet te bruikbaar zijn. Er zijn echter situaties/aanvallen denkbaar, waarvoor er nog geen betrouwbaar systeem denkbaar is, maar waar de onder andere de ontwikkelaars van Jap de mogelijkheden nog aan het onderzoeken zijn.

28 2.4 Samenvatting en conclusie 19 Inmiddels maken duizenden gebruikers gebruik van Jap. Dit houdt in dat de huidige mix-servers een enorme verkeerslast moeten dragen. Uiteindelijk kunnen de betrokken instanties deze kosten niet alleen dragen. Men is dan ook bezig oplossingen te vinden voor dit probleem. Zo wordt er gedacht de anonimiseringsdienst niet meer kosteloos aan te bieden. Een andere mogelijkheid zou zijn de Jap-diensten door de verschillende staten te laten financieren. Ook de (technische) mogelijkheden hiervoor worden nader onderzocht. Voor verdere informatie verwijs ik u naar de volgende sites: hf2/anon/index.html

29 20 An.on

30 Hoofdstuk 3 The Free Network Project Door Pieter Poorthuis I worry about my child and the Internet all the time, even though she s too young to have logged on yet. Here s what I worry about: I worry that 10 or 15 years from now, she will come to me and say: Daddy, where were you when they took freedom of the press away from the Internet? Mike Godwin 3.1 Wat is Freenet Freenet is an adaptive peer-to-peer network application that permits the publication, replication, and retrieval of data while protecting the anonymity of both authors and readers. Heiko Jehmlich Freenet is een groot peer-to-peer netwerk zonder centraal (administratie)systeem, waarbij de opslag- en netwerkcapaciteit van alle computers gebundeld wordt om allerlei informatie gratis en anoniem te verspreiden. Freenet bereikt dit door de volgende eigenschappen: 1. Freenet is robuust, doordat het geen centraal (administratie)punt heeft. Er is dus geen centraal punt dat kan uitvallen. Informatie wordt altijd versleuteld opgeslagen, en verspreidt zich zeer snel over het hele netwerk. Hierdoor is het voor aanvallers vrijwel onmogelijk om een denial-of-service aanval op bepaalde informatie uit te voeren. 2. Freenet is prive, doordat het zeer moeilijk is om te erachter te komen welke informatie door wie wordt opgevraagd. De informatiestroom verloopt vrijwel altijd via meerdere nodes, zonder dat een node weet wat het begin- of het eindstation is. 21