SCHUTZ DER KOMMUNIKATIONSBEZIEHUNG IN MOBILKOMMUNIKATIONSSYSTEMEN

Protection of the Communication Relation in Mobile Communication Systems

Kennwort: SchuKMo
Zeitraum: 11/97 - 10/00

gefördert im Schwerpunktprogramm "Mobilkommunikation"

Kurzbeschreibung des Projektes

Aufbauend auf bisherige Erkenntnisse über Gestaltungsprinzipien datenschutzgerechter Mobilkommunikationssysteme soll die Erfüllung der Datenschutzforderungen tiefer untersucht werden. Schwerpunkt ist dabei der Schutz der Kommunikationsbeziehung. Mixe sind eine Möglichkeit der Realisierung. Die Anwendung von Mixen in der Mobilkommunikation ist zu untersuchen. Eine Systematisierung der verschiedenen Verfahren ist erforderlich. Hierbei ist zu klären, wie Anonymität mit welchem Verfahren erreicht werden kann und wie effizient die jeweiligen Verfahren arbeiten. Verbesserte Verfahren sollen ggf. erarbeitet und deren Realisierung in speziellen Systemen betrachtet werden.

Weiterhin sind Probleme der Abrechnung in Mobilkommunikationssystemen zu bearbeiten, die durch die Forderungen nach mehrseitiger Sicherheit und Anonymität entstehen. Es ist zu untersuchen, ob und wie in datenschutzgerechten Mobilkommunikationssystemen sichere Abrechnung erfolgen kann.

Projektverantwortliche

• Prof. Dr. Andreas Pfitzmann
• Dipl.-Inform. Anja Jerichow (bis 10/1999)
• Dipl.-Inform. Oliver Berthold (seit 01/2000)
• Dipl.-Inform. Elke Franz
• Dipl.-Inform. Andreas Graubner (als Diplomand)

Nachfolger des Projektes:

TECHNISCHER DATENSCHUTZ IN KÜNFTIGEN MOBILKOMMUNIKATIONSSYSTEMEN (TechDatMobiKomm)
Technical Data Protection and Security in Future Mobile Communication Systems

Ziele unserer Forschung im Schwerpunktprogramm

Das große Ziel dieses Vorhabens (für 3 Jahre) ist die Weiterentwicklung grundlegender Mix-Konzepte und deren Einsatz in Mobilkommunikationssystemen zum Schutz der Kommunikationsbeziehung. Ein Vergleich möglicher Realisierungen schließt sich an. Es erfolgt eine Untersuchung zur Abrechnung von Dienstleistungen in den vorgeschlagenen Datenschutz gewährenden Systemen sowie eine gesonderte Betrachtung zur Abrechnung von Datenschutz-Dienstleistungen, insbesondere des Dienstes Mix-Nutzung. Im einzelnen kann die Arbeit in folgende spezielle Ziele unterteilt werden:

• Ziel 1 Die Systematisierung von in bisherigen Verfahren verwendeten Begriffen wie synchron / asynchron, verbindungslos / -orientiert erweist sich für die nähere Untersuchung des praktischen Einsatzes von Mixen als notwendig. Den Begriffen werden teilweise verschiedene Bedeutungen zugeordnet. Speziell die Kombination Datenschutz und Mobilkommunikation erfordert die Klärung der Zusammenhänge zwischen den oben genannten Begriffen und Begriffen wie Anonymität, Angreifermodelle usw. Begriffsbildungen bzw. Definitionen sind notwendig. Eine Ordnung soll geschaffen werden. Kriterien für Leistungsbewertungen sind zu bestimmen.
• Ziel 2 In der Literatur wurden verschiedene Verfahren beschrieben, welche den Einsatz von Mixen für den Schutz der Kommunikationsbeziehung vorschlagen. Eine Systematisierung dieser Verfahren soll erfolgen. Bisher noch nicht betrachtete Varianten sind entsprechend der oben definierten Ordnung aufzuzeigen. Es ist zu analysieren, welche weiteren Ansätze sinnvoll erscheinen und weiter untersucht werden sollen. Für aufgezeigte Lücken ist nach Lösungen zu suchen.
• Ziel 3 Viele datenschutzgerechte Verfahren gehen vom Einsatz der Mixe in einer Kaskade, also einer fest vorgegebenen Reihenfolge, aus. Diese Form der Mixe ist bzgl. Leistung und Realisierung näher zu untersuchen. Dabei sollen Aspekte wie Betriebsarten, Nachrichtengrößen, Aufbringen auf darunterliegende Netze usw. betrachtet werden.
• Ziel 4 Eine andere Form der Realisierung stellen Mixe in frei wählbarer Reihenfolge dar. Diese Form wurde bisher wenig betrachtet. Es soll untersucht werden, welche Realisierungen existieren könnten, wie sich diese bzgl. der auch für Kaskaden untersuchten Aspekte (Betriebsarten, Nachrichtengrößen, ...) verhalten und ob ihr Einsatz Vorteile gegenüber Kaskaden bringen kann.
• Ziel 5 Nach der genaueren Untersuchung von Mixen in fester Reihenfolge und frei wählbaren Mixen sind diese zu vergleichen. Ihre Vor- und Nachteile sind zu benennen und an Fallbeispielen zu untersuchen. Damit wird zum einen nach konkreten Anwendungen gesucht, zum anderen wird die Anonymitäts- und Leistungsbewertung von Mixen betrachtet.
• Ziel 6 Die Begriffe Personal Mobility, Termininal Mobility und Session Mobility wurden eingeführt. In der Literatur werden sie nicht immer synonym verwendet. Nach Überprüfung der Begriffsbildung sollen die Verbindungen von datenschutzgerechten Verfahren und Mobilität betrachtet werden. Es soll untersucht werden, welchen Einfluß die verschiedenen Mix-Varianten auf die Formen der Mobilität haben.
• Ziel 7 Abrechnung für datenschutzgerechte Verfahren ist für die Realisierung von großer Bedeutung. Zurückgreifend auf Verfahren zum Schutz der Kommunikationsbeziehung und Protokolle für die Bezahlung von Telekommunikationsdienstleistungen wird nach Protokollen zur Abrechnung von Mix-Dienstleistungen gesucht.

Schwerpunkt im 2. Jahr

Systematisierung und Modellierung von Mixen unter Berücksichtigung der Anforderungen an Mobilkommunikationssysteme

In Mobilkommunikationsnetzen wird bezüglich Sicherheit vor allem die Verschlüsselung von Daten sowie die Authentikation berücksichtigt. Wir verstehen unter Sicherheit nicht nur den Schutz der Inhaltsdaten. Auch Verkehrsdaten sollten der Vertraulichkeitsanforderung genügen, da durch Analyse von Verkehrsdaten das Erstellen von Nutzerprofilen möglich ist und somit die Anonymität der Teilnehmer eingeschränkt werden kann.

Verkehrsdaten können durch geschützte Kommunikation verborgen werden. Eine Erweiterung der gegebenen Netzstruktur mobiler Kommunikationssysteme zur Gewährleistung von Anonymität ist zu finden. Dem Einsatz der Mixe zum Schutz der Kommunikationsbeziehung gilt hierbei unsere besondere Beachtung.

Folgende Fragen sind zu untersuchen:

Inwieweit kann in Mobilkommunikationsnetzen Anonymität als Mix-Dienst zur Verfügung gestellt werden? Welche Angriffe sind auf anonymitätgewährende Netze möglich? Läßt sich aus den betrachteten Angriffen ein allgemeines Angreifermodell angeben, welches für Sicherheitsanalysen genutzt werden kann? Kann der erreichte Schutz der Kommunikationsbeziehung durch den Einsatz von dummies (bedeutungslosen Nachrichten) erhöht werden? Inwieweit ist der Einsatz von dummies unter Berücksichtigung der Anforderungen in Mobilkommunikationsnetzen möglich? Ist die korrekte Ausführung der Dienstleistung des Mixes notwendiges Kriterium zur Verhinderung von Angriffen? Wenn ja, inwieweit ist die Kontrollierbarkeit von Mixen möglich? Kann diese verbessert werden? Gibt es ein Modell zur Beschreibung der Mixe, aus welchem die verschiedenen bekannten Mixtypen ableitbar sind? Lassen sich aus diesem Modell neue Ansätze zur Realisierung des Mixkonzepts ableiten?

Durch die Betrachtung dieser Fragen wollen wir zu  den Punkten 1, 2, 3 und 6 Lösungen finden.

Schwerpunkt im 3. Jahr

Vergleichende Betrachtungen zu Mixvarianten sowie Untersuchungen zur Abrechnung von anonymen Dienstleistungen mittels Mixnetzen in mobilen Systemen

Wir beziehen uns vor allem auf die Punkte 2, 5, 6 und 7.

Nachdem eine Analyse von bekannten Mixverfahren sowie eine Systematisierung und Modellierung von Mixen erfolgt sind, soll im 3. Jahr die Untersuchung zu Fragen des Mobilitätsverhaltens fortgesetzt werden. Weiterhin ist die Verwendung von Mixen speziell für den Einsatz in der Mobilkommunikation tiefergehend zu betrachten. Mix-Kaskaden sind aus Datenschutzsicht zu bevorzugen. Es ist zu untersuchen, inwieweit Kaskaden auch in der Praxis, insbesondere für mobile Anwendungen, eingesetzt werden können. Vergleichende Betrachtungen zu Mixvarianten und ihre Zusammenschaltung zu Kaskaden oder Netzen sind anzustellen.

Andererseits wollen wir verstärkt nach Lösungen zur Abrechnung anonymer Dienstleistungen suchen. Der Einsatz der Mixe schafft Anonymität, erschwert aber auch die Nutzung der Kommunikationsnetze. Insbesondere stehen keine kommerziellen Lösungen für derartige anonyme Dienstleistungen zur Verfügung, die außerdem noch die Zurechenbarkeit der Dienstnutzung garantieren. Wollen wir also mehr Akzeptanz für den Einsatz von anonymitätgewährenden Netzen, so besteht an dieser Stelle weiterer Forschungsbedarf.

Veröffentlichungen innerhalb des Projektes

(vergleiche auch Vorgängerprojekt TechDatMobiKomm)

• Fran_97 Elke Franz, "Gestaltung einzelner Mixe zur Gewährleistung von unbeobachtbarer, anonymer Kommunikation'', TU Dresden, Fakultät Informatik, Diplomarbeit, 1997.
• Grau_97 A. Graubner, "Gestaltung von Mixnetzen zur Gewährleistung von unbeobachtbarer, anonymer Kommunikation'', TU Dresden, Fakultät Informatik, Diplomarbeit, 1997.
• JMPP_98 Anja Jerichow, Jan Müller, Andreas Pfitzmann, Birgit Pfitzmann, and Michael Waidner, "Real-Time Mixes: A Bandwidth-Efficient Anonymity Protocol'',  IEEE Journal on Selected Areas in Communications, Special issue "Copyright and privacy protection'', 4(1998), 495-509.
• FGJP_98 E. Franz, A. Graubner, A. Jerichow, and A. Pfitzmann, "Comparison of Commitment Schemes Used in Mix-Mediated Anonymous Communication for Preventing Pool-Mode Attacks'', 3rd Australasian Conference on Information Security and Privacy (ACISP '98), LNCS 1438, Springer-Verlag, Berlin 1998, 111-122.
• FGJP_98a E. Franz, A. Graubner, A. Jerichow, and A. Pfitzmann, "Modelling mix-mediated anonymous communication and preventing pool-mode attacks'', 14th IFIP International Conference on Information Security (IFIP/SEC'98), Chapman & Hall, London 1998.
• FGJP_98b Elke Franz, Andreas Graubner, Anja Jerichow, and Andreas Pfitzmann, "Einsatz von dummies im Mixnetz zum Schutz der Kommunikationsbeziehung'', SIS'98, vdf Hochschulverlag AG an der ETH Zurich, 1998, 65-94.
• FrJW_98 E. Franz, A. Jerichow, and G. Wicke, "Payment Scheme for Mixes Providing Anonymity'', International IFIP Working Conference on Electronic Commerce 98; June 4-5th 1998, LNCS 1402, Springer-Verlag, Berlin 1998, 94-108.
• FrJe_98 Elke Franz und Anja Jerichow, "A Mix-Mediated Anonymity Service and Its Payment'', ESORICS «98, LNCS 1485, Springer-Verlag, Berlin 1998, 313-328.