 Der nächste Talk, den wir hier haben, ist von zwei Menschen, Dave und Lief. Im Fahrplan hat man vielleicht Mo gesehen, aber das wird geändert. Dieser Talk ist von David Stanton und Lief. Und der Titel ist die Einführung zu Mixed Networks und der Katzenpost. Und es geht um Mixed Networks und wie sie funktionieren. Der Talk ist übersetzt von C3Lingo. Ihr könnt uns Feedback hinterlassen auf Twitter unter ad C3Lingo oder unter dem Hashtag C3T. Wir sind ... Keine Ahnung, das sollte sich nicht sein. Ich werde jetzt etwas über Anonyme und Kommunikation reden. Die erste Frage, die wir stellen möchten, ist, was bedeutet einem überhaupt? Wenn wir in das Förderbuch gucken, dann sehen wir ohne Namen. Es gibt auch andere Bedeutungen, aber alle diese treffen nicht wirklich auf privatsphäre Förderntechnik zu. Das nächste hier in der Definition ist tatsächlich über Wikipedia. Und da steht, es geht um anonyme Beiträge zu Wikipedia. Bearbeitungen auf Wikipedia, die nicht eingeloggt sind, werden oft anonym genannt. Jetzt nennen sie IP-basierte Änderungen, aber viele Leute nennen sie immer noch anonym. Das ist natürlich in der Hinsicht sogar schlechter für die Privatsphäre in anonymen Hinsichten. Weil es hat sogar weniger anonyme Bedeutung, als wenn man eingeloggt wäre, weil man verschiedene pseudonyme haben kann. Der Punkt ist, dass sie nicht zueinander korrelierbar sind. Oh, wrong Computer. This is an interesting project you can find on github at github.com slash edsu slash anon. Es gibt das tue Anon, dass anonyme Beiträge zu Wikipedia attract und lockt und zusammenfasst, vor allem auch zu den Seiten von britischen Parlamentarien. Wenn Leute über anonymität reden im Kontext von Privatsphäre, fördernden Techniken, dann geht es normalerweise um Unverbindbarkeit, was genauer ist, aber immer noch sehr wage, weil es nicht wirklich definiert, was zu was verbunden wird. In der Literatur findet man viele spezifischere Konzepte wie Sender anonymität, Empfänger anonymität, Orts anonymität und so. Bei denen geht es immer darum, dass andere Leute davon abgehalten werden sollen, Informationen zu anderen Informationen zu verbinden. Es gibt auch den Begriff Beobachtbarkeit und ob man überhaupt beobachten kann, ob jemand eine Nacht überhaupt gesendet hat oder ob ein Nutzer überhaupt entdeckbar ist, was auch die Verbindbarkeit beeinflusst. Wir reden über diese Fähigkeiten in Threatmodellen. Es geht darum, die verschiedenen Fähigkeiten und was ein bestimmtes Tool verhindern oder bestützen kann. Manchmal sind sie eher schlecht definiert und manchmal sind sie auch ganz gut definiert, aber nicht gut verstanden von den Nutzern, auf der Seite des Software. Wenn man Threatmodelle anguckt, hilft es, sie umzudrehen und nicht darüber nachzudenken, wogegen es schützt. Sollte man darüber nachdenken, wogegen es nicht schützt, wenn jemand Wikipedia bearbeitet und eine Bearbeitung macht, die jemand anders nicht mag. Wer kann diese Bearbeitung mit einer anderen Bearbeitung verknüpfen oder seine IP-Adresse verknüpfen? Da gibt es natürlich ein paar verschiedene Antitäten, die diese Verknüpfung machen können. Da gibt es die Bearbeiter von Wikipedia, die Eigentümer und die Leute, die den Traffic zu Wikipedia beobachten, zum Beispiel in ISP oder der Arbeitsplatz, zum Beispiel in einer Firma. Wenn die Firma diese Bearbeitung anguckt, dann kann die Firma eventuell sehen, welchen Traffic innerhalb des Netzwares vergesendet hat und was für oder wie viele Daten an Wikipedia geschickt hat, die können eventuell rauskriegen, wer diese Bearbeitung gemacht hat. Also das wären zum Beispiel zwei Antitäten, die den Beobachten können in diese Interaktion. Aber auch jeder, der eine der Seiten kompromittieren kann, kann sie sehen. Das bekannteste Antimitäts-Tool heutzutage ist Tor, was hier wahrscheinlich schon viele Leute gehört haben. Da gibt es Bilder wie dieses, die zeigen, wie Tor funktioniert. Da gibt es verschiedene Schichten der Verschlüsselung über diese grünen Linien. Das hier ist ein Bild, das jemand gemacht hat über die verschiedenen Schichten der Verschlüsselung. Es wird ein Fahrt gefunden durch das Tornetzwerk und man verbindet sich mit dem ersten Sprung und dann wird das weiter verleitet und weiter verbunden bis zum Ausgang und der Traffic geht nur vom Anfang bis zum Ende und man kann nicht nur die einzelnen Verbindungspunkte sehen und auch das Rupen. Ein Jusnicks-Paper von 2003 geht es um ein Threadmodel für Tor. Ein lokaler passiver Teilnehmer ist der normalerweise angenommen, die angenommenen Bedrohungen. Was damals etwas war, was viel geforscht wurde, als das Tornetzwerk noch sehr neu war und die sagen, anstatt gegen jemanden so etwas zu beschützen, geht es darum, mehr Weniger, geringere Latenzen zu haben und wir werden später darüber reden, warum sie diese Abwägungen getroffen haben. Das wurde damals als sehr unwahrscheinlich angenommen und heutzutage sieht man aber, dass es sehr viele Orte gibt, wo Daten durchlesen und die definitiv nicht nur passiv mithören, sondern auch aktiv aktive Attacke ausführen und es gibt nicht wirklich ein allgemein nutzbares Anonymitätsystem, das gegen diese Beteiligten schützt. Es gibt auch wesentlich schwächere Beteiligte, die eventuell tun können, was Tor verhindern möchte. Der zweite Teil des Threadmodels erklärt, dass es nicht nur um globale passive Teilnehmer nimmt, sondern auch um aktive. Jeder kann ein Ende der Verbindung sehen, wie zum Beispiel, wenn ein Blog gepostet wurde oder wenn eine Wikipedia-Bearbeitung gemacht wurde und wenn man zurück zu dem Beispiel mit den Side-Admins oder jemandem, der dein Traffic beobachtet wie ein ISP oder ein Arbeitgeber, die können eventuell immer noch sehen, wer ein Kommentar auf ein Blog gemacht hat, selbst wenn man Tor benutzt, selbst wenn sie nichts außer deine Verbindung beobachten können. Das ist natürlich nicht vorteilhaft. Sag ich jetzt, dass wir Tor nicht benutzen sollten. Da gibt es hier noch eine andere Slide, darum warum überhaupt Tor benutzen. Da gibt es natürlich auch andere Gründe für. Und ich empfehle auf jeden Fall, dass Leute es für viele Dinge benutzen. Was es bringt, ist Ortsanonymität, es bietet Browsing-Anonymität und ein Einzelhop-VPN kann natürlich auch da verschützen, aber es ist wesentlich schwächer. Und weil die Anonymität ist wesentlich schwächer und der VPN ist ein einziger Punkt, der scheitern kann und der auch wiederum alle Engangs- und Ausgangspunkte für Daten sehen kann. Wohin gegen Tor ist nicht fähig, gegen etwas zu tun, gegen Leute, die bei der Verbindung sehen können, aber es ist immer noch wesentlich besser, als viele andere Tools für General-Anonymität. Der Torbrowser hat auch großartige Track-Schutzfeatures. Aber wir hätten gerne etwas noch stärkeres. So, jetzt geht es um Mixnetworks. Mixnetworks wurden vorgestellt in 1997. Das erste Paper kam raus in 1981. Es ging um unverfolgbare elektronische Nachrichten. Also, wie funktionieren Mixnetzwerke? Sie sind so ähnlich wie Tor. Sie haben verschiedene Schichten der Verschlüsselung. Der große Unterschied ist, dass sie die Nachrichten auch umsortieren. Die Nachrichten von fixer Länge gehen in einen Mix und da wird eine Schicht der Verschlüsselung entfernt und neue Nachrichten kommen aus in einer anderen Reihenfolge, die bittweise verknüpfbar sind. Das heißt, der Mix hier, der kann die zwar noch verknüpfen, deswegen will man mehrere Mixe, aber man kann über das ganze Netzwerk auch nachdenken, ein großer Mix nachrichten gehen rein und nachrichten gehen raus, und man kann darüber nichts erklären. Ich gebe mal jetzt weiter an David. Ja. Also, wir haben ein... ein... Also, dieses Mixnetzwerk sendet keine Nachrichten weiter, bis es vier Nachrichten gesammelt hat. Und wenn es die raus schickt, dann ist die Chance nur 25 Prozent, dass sie mit einem der Eingangsnachrichten verknüpft werden kann. Also, wir benutzen das in einer... also, wir benutzen es tatsächlich und wir haben da verschiedene Schwellenwerte von tausender Millionen Nachrichten, sodass das der noch viel verkleinert werden kann. Zum Beispiel... also, wir benutzen die, wir werden über die Katzenpost sprechen. Also, Messages nachrichten kommen rein oder raus zu zufälligen Zeiten und Nutzer können diese Verzögerung zu einem selbst gewählten Wert einsetzen. Und... Lass uns hier über die Architektur sprechen. Wir haben hier öffentliche Schlüsselmaterial, also verschlüsselte Pakete, die wir in das Mixnetzwerk reinschmeißen und Mixminion, was ein Projekt war, bevor es das Torprojekt gab. Sie hatten so ein Schlüsselsystem, ähnlich wie das Tornetzwerk. Also, Katzenbox nimmt, verwendet ein System, was ähnlich ist wie Tor, aber wir wollen in der Zukunft das Design noch mal verbessern im Moment. Also, es ist noch nicht so... noch nicht so fehler-tolerant, aber es ist immerhin schon mal dezentralisiert. Solange, sobald Kleins zu Zugang zu dem Schlüsselmaterial oder zu den Connection-Protokollen, Verwendungsprotokollen bekommen, können sie diese... Hier geht es um ein... das ist ein tolles Paper, was eben diese Mix-Statiken diskutiert. Hier gibt es viele, viele Informationen über die Vor- und Nachteile und welche Kompromisse man daraus in Kauf nehmen muss. Aber worum es immer geht, es geht immer um die Latents und... Ja, Tor sendet Nachrichten so schnell wie möglich durch das Netzwerk, weil Tor-Zellen-Route die Teile eines Strings sind. Ich möchte dabei sprechen, welche Angriffe und Werteidigungsmechanismen es gibt. Und es gibt vieles, was wir abdecken muss, deshalb habe ich überlegt, ich dachte, ich spreche einfach schneller, damit es halt hier besser vorangeht. Die meisten Sachen, über die wir heute sprechen werden, treffen auf alle Nachmetzwerke so, nicht nur auf Mix-Netzwerke. Also, es ist ziemlich nützlich. Aber diese eine anonyme Attacke ist sehr spezifisch für Mix-Netzwerke, um die mal kurz zu beschreiben. Wenn irgendeine Entität verschiedene Router kontrolliert, aber nicht das Mix-Netzwerk. Wenn Sie diese Nachricht im Mix-Netzwerk sehen, dann können Sie Ihre eigene Nachrichten ins Mix-Netzwerk schicken, damit diese Schwellenwert überschritten wird und dann die Nachrichten ausgeschickt werden. Und wenn Sie dann sehen, welche Nachrichten rauskommen, dann können Sie sehen, welche Nachrichten Sie wiedererkennen und welche nicht. Und die Nachrichten, die Sie nicht wiedererkennen, war offensichtlich die, die reingegangen ist. Aber es würde halt eine Vielzahl an Routern erfordern, um das Netzwerk komplett zu kompromittieren. Das ist eine mögliche Angriff und die wird eine N-1 Attacke genannt und es gibt viele, viele Variationen davon. Und viele, viele Ideen, wie man sie an verschiedene Typen von Mix-Strategien anwenden kann. Katzenpost ist basiert auf vielen, vielen Designmethoden aus unserem Paper, wo auch die Po-Sound-Mix-Strategie drunter ist. Also wir können halt, also wir können die Latenzen ein bisschen, ein bisschen, ein bisschen niedrigeren, wenn wir, was ich hier in der Ganzstätte gerne sagen würde, ist, dass das originauschwängliche Mix-Netzwerk war, ein Projekt war oder war ein Projekte, die in den Anfang der 2000ern, und da gab es viele Latents, also zum Beispiel E-Mails senden, was es, was viel Latents hat und deshalb nicht sehr nützlich für Anonymität. Ja, über die Dekaten hinweg wurden da viel, viel Nachforschung angestellt und wir sind an dem Punkt angekommen, wo wir an viel, viel geringerer Latents ankommen und trotzdem noch eine große Anonymität gewährleisten können. Ja, ich wollte das nochmal, ich wollte das auch erwähnen, ich dachte, ihr hättet das später, na gut. Also da gibt es dieses Paper über diesen Anonymität-Kompom-Mis. Es gibt drei Sachen, die man haben will, viel, viel Anonymität, wenig Latents und wenig Overhead, also wenig Tours auf der wenig Overhead, also wenig Latents-Seite, also wenig Anonymität. Mix-Netzwerks haben ein bisschen mehr Overhead, haben ein bisschen mehr Abdeckungs-Traffic, aber deshalb auch viel, viel stärker Anonymität. Also in diesem Lupix-Modell lassen uns jetzt nicht über diese M-1-Attacken sprechen. Da sind einige Schritte, die sich kaskadieren und in diesem Paper, was 1998 veröffentlicht wurde, wird diese Kaskett-Technologie bespricht. Aber das eine interessante Sache zwischen Tours und den Mix-Netzwerken ist, Tours hat viele, viele Knoten und deshalb ist es ziemlich unvorhersehbar, wie geroutet wird. Im Mix-Netzwerk sind wir davon nicht abhängig. Also man kann zwar, man kann auch mit vier Hobbes arbeiten, man kann trotzdem schon stark Anonymität gewährleisten für die Nutzer. Es skaliert zwar dann nicht so gut, es hat zwar dann keine hohe Verfügbarkeit, aber es würde trotzdem die Anonymität geben. Und ja, die Idee, Leute dachten, dass Free-Wide, Free-Wout eine gute Idee wäre im Gegensatz zu Kaskade. Also Free-Wout ist eine Topologie, man kann einen Pfad machen, der von jedem Relay zu jedem anderen Relay geht. Also man kann seinen Pfad komplett frei wählen. Einer der Nachteile davon ist, dass wenn alles eine Nacht an Bob sendet und Bob sendet eine Nachricht zurück an alles, dann, und wenn sie dieselben drei Relays nehmen, aber in verschiedenen Reihenfolge, dann könnte man die Nachricht mitschneiden und die Nachricht und die Quelle der Nachricht wäre der, ja, unterscheidende Faktor. Also deshalb ist es wichtig, dass die Gruppen von den Knoten getrennt sind, so dass es keine Schnittmengen gibt. Diese Akademiker sind mit einer neuen Topologie an den Start gegangen und das ist die Mixed Layered Topologie. Hier haben wir einen Diagramm mit drei Ebenen und die sind numeriert von eins bis drei und die Knoten können immer nur zu den nächsten Ebenen nach rechts senden. Und in Katzenposteln in Lupix haben wir Providers am Ende. Also, ja, das sind, das ist eine Supergruppe von einem Mix. Die können auf die Nachrichten eine Warteschlange reintun und so und haben mehr Kontrolle. Aber es gibt nach wie vor andere Ansätze, z.B. die, also wenn es einen kompromittierten Mix erfährt, der eben der gäbe, dann je mehr Nachrichten man sendet, dann würde man eine neue Route für die Nachrichten empfehlen, die man sendet und wenn man Pech hat, dann tatsächlich eine Pech, eine blöde Route verwählen. Also eine rote, eine böse Route ist dann der Fall, wenn jeder Knoten in dem Mix kompromittiert ist. Dann haben wir verloren. Also verloren haben wir dann, wenn man Herstellt Verbindung zwischen Sendern, Erfängern herstellen kann. Also wir können einen anderen Ansatz wählen, um sich damit umzugehen. Ja, dann gibt es noch die Kompulsion Angriff. Ja, wenn wir hier verschiedene Kaskadierende Technologien haben, dann kann man die mit dem, kann man, naja. Also wenn man jetzt den Clients erlaubt, eigene Routen auszusuchen, dann dürfen die natürlich keine auseinanderhaltbare Charakteristiken haben für ATAM. Deswegen ist wahrscheinlich dieses Protokoll nicht so gut geeignet für die Verteilung über das Netzwerk. Deswegen haben wir eine PKI, die Einigungsdokumente über das ganze Netzwerk aufteilt, so dass jeder eine gemeinsame Einigung hat über den aktuellen Status des Netzwerks und welche Routen gewählt werden können. Und das gilt nicht nur für gemischte Netzwerke, sondern auch für Tor und E2P und andere Kommunikationssysteme, die gegen Fingerprinting-Attacken routen. So, aber die wichtigste Attackenkategorie, die wir gegen die wir uns schützen wollen, sind Statistical Disclosure Attacks. Also es ist wichtig gegenüber gegen diese statistischen Attacken einen Schutz dagegen zu haben. Und wir wollen einen teilweise Schutz gegen Überschneidungsattacken haben. Also wir betrachten das ganze Netzwerk als einen großen Mix, wo es Eingangs- und Ausgangsnachrichten gibt. Und wenn wir jetzt denken, alles eins geht aus, dann kann man vielleicht sehen, dass POP1 und 2 20 Prozent weniger Nachrichten kriegen. In dem Fall ist jetzt auf jeden Fall sichtbar, dass bestimmte Nachrichten vollangegangen sind und quasi abgegriffen werden können. Solche statistischen Attacken gelten für alle Nachrichtensysteme und alle Nachrichtensysteme verlieren darüber so ein paar Informationen. Und wenn jetzt Kleins direkt Nachrichten aus dem Mix-Netzwerk empfangen, dann kann ein Passiver-Beobachter alle sehen, dass jene Menge Kleinsnachrichten in das Netzwerk reinschicken und welche die rauskommen und können dann über lange Zeiten statistische Aussagen treffen darüber, welcher Kleint eventuell mit welchem anderen Kleint redet. Wenn wir jetzt aber die Kanten des Netzwerks mit Providern ersetzen, die ganz viele Cues für jeden einzelnen Kleint haben, dann sind die statistischen Nachrichten, die hier auf der Kleintseite ausgehen, wesentlich geringer. Also wenn jetzt jeder Provider ungefähr 10.000 Nachrichten Cues hat, dann würde das wesentlich weniger Informationen leckern. Die benutzen in manchen Systemen dafür einen Traffic Padded Protocol. Das heißt, wenn jetzt eine Person hier eine Nachricht in seiner Cue hat, dann wird die verliert, um sie ununterschaltbar in anderen Nachrichten zu machen. Da gibt es eine Menge Literatur zum Thema... Wir benutzen das Zwingz-Packet-Format. Es ist spezifisch für Entschlüsselungs-Mix-Netzwerke gedacht, aber es wurde auch für Linke-Latzen-Systeme genutzt. Zwingz wurde entwickelt als ein Ersatz für das Packet-Format in Mixed Minion und wurde aber als solches nie komplett eingesetzt. Wir haben eine etwas modernisierte Version davon im Herzenpost, wo wir modernere kryptografische Prämitiven benutzen. Ich habe jetzt nicht komplett Zeit, über all die technischen Details zu reden, aber da wir keine interaktive, beidseitige Kommunikationskanäle haben, benutzen wir die Zwingz-Pakete, so dass sie verändert werden, während sie durchs Netzwerk fließen. Wir haben also keine Vorwärtssicherheit, Forward Secrecy-Sicherheit. Wir sind also verwundbarer gegen Kompositionsattacken und in der Hinsicht ist Tor tatsächlich sicherer als Mixed-Netzwerke. Wenn wir über Ovalet-Netzwerke reden, dann geht es meistens um das Wire-Protokoll zwischen den einzelnen Maschinen im Netzwerk und wir reden aber auch von einem Punkt der Fische, den Mixen untereinander. In Tor benutzen Sie TLS und in unserem Netzwerk benutzen wir ein anderes kryptografisches Protokoll. Wenn wir jetzt mal den kryptografischen Linklayer ignorieren und wenn man jetzt mal Tor-Handshake abfängt und eventuell die Polizei, jemanden davon, ein Tor-Relay-Operator davon überzeugen kann, dass er diese eine Schicht entschlüsselt, dann wäre das sehr schwierig in Mix, weil die Schlüssel die ganze Zeit immer wieder zerstört werden. Und in Mixen-Netzwerken gibt es die Möglichkeit, solche Attacken durchzuführen. Dazu eine Clarifizierung, eine Kompositionsattack hier ist möglich, weil Mixe einen festen Schlüssel benutzen müssen. Also man macht nicht eine neue Sitzung wie in Tor wie in einzelnen Hub, sondern bevor man seinen Request durch Tor schickt, findet ein kleiner Handshake mit einem Diffy-Hellmann statt, bei dem ein neuer Schlüssel erstellt wird, der nach dem Ende des Streams wieder weggeworfen wird. Und in Mixen-Netzwerken gibt es das nicht. In Mixen-Netzwerken ist jede Nachricht ein einzelnes Ding und deswegen kann man diese Schlüssel nicht wegwerfen, die man gelernt hat und danach benutzen muss als aktuellen Key. Deswegen werden die Schlüssel rotiert und während des Rotationsintervalls sind diese Kompositionsattacken möglich, wo man eventuell ein Not davon überzeugen kann, eine bestimmte Nachricht zu entschlüsseln. Hier ist Key Ratio die Hauptverteidigung, die wir bieten können. Da gab es in 2002 in Paper, da kann man einen bestimmten Mixkey benutzen und den direkt löschen nach dem ein Paket durchgeht. Aber dafür muss man dann auch wieder mehr Metadaten in den Mixen zufügen. Das ist auch wieder ein Trade-off, weil man einerseits wieder Metadaten verliert und andererseits wird der Schlüssel aber früher zerstört. Da hatten wir am Anfang die Schlüsselrotation zu 3 Stunden gesetzt, aber am Anfang hatten wir es, aber sogar eventuell noch viel niedriger. Da gibt es noch andere teilweise Schutze gegen Kompositionsattacken. Da gibt es verweigerbares Routing und mehrere Pfaderooting. Da möchte ich jetzt auch nicht weiter ins Detail gehen, aber ich wollte erwähnen, dass es andere Möglichkeiten und Gedankenpfade gibt, die jemanden in Betracht kommen. Dieser Mann ist eine der Autor dieser 2 Papers und ich habe ja vorhin die Multikaskartentopolegie erwähnt. Es hat damit zu tun, in dem Sinne, dass wenn man eine Nachricht durch das Mixnetzwerk schickt mit einer neuen Route für jeden Hub, dann möchte man nicht unbedingt die Wahrscheinlichkeit der gleichen Route wieder erhöhen. Deswegen benutzen wir in Mixnetzwerken ein Overlandnetzwerk, und das heißt, wir benutzen IP, wir benutzen IPv4, wir benutzen TCP und wir fügen dazu noch einige Protokollayer hinzu, so dass wir eigene Fehlerkorrekturen und Wiederholungsstrukturen haben und solche Dinge. Trevor Perrin, der hat uns geholfen, der hat unser Kabelprotokoll entwickelt. Das basiert auf dem neues kryptografischen Protokoll-Framework und der war auch sehr hilfreich darin, den nicht zu kommunizieren. Und nach jemandem war er involviert in einem Verschlüsselungsformat, das auch quantensicher ist. Dank diesen Menschen. Und jetzt kommt das, genau das Anonymitär-Extrilema, die Abwägung zwischen diesen drei Faktoren, die wir vorhin genannt haben. In Katzenpost und in diesem Netzwerk im Generellen werden Clients Prozesse aggregieren und senden Traffic, der sowohl echten Traffic, als auch der andere, der mit Fake-Traffic gemischt hat. Und der Grund dafür ist, dass wir dann das Mix-Netzwerk perfektionieren können, indem wir Parameter in der PKI ändern. Und wir können also den Traffic zu den einzelnen Parametern anpassen und dann sieht der Traffic von allen Beteiligten ungefähr ähnlich aus. Und da gibt es dann wieder eine Abwägung dazwischen, wie viel Fake-Traffic geschickt wird und die Stärke der Anonymität. Und das Tuning-Problem ist, also hier ist ein Beispiel, eine Drop-Nachricht. Alice sucht sich einen beliebigen Provider im Netzwerk aus und der Provider sieht, dass es eine Drop-Nachricht ist und verliert es. Und es wird deswegen auch kein Bobachter am Ziel beeinflussen, sondern es ist nur für einen passiven Bobachter des Netzwerks. Und das hier ist eine Kreislauf-Nachricht, eine Loop-Nachricht. Und eine Loop-Nachricht in Katzenpost wird an den Loop-Service auch am Ziel-Provider geschickt. Und das ist ein Antwortblock für die einmalige Nutzung. Und so weiß der Provider nicht, Alice ist nach Ort im Netzwerk. Der Einzelnutzungsantwortblock, die grünen Linie, ist die Route, die Alice gewählt hat und schickt eine Nachricht an den Knoten unten links. Und der Serf, der Single-Use-Reply-Block, der wird zurückgeschickt und enthält Informationen darüber, wie geantwortet werden kann. Und diese sind aber auch nur nützlich während der Schlüsselrotation wegen der Compasion-Attacks. Das heißt, in älteren Mix-Designs die waren etwas menschlicher, aber in unserem Design sind sie mehr für automatische Antworten von Services, wo man nicht den Service nutzen wird, um am nächsten Tag zu antworten, sondern vielleicht so genaue während der gleichen Schlüsselrotation. Und was man noch dazu sagen sollte, da wir Serf mit einer Versandtechnologie benutzen, weiß Alice ungefähr die Zeit, die das Paket einmal im Kreislauf braucht und sie kann daher das künstliche Delay des Roundtrips hinzufügen, sodass sie weiß, dass, wenn sie keine Antwort kriegt, dass etwas verloren gegangen ist. Loops, Loops und Lambda P ist die Vorwärtsnachricht durch die Queue. Hier haben wir ein anderes Diagramm, wo alles eine Nachrichtabruf von einem Provider, anstatt mit dem Provider zurück zu kommunizieren, wollen wir mit jemand anderem kommunizieren auf dem Netzwerk, um die Verbindung nicht herstellen zu können. Und das Mixnetzwerk wird als Kommunikationsnetzwerk verwendet, um die Nachrichten abzurufen. Das ist ein ziemlich einfaches Design und es ist einfacher als im Loupix Paper. Das Loupix Paper stellt keine anonyme Kommunikationssysteme vor. Da gibt es nur um die Orts- oder Herkunftsverstecken. Wenn Alice und Bob mir dann noch reden und Alice ist kompromittiert, dann sollte sie nicht herausfinden, von wo Bob sie erst im Netzwerk befindet. Egal, wie sie es versucht. Also, man kann diese Vermittlungsstellen verwenden, um das zu verhindern. Und was ich kurz erklären will, ist, dass wenn alles, also wenn Alice verhalten vorheisebar ist durch bestimmte Angriffe, wenn sie eine Nachricht von diesem Provider erhält aus dem Netzwerk und die Nachricht das kompromittiert, dann könnte eine Entität einen Ausfall auf dem Netzwerk hervorrufen. Und wenn Alice dann erneut antwortet, wird es nicht die gleiche Sequenz verwenden. Und die Entität hat eine positive Rückmeldung, dass alles auf einer bestimmten Hälfte des Netzwerks ist, weil sie einen Ausfall von der Hälfte der Knoten im Netzwerk gemacht haben. Also, wenn man ein bisschen Hintergrund im Computer, also Informatik hat, dann kann man sehen, dass diese Angriffe in logaritmischer Zeit erfolgen kann, also logaritmischer Laufzeit. Ja, also, das könnte halt Verpolion mit der Benutzbarkeit hervorrufen, aber, ja. Katzenpost intern ist es halt einfach eine Serie von Warteschlangen, die in einem Ablauf verbunden sind. Aber wir haben auch ein Plug-in-System, also wir können Dienste im Netzwerk hinzufügen. Also, wir möchten wirklich zusammenarbeiten mit anderen Entwicklern und ja, die auch einbinden. Und wenn Entwickler dann interessiert sind, ein eigenes Nachrichtssystem zu entwickeln, wir möchten das gerne unterstützen. Also, wir haben Nachrichtssysteme, die schon bereits nutzbar sind auf Katzenpost, aber wir möchten natürlich auch neue Nachrichten nutzen. Also, es kann auch verwendet werden, um Nachrichten zu übermitteln oder Kryptowährung zu übermitteln, weil das ja auch einfach nur Nachrichten sind. Und der Autor von Lupix hat da auch ein Paper drüber geschrieben. Man möchte, dass andere Leute die Kryptowährung über das Netzwerk verübermitteln. Also, man wird es nur mit anderen Leuten ein Netzwerk vermischt, aber also warum braucht man das? Es gibt einem schon Anonymität, in dem man Transaktion nicht miteinander verknüpfen kann, aber es gibt keine Verknüpfbarkeit zwischen Sendern und Empfänger und das kann das ein Mixnetzwerk geben. Wenn der Mixnetz sicher schleint, können Leute zwar sehen, dass man mit dem Netzwerk verknüpft ist, aber man kann nicht sehen, an wie man gerade sendet und wann. Was ist der nächste Schritt? Wir müssen vielleicht einfach von diesen Folien überspringen, sonst haben wir keine Zeit mehr für Fragen. Das ist zu viel Detail gerade, aber dahinter habe ich noch ein paar Empfehlungen für ein paar Paper. Wir werden das einfach mit Mixnetz überspringen. Ja, Moral Charakter von Kryptografischer Arbeit. Wir möchten, dass andere Kryptografen und Informatiker mehr darüber nachdenken und nicht einfach nur über ihre Karriere nachdenken und Paper veröffentlichen, die keine Bedeutung haben. Wir möchten, dass Kryptografen mit uns kooperieren und auch mit anderen Informatikern praktische Sachen machen, die auch wirklich die Gesellschaft positiv beeinflussen. Er erwähnt Chom 31, also das Paper von 1980 von Chom, 83 Male in diesem Paper. Das, was er herausstellen möchte, nämlich, dass wir darüber nachdenken, Metadaten zu schützen, die man ja sichtbar sein werden kann. Und dieses Jahr Null-Kentnis-Beweissystem aber es geht darum, die Metadaten zu schützen, die wir rausgeben. Ich möchte auch erwähnen, die Autoren vom Anonyme, die Tolema-Themen im Paper, das es auf der Website veröffentlicht ist und es wird genannt Beyond Mixnetz, also über Mixnetz hinaus, also Hybrid-Netzwerke. Wir haben einige interessante Eigenschaften für Performance und Sicherheit. Also man kann Mixnetzwerke verbessern, indem man so ein Hybrid-Netzwerk-Schema etabliert, auch mit Schlüssel-Austausch, mit Offline-Schlüssel-Austausch. Das ist auch ziemlich interessant. Das behandelt Bedrohungsmodelle für anonyme Nachrichtigungsnetzwerke und welche privatsphäre Vorteile man da erwarten kann und wie man das ausdrücken sollte. Ja, das ist im Prinzip unser Talk. Sind da Fragen? Ja, ich werde gleich einige Fragen antworten. Ich fahre mich da schon drauf. Der Status des Projektes heute ist Katzen-Post, David und andere Leute haben schon viel, viel Arbeit eingesteckt. Es gibt Code, den man auswählen kann. Es gibt ein Tetswerk, das von David gelaufen wird. Es ist jetzt keine Sache, die man heute schon verwenden sollte. Man muss damit rumspielen. Es ist ein ziemlich einfacher Text bei Dieter Klein. Da ist viel, viel Arbeit, die noch gemacht werden muss. Aber im Moment ist die Entwicklung viel aktiv. Die häufigste Frage ist, was ist dieser Delay? Es ist nicht niedig genug, um SSL etwas einzutippen. David möchte diese Fragen nicht beantworten, weil man muss damit rumspielen und Feindschuldig machen, aber es ist eine große Art von Sekunden, nicht eine große Art von Minuten. Das ist das, was wir hier erwarten, als vertretbar. Die andere Frage, die ich habe bekommen, ist Sensorumgehung. TOR bereitet diese Onien-Services und um diese Sensoren zu umgehen. TOR hat sich damit befasst. Danke für diesen superinteressanten Talk. Wir haben noch ein paar Minuten für Fragen. Gibt es Fragen aus dem Internet? Es scheint keine Fragen aus dem Internet zu geben. Ihr habt damit angefangen, dass TORs Threat-Modell nicht für einen globalen Angreifer ist und es klingt so, als würden die Mixenerzwerke in auch gegen und redet auch von Compulsion Attacks und da geht ihr jetzt nicht von einem globalen Angreifer an aus. Also, im Katzenpost-Modell hat die Empfangeseite von Nachrichten der Provider. Das heißt, falls man jetzt eine statistische Angriff machen will mit einer großen Menge statistischer Informationen, dann ist es hilfreich, die Provider anzugreifend. Die andere aktive Attacke ist die N-1-Attacke, wo man die Mix-Strategie attackiert und da haben wir teilweise Verteidigung gegen, aber es ist immer noch nicht eine komplette Verteidigung. Ein Aspekt des Gloopings-Designs ist, dass die individuellen Entitäten Gloops schicken und die könnten eventuell entdecken, ob eine N-1-Attacke stattfindet und wenn bestimmte Nachrichten, die durch den Relay gesendet werden, nie zurückkommen, dann könnte man sehen, dass das passiert und was man dagegen machen kann, ist auf eine Frage. Aber die Operatoren, die da die Autorität haben, die könnten Policies haben, die zum Beispiel ein Relay aus der Kommunikation ausschließen, weil von da aus ein Attacke ausgeht. Die Compulsion-Attacke ist die andere Attacke und da haben wir das Problem in Mix-Networks wo wir nur einen echten Hopp haben, haben wir da so eine Semi-Verteidigung gegen im Design. Nächste Frage. Noch eine Frage zum Threat-Modell. Threat-Modelle können nicht unbedingt bedeuten, dass sie strikt stärker oder strikschwächer sind. Über Stecker oder schwächere Threat-Modelle? Ja, weil die vorige Frage über Compulsion-Attacks war, wo Tor quasi besser ist. Okay, also das ist ein schwieriger Vergleich, weil Tor als brechbar durch wesentlich schwächere Angreifer, aber es ist wahr, dass für bestimmte starke Angriffe Mix ein wenig schwächer ist. Aber da können wir das Zeitfenster in denen diese Attacke stattfinden kann sehr klein machen und eine andere Verteidigung dagegen ist, dass wir alle unsere Mixe in unterschiedliche Kontinente und unterschiedliche Länder tun können und es ist wirklich schwierig zu machen für den Angreifer den Pfad das Paket durch das Netzwerk zu verfolgen. Da kann man mal sehen, dass man nicht immer sagen kann, dass Threat-Modelle wirklich besser oder schwächer als andere sind. Die sind halt besser oder schlechter in verschiedenen Dimensionen. Eine weitere Frage. Ein großer passiver Angreifer kann normalerweise Dinge einfügen und verzögern. Wir haben den aktiven Angreifer behandeln wir in den N-1-Attacken. Es gibt noch andere Attacke, die stattfinden können und wir haben zum Beispiel keine Verteidigung gegen den Service und da haben wir auch wieder teilweise Verteidigung gegen. Gibt es noch eine andere Frage? Wir fragen, was ist eure Meinung für Geschwindigkeit und Skalierbarkeit? Eine der größten Nachteile von Tor ist, dass es zu langsam um es auf einer täglichen Basis zu nutzen und es wäre wesentlich sicherer, wenn jeder es auf einer täglich nutzen könnte ohne die großen Nachteile. Das lässt mich über einige Dinge nachdenken, mit denen ich antworten könnte. Solche Netzwerke tendieren dazu nicht wirklich niedrige Latenzen zu haben und eher mittlere Latenzen aber wir denken, dass Mixnet-Netzwerke eigentlich sehr effizient sind für große Skalierung, mehr als Tor eigentlich insofern, als dass wir nicht das ganze Netzwerk mitskalieren müssen, sondern wir brauchen eigentlich nur genug Notes, um den Traffic zu behandeln. Im Moment haben wir zwei wichtige Operationen pro Sphinx-Faktiv und natürlich gibt es ein bisschen rechen Kraft overhead, aber allgemein skaliert es wesentlich sehr gut, bis in die Million. Und ja, es wird wahrscheinlich nicht geeignet sein für Videokonferenzen. Es wird nicht sehr hohe Bandbreiten erlauben. Vielleicht hohe Bandbreiten würden funktionieren für eine Weile, aber es wird kein System sein um in Echtzeit zu brausen und es gibt verschiedene Dinge runterzuladen oder es ist nicht gedacht, als Ersatz für Tor, was allgemein für TCP-Connections gedacht ist, wo man davon ausgeht, dass man in den ganzen Zeit eine andere wichtige Sache ist, dass Tor Ausgangsnotes hat und Mixnet-Netzwerke haben nicht wirklich Ausgangsnotes ins Rest des Internets. Wir machen die Web-Content für einen Nutzerempfang. Aber ja, wir kontrollieren das ganze Netzwerk und wir können... Ja, danke für diese Antworten. Haben wir jetzt Fragen aus dem Internet? Das ist nicht der Fall. Dann einen großen Applaus für diesen sehr interessanten Tor.