Dit artikel verscheen eerder in het magazine Informatiebeveiliging van het Genootschap van Informatiebeveiligers en valt onder de Creative Common licentie.

Door: Chris Beek en Maarten Hartsuijker. De auteurs zijn werkzaam als security consultant bij Getronics PinkRoccade.

Gedurende een lange introductie periode was internet het uitgelezen medium om te gebruiken om anoniem te communiceren. Haar landovergrenzende karakter maakt regulering ingewikkeld en overheden krijgen/kregen moeilijk grip op deze nieuwe communicatiemethode. Geen wonder dat informatie die in de regulieren samenleving moeilijk verkrijgbaar is, via internet bekendheid geniet als nooit tevoren. (kinder)pornografie, .... en de edities 1 t/m 10 van hoe maak ik een bom voor dummies zijn vrij toegankelijk voor iedereen die hierin is geïnteresseerd. De kans om gepakt te worden voor bedreiging, chantage, beroving of het voorbereiden van het plannen van aanslagen is door internet in te zetten enorm afgenomen. Hoog tijd dus voor de overheid om het digitale onderzoek te ondersteunen door van iedereen bij te houden wat hij of zij uitvoert op internet.

Onlangs is door de Europese Commissie een richtlijn voor de bewaarplicht van verkeersgegevens aangenomen. Internet aanbieders worden verplicht gesteld diverse verkeersgegevens van hun abonnees op te slaan en minimaal 6 maanden en maximaal 2 jaar te bewaren. De opslag zou noodzakelijk zijn ter bestrijding van terrorisme en zware criminaliteit. Door te onderzoeken wie met wie communiceert, kunnen verbanden worden getrokken die ondersteunen bij het oplossen van criminaliteit. Het succesvol inzetten van de opgeslagen gegevens is uiteraard grotendeels afhankelijk van de mate waarin er een complete gegevensset wordt opgebouwd. Een vraag die een belangrijke rol speelt in het bepalen van de effectiviteit van de bewaarplicht is: hoe eenvoudig is het om te voorkomen dat inzichtelijk wordt met welke partij jij communiceert?

Om te kunnen communiceren op internet dien je in het bezit te zijn van een digitale identiteit. Belangrijke digitale identiteiten zijn ons emailadres, instant messaging account en IP-adres. De eerste twee identiteiten zijn uniek, maar tevens vrij eenvoudig te vervangen en plaatsonafhankelijk. Het verbergen van je identiteit achter een vals emailadres is daardoor zo eenvoudig als het aanmaken van een nieuw adres bij een provider als Hotmail, waarbij je niemand laat weten dat dit adres jouw eigendom is. De gemiddelde internetgebruiker zal dit adres vervolgens niet aan jou kunnen koppelen. Op het moment dat je dit adres echter misbruikt voor criminele activiteiten, kan een overheid de service provider wel verzoeken de identiteit achter het IP-adres dat gebruik maakt van dit adres vrij te geven. Om anoniem te blijven is het dus van belang dat het aan jou gekoppelde IP-adres niet te herleiden is naar in dit geval de emailcommunicatie. Hiervoor kan een proxyserver worden ingezet. Een goede anonieme proxyserver, vervangt je digitale identiteit volledig door die van de server zelf.

De verbinding met de proxyserver is echter over het algemeen niet versleuteld, waardoor het mogelijk blijft om deze verbinding af te tappen en alsnog de inhoud van de verbinding vast te leggen en te koppelen aan het originele IP-adres. Een beveiligde verbinding met de proxyserver is hierdoor een eis om anonimiteit te kunnen garanderen. De makers van Tor hebben deze eisen verenigd en een gebruikersvriendelijk programma ontwikkelt dat meerdere proxyservers koppelt en de communicatie tussen de gebruiker en de proxyservers beveiligt. Hierdoor blijft het voor elke internetgebruiker eenvoudig om zijn privacy te beschermen en anoniem gebruik te maken van internet.

Onion Routing
De applicatie Tor is gebaseerd op het concept van zogenaamd “Onion Routing(OR)”. Het doel van OR is de privacy van de afzender en de ontvanger van een bericht te beschermen, waarbij ook de inhoud van het bericht wordt beschermd aangezien deze ook over het netwerk gaat. OR verwezenlijkt dit volgens het principe van “Mix Cascades van dhr Chaum: de berichten worden van source naar destination gestuurd via een serie proxy servers ("uirouters"), die de berichten zo her-routeren dat er een onvoorspelbaar pad wordt gevolgd. Om te voorkomen dat kwaadwillenden(overheid?) de berichtinhoud kunnen afluisteren af, worden de berichten gecodeerd tussen routers. Het voordeel van OR is dat het niet noodzakelijk is om elke samenwerkende router te vertrouwen; als één of meer routers worden gecompromitteerd, kan alsnog de anonieme communicatie plaatsvinden.
Dit is toe te schrijven aan het feit dat elke router in het OR netwerk berichten goedkeurt, hen hercodeert en aan een andere router van het OR netwerk doorstuurt.

Is OR echt het ei van Columbus op het gebied van perfecte source/destination anonimiteit?
Niet volledig. Ondanks de grote mate van bescherming tegen source/destination bepaling van een bericht, blijft het mogelijk lokaal verkeer te onderscheppen en vast te stellen of er een bericht wordt verzonden. Daarnaast kan de anonimiteit gecompromitteerd worden op het moment dat er een substantieel aantal gecompromitteerde routers onderdeel gaan uit maken van het anonimisatienetwerk. Verder is het ook van belang dat gebruikers aanvullende maatregelen treffen om http-verzoeken te ontdoen van java-applets en andere actieve objecten die lokale IP-gegevens zouden kunnen opvragen.

De in dit artikel besproken applicatie “Tor” is een nieuwe generatie Onion Routing applicatie. Het maakt gebruik van zgn. telescoping circuits, die in en uit elkaar “schuiven” gedurende het proces. Daarnaast wordt “Perfect Forward Secrecy” (PFS) ingezet. PFS is een van de properties van een authenticated “key-agreement” protocol dat ervoor zorgt dat er geen informatie wordt prijsgegeven over eerder gegenereerd langdurig sleutelmateriaal dat op zijn beurt gebruikt wordt voor kortstondig afgesproken sleutels. Ook eerder overeengekomen sleutels die tijdens het versturen zijn gebruikt worden door PFS beschermd.

Andere kenmerken van Tor zijn:

• Lage latency;
  
• Werkt op TCP Transportlaag;
  
• Kan voor elke applicatie met Socks support worden gebruikt;
  
• Maakt gebruik van Directory servers;
  
• End-to-end integriteitscontrole;
  
• Maakt gebruik van het .onion domein binnen het Tor-netwerk.

Deze “rendez-vous” punten zijn te herkennen aan hun unieke id dat gedurende het aanmeldproces op het Tor netwerk wordt aangemaakt. Het id bestaat uit 16 karakters van A-Z en de cijfers 2-7 gevolgd door het .onion domeinnaam. Een voorbeeld hiervan is: http://6sxoyfb3h2nvok2d.onion/, de zogenaamde “hidden” Wiki voor Tor. Het id wordt berekend door de eerste 8 karakters van de SHA1 hash van de DER gecodeerde ASN.1 public key naar base32 te coderen. De extentie .onion geeft aan dat de naam thuishoort binnen het Tor-netwerk.,Hoe werkt Tor?
Om te illustreren hoe Tor werkt en wat er zoal lokaal op de computer gebeurt, gebruiken we een voorbeeld. Anita heeft de benodigde software gedownload vanaf de website. De installatieprocedure stelt geen configuratievragen, en plaatst de applicatie en de documentatie op de aangegeven plek.

Zodra Anita de applicatie opstart gebeurt het navolgende:



De Tor applicatie op Anita’s computer opent controle poort 9051. Daarnaast wordt de SOCKS-proxy gestart op poort 9050. Indien tevens Privoxy is geïnstalleerd, zal deze applicatie zichzelf als HTTP-proxy hechten aan poort 8118. Elk programma dat SOCKS ondersteunt, kan gebruik maken van Tor. Via Privoxy is het ook mogelijk om programma’s die enkel HTTP-proxies ondersteunen te koppelen aan Tor. Een bijkomend voordeel bij het gebruik van Privoxy is de mogelijkheid om ongewenste Java of Active-X componenten tegen te houden. Deze zouden immers de anonimiteit kunnen compromitteren.

De volgende stap in het proces is het benaderen van de directorieserver. Deze server voorziet Tor van het meest recente overzicht van Tor-nodes. Met de lijst van actieve nodes bepaalt Tor vervolgens dynamisch het netwerkpad dat gevolgd zal worden voor het benaderen van de website van Johnny.

Het verzoek dat Anita wil doorgeven aan Johnny, wordt drie keer versleuteld. Alleen Anita, de laatste Tor-server en Johnny kunnen dit verzoek ongeëncrypt lezen. De eerste Tor-node ontvangt enkel het geëncrypte verzoek van Anita. Het uitpakken van dit verzoek resulteert in een nieuw geëncrypt verzoek én het IP-adres van node 2. Op het moment dat de tweede node zijn geëncrypte verzoek ontvangt en uitpakt, is hij enkel in het bezit van de identiteit van node 1, node 3 en een voor hem onleesbaar verzoek dat enkel door node 3 is te ontsleutelen. Node 3 geeft na het ontsleutelen het weer leesbare verzoek door aan Johnny, maar heeft geen idee wie de bron van het verzoek is. Zijn enkele instructie is om het antwoord in te pakken en aan te leveren aan node 2 (waarna het antwoord zijn weg op de zelfde wijze terugvindt naar Anita).



Verzoeken die binnen een minuut na elkaar zijn opgezet, hergebruiken het initieel opgezette TOR-pad. Na het verstrijken van deze minuut wordt elk verzoek via een nieuw circuit opgezet om zo te voorkomen dat er verbanden kunnen worden gelegd die mogelijk de privacy van de gebruiker kunnen schaden.

Om te kunnen communiceren maakt Tor hoofdzakelijk gebruik van de poorten 80, 443, 9001 en 9030. Binnen gefirewallde omgevingen is het ook mogelijk alleen de standaardpoorten 80 en 443 te gebruiken. Tor past zichzelf hier automatisch op aan.
De standaard Tor configuratie zal bij het opzetten van verbindingen via het Tor-netwerk, standaard gebruik blijven maken van de lokale DNS-omgeving. Hierdoor blijft het mogelijk om aan de hand van de DNS-verzoeken te zien dat Anita wil communiceren met Johnny. Vanzelfsprekend is dit geen gewenste situatie. Door TorDNS in te zetten is het mogelijk tevens dit onderdeel van de communicatie te anonimiseren.

Bij de anonimiteit die het Tor netwerk een gebruiker biedt, speelt ook het aantal Tor-gebruikers en nodes een belangrijke rol. Als er slechts één gebruiker is die het netwerk inzet voor zijn verbindingen, is het door het op grote schaal onderscheppen van internetverkeer nog steeds mogelijk om het pad van de gebruiker door het Tor netwerk te volgen. Er is immers slechts één pakket dat zijn weg zoekt van een verzender naar een ontvanger en dat maakt het eenvoudig om vast te stellen dat deze twee partijen met elkaar communiceren. Als er enkele gebruikers het Tor netwerk inzetten voor hun communicatie, wordt het volgen van pakketten moeilijker. Maar aangezien een gebruiker bij het opzetten van een verbinding snel antwoord verwacht, blijft het mogelijk om aan de hand van de tijdstempels die bij de verschillende netwerkpakketten horen, redelijk nauwkeurig te schatten welk pakket bij welke gebruiker hoort. Dit wordt moeilijker zodra er veel Tor-gebruikers zijn. De tijdstempels van de verschillende pakketten komen op dat moment zo dicht bij elkaar te liggen, dat er bij het de-anonimiseren een steeds grotere onzekerheid zal ontstaan. Om Tor echt tot een succes te maken is de groei van het netwerk dus essentieel.

Dat de makers hierin slagen is te zien in de grafiek, waar de groei van het aantal nodes is weergeven. In april 2006 krijgen deze nodes ongeveer 50MB per seconde te verwerken en is de capaciteit aanwezig om ruim het dubbele te verwerken. Alleen al in de eerste 4 maanden van dit jaar heeft Tor de omvang van zijn OR-netwerk weten te verdubbelen dankzij een brede groep gebruikers die in het concept geloven.

De makers van Tor geven op hun website aan dat de gebruikerspopulatie inmiddels zeer veelzijdig is. Journalisten gebruiken het platform om op een veilige manier contact te onderhouden met klokkenluiders, onderdelen van diverse Amerikaanse overheidsinstanties zetten Tor in om op een anonieme manier gegevens te verzamelen en bedrijven met internationale vestiging in risicolanden zorgen er middels het programma voor dat communicatie vertrouwelijk en anoniem het land verlaat.

In de inleiding van dit artikel vroegen we ons af hoe effectief de bewaarplicht van verkeersgegevens zal zijn. We concludeerden dat de verkeersgegevens succesvol kunnen worden ingezet voor opsporingsdoeleinden op het moment dat internetgebruikers niet kunnen verbergen met welke partij ze kunnen communiceren. Tor zorgt ervoor dat anonieme internetcommunicatie net zo eenvoudig wordt als het installeren van een computerspelletje. Dit maakt het programma een zeer waardevolle aanwinst voor partijen die willen voorkomen dat Internet Service Providers of overheden kun internetgebruik volgen. Helaas bevat deze doelgroep naast journalisten, overheden en gebruikers die prijs stellen op hun privacy uiteraard ook de partijen waarvoor de EU de bewaarplicht van verkeersgegevens in de wet heeft vastgelegd. De kans is daardoor zeer groot dat een duur datawarehouse met verkeersgegevens hierdoor voor het opsporingsapparaat hoofdzakelijk waarde heeft voor recherchewerk die betrekking heeft op slecht georganiseerde groepen of individuen zonder enige kennis van de mogelijkheden die internet biedt. Uiteraard is dit niet de doelgroep waarvoor de wetgeving wordt aangepast.