La identificación en el Internet se presenta de asociar un anfitrión particular a una conexión o a un mensaje. El recipiente puede determinar el origen del paquete entrante. Si solamente una persona está utilizando el anfitrión el originar, y no es la dirección spoofed, alguien podría conjeturar la identidad del remitente con un alto grado de exactitud.
Un anonymizer es un sitio que oculta los orígenes de conexiones. Funciona como es un serverthat del poder, él funciona a nombre de otra entidad. Un usuario conecta con el anonymizer y le dice la destinación. El anonymizer hace la conexión, así que el anfitrión de la destinación considera solamente el anonymizer. El anonymizer remite tráfico en ambas direcciones.
La destinación cree que se está comunicando con el anonymizer porque todo el tráfico tendrá la dirección de los anonymizer en él. Sin embargo, el anonymizer es simplemente un mediador y pasa simplemente la información entre la destinación y el origen.
Trabajo de Anonymizers sobre todo sobre correo electrónico y tráfico del HTTP, aunque los mismos principios se aplican a cualquier tipo de mensajes de red. En qué sigue, nos centramos en correo electrónico, porque los anonymizers del correo electrónico son conceptual simples y demuestran las técnicas usadas y las ediciones de la aislamiento que se presentan. La historia del anonymizer finlandés anon.penet.fi vale el contar de nuevo, porque era el primer anonymizer extensamente usado. Su fallecimiento precisa los problemas en anonymizers que usan y de funcionamientos.
EJEMPLO: El anfitrión anon.penet.fi ofreció un servicio de correo electrónico anónimo. Uno le enviaría una letra, nombrando otra destinación (un individuo o grupo de las noticias de USENET). El anonymizer pelaría los jefes, asignaría una identificación anónima (anon374, por ejemplo) a la letra, y registraría el remitente y la identificación anónima asociada en una base de datos. La letra entonces sería entregada a su destinación, como si el usuario anon374 en anon.penet.fi lo había enviado. Los recipientes no podrían decir el remitente original de la letra. Contestarían a la letra enviando la contestación a anon374 en anon.penet.fi. Esta letra sería anonymized de la misma manera que era la letra original anonymized, y después sería remitida a la dirección verdadera del correo electrónico que corresponde a anon374. |
Este intercambio no es verdad anónimo. Aunque los partidos del extremo no saben quiénes es, el anonymizer sabe quiénes son ambos.
Un remailer pseudo-ano'nimo (o pseudonymous) es un remailer que substituye las direcciones del correo electrónico que originan (y los datos asociados) de mensajes que recibe antes de que los remita, pero que guarda los mappings de las identidades anónimas y de los orígenes asociados.
El problema es que el atascamiento entre la dirección anónima y la dirección verdadera está sabido en alguna parte. Si ese punto se puede hacer para revelar la asociación, el anonimato deja de existir.
| EJEMPLO: La asociación entre la identificación anónima y la dirección del correo electrónico del remitente era anon.penet.fi's que deshacía. Un poco de material, demandado para copyrighted, fue circulado a través del sitio. Una corte finlandesa ordenó a dueño del sitio revelar la base de datos así que los demandantes podrían determinar la dirección del correo electrónico del remitente, de tal modo terminando el anonimato. Aunque el dueño abrogó la orden, él cerró posteriormente el sitio. |
La asociación puede ser obscurecida usando una secuencia de remailers pseudo-ano'nimos. Remontar el origen entonces requiere a perseguidores obtener la información de varios sitios. Pero la cadena debe existir si se van las contestaciones a ser enviadas de nuevo al remitente original. La eliminación de ese requisito permite anonimato verdadero.
Un remailer de Cypherpunk (o tipo 1) es un remailer que suprime el jefe de un mensaje entrante y transmite al resto su destinación.
Desemejante de un remailer pseudo-ano'nimo, no se guarda ningún expediente de la asociación entre la dirección que origina y la dirección del remailer. Así, uno no puede remontar el mensaje traz el nombre del usuario de los remailer a una dirección del correo electrónico.
Los remailers de Cypherpunk se utilizan típicamente en una cadena, y los mensajes enviados con ellos se codifican siempre.
Por ejemplo, Bob compone un mensaje a Alicia y después utiliza el PGP para codificarlo dos veces. El primer encipherment está para la destinación "remailer 2." El mensaje que resulta entonces se codifica para la entrega al remailer 1. Bob entonces envía el mensaje al remailer 1. Descifra el mensaje, ve que debe ser enviado al remailer 2, y lo remite. Remailer 2 recibe el mensaje, lo descifra, y transmite al mensaje Alicia. Porque no hay expediente de quién envió el mensaje al remailer 1, no puede ser atada de nuevo a la dirección del correo electrónico de Bob. Porque el remailer 2 recibió el mensaje del remailer 1, no puede asociar ninguna dirección verdadera del correo electrónico a la dirección de destinación (Alicia). Esto ilustra la razón de usar cadenas de los remailers de Cypherpunk. Era solamente un remailer usado, él podía asociar el remitente verdadero a los recipientes verdaderos. Aunque dos remailers, o cualquier número de remailers, podrían cooperar para hacer la misma cosa, tal cooperación es en la práctica muy difícil de alcanzar. Una vez más la aplicación la confianza en los remailers es central al éxito de los remailers de Cypherpunk.
Pero todavía hay una debilidad. Suponga que un atacante podría supervisar todo el tráfico entre la fuente y la destinación pero permanecían los remailers ellos mismos uncompromised. Entonces el atacante podía visión tráfico en y fuera de un remailer pero no podía ver la asociación del tráfico entrante con tráfico saliente. La meta del atacante sería reconstruir esta asociación.
Obviamente, la reconstrucción de esta asociación de mensajes del cleartext es simple: apenas compare los cuerpos de mensajes entrantes con los de mensajes de salida. El sobre para el remailer actual será suprimido; si no, los cuerpos serán iguales. Ésta es la razón de codificar todos los mensajes que pasan a través de un remailer de Cypherpunk. En la discusión siguiente, asumimos que todos tales mensajes están codificados. Los ataques todos implican análisis de tráfico.
Si un remailer remite inmediatamente un mensaje después de recibirlo, y antes de que llegue cualquier otro mensaje (o si el proceso está garantizado para ocurrir en la orden de la llegada), después el atacante puede determinar la asociación. Un acercamiento a obscurecer esto es llevar a cabo los mensajes para los intervalos al azar del tiempo; sin embargo, a menos que el intervalo sea mayor que el tiempo entre llegadas medio, retrasa no ayuda. (algunos remailers permiten que el remitente especifique la longitud del intervalo.)
Un segundo acercamiento es seleccionar al azar la orden del proceso de los mensajes entrantes; implícito en este acercamiento es retrasa para permitir tal reordenar. Remailers de Cypherpunk que hacen esta subsistencia una piscina de mensajes entrantes. No se envía ningunos mensajes hasta que la piscina contiene un número fijo, lo llaman n, de mensajes. Cuando llega el nth mensaje, uno de los mensajes en la piscina se selecciona y se envía. Esto protege las asociaciones contra ataques pasivos. Sin embargo, un atacante activo puede enviar bastantes mensajes al remailer para enviar todos los mensajes de n 1 en la piscina.
Un tercer acercamiento se ocupa de tamaño del mensaje. Mientras que un mensaje se mueve a través de su cadena de remailers, cada remailer pela un sobre exterior. Así, el tamaño del mensaje disminuye. El atacante puede utilizar esto registrando los tamaños de los mensajes que incorporan y que salen del remailer. Ningún mensaje de salida no se puede asociar a un mensaje de entrada de poco o del tamaño del igual. Además, el tamaño del sobre se puede estimar bien bastante para estimar cuánto se contraería el mensaje cerca, así eliminando asociaciones más posibles. Para limitar esta amenaza, algunos remailers permiten que los usuarios añadan la chatarra al mensaje y que manden al remailer para suprimirlo. Una vez más esto reduce tamaño del mensaje; no lo aumenta.
El ataque final es también activo. El atacante juega de nuevo los mensajes muchas veces al primer remailer, que los remite. El atacante supervisa el tráfico de salida y busca un topetón en la cantidad de tráfico del remailer que corresponde a los mensajes enviados en el remailer. Esto asocia la trayectoria de salida a la trayectoria de entrada. Para prevenir este ataque, los remailers no pueden remitir el mismo mensaje más de una vez.
Un segundo tipo de remailer no sufre de estos problemas.
Un Mixmaster (o tipo el remailer de 2) es un remailer de Cypherpunk que maneja solamente mensajes codificados y que hacen fragmentos los cojines o de mensajes a un tamaño fijo antes de enviarlos.
Esto obstaculiza los ataques descritos arriba. El contenido de los mensajes entrantes y de salida no puede ser emparejado, porque se codifica todo. El análisis de tráfico basado en tamaño no es posible, porque todos los mensajes (entrantes y salientes) están del mismo tamaño. Todos los mensajes se numeran únicamente, así que juegue de nuevo los ataques no son posible. Los fragmentos del mensaje no se vuelven a montar hasta que el mensaje alcanza el remailer pasado en la cadena, así que reordenando ataques sea más difícil. El software especial se utiliza para construir los mensajes, mientras que los remailers de Cypherpunk pueden aceptar los mensajes construidos a mano.
En la práctica, los mensajes enviados con los remailers de Mixmaster son untraceable a menos que se comprometan los remailers ellos mismos. En ese caso, uno podía seguir las identificaciones del paquete y del mensaje y hacer asociaciones según lo deseado. El punto es que el anonimato asume que los remailers se pueden confiar en para no divulgar asociaciones. La técnica de Mixmaster reduce al mínimo la amenaza de remailers comprometidos, porque todos los remailers deben seguir origen, el paquete, y las identificaciones del mensaje, y el remailer final debe también seguir la dirección de destinación, el paquete, y las identificaciones del mensaje para que el remitente sea asociado a un mensaje recibido. Esta técnica no es a toda prueba; si solamente un mensaje se envía sobre la red, un atacante puede determinar fácilmente el remitente y el receptor, por ejemplo. Pero agrega substancialmente a la dificultad de emparejar una letra anónima a un remitente.
El remailer BABEL de Mixmaster agrega la capacidad de contestar sin saber la identidad, o aún la dirección real del E-mail, del remitente.
El anonimato proporciona un protector para proteger a gente contra tener que asociar sus identidades a un ciertos datos. ¿Es esto deseable?
La manera más fácil de contestar a esto es preguntar cuáles es el propósito del anonimato. El anonimato es energía, porque permite que una haga declaraciones sin el miedo de represalias. Uno puede incluso negar el hacer de las declaraciones cuando está preguntado, y con anonimato verdadero, la negación no puede ser refutada.
El anonimato permite que uno forme el curso del discusión implícitamente. Alexander Hamilton, James Madison, y el jay de Juan utilizaron deliberadamente el "Publius conocido" para ocultar su profesión de escritor de los papeles del federalista. Aparte de ocultar la identidad de los autores, el seudónimo de "Publius" fue elegido porque el Publius romano fue visto como gobernador modelo. El seudónimo implicó que los autores estaban parados para la filosofía y la legislación políticas responsables. La discusión de los papeles del federalista se centró en su contenido, no en las personalidades de sus autores.
El anonimato no prohibe a whistleblowers la protección considerable. Los que critican los powerholders caen a menudo en la desaprobación, incluso cuando su crítica es válida, y los powerholders toman la acción. Galileo promulgó la teoría que la tierra circunda el sol y fue traído antes de la inquisición [415]. Los sobrantes de coste expuestos Fitzgerald de Ernest en el aeroplano de la fuerza aérea C-54 de ESTADOS UNIDOS y fueron quitados de su posición. Después de varias victorias de la corte, lo reinstalaron. Ponga en contraste esto con las fuentes anónimas que hablaron con Bernstein y Woodward durante el escándalo de Watergate. Los reporteros combinaron esas fuentes anónimas (especialmente una llamada "garganta profunda") con los expedientes públicos para destapar un patrón de la actividad que condujo en última instancia a las cargas de la acusación contra presidente Richard Nixon, su dimisión, y acusaciones y convicciones criminales de muchos oficiales del gobierno. Ninguna acción no se podría tomar contra las fuentes, porque sus identidades eran desconocidas (y, en fecha esta escritura, la identidad de la "garganta profunda" no se ha revelado).
Si son éstos las ventajas o las desventajas dependen encendido si uno es el powerholder debajo de ataque o de la persona que ataca el powerholder. En muchas sociedades, la cuestión de la autoridad se considera deseable y beneficiosa a la sociedad, y en tales casos la necesidad del anonimato compensa los problemas, especialmente cuando los powerholders pulsarán detrás en los críticos. En otras sociedades, confían en los que llevan a cabo energía se consideran para ser experimentada y bien informado y para actuar en los mejores intereses de la sociedad. En esas sociedades, la crítica anónima sería considerada desestabilización y hostil a los mejores intereses de la orden social. El lector debe decidir cómo el anonimato afecta a sociedad de quien él o ella es una parte.
Apenas pues el anonimato es una herramienta con la cual los powerholders pueden ser atacados, los powerholders pueden utilizarla para atacar ésos que consideran para ser adversarios. El libro de Franz Kafka el ensayo, que describe un ensayo en el cual acusado no conozca a los jueces (anónimos), se considera una obra maestra de la literatura existencial. Sin embargo, como los disidentes en muchos países han encontrado, los jueces anónimos no son siempre ficticios. En los Estados Unidos durante el período cuando Martin sacudimiento llevado a cabo McCarthy muere y de José, el accusers anónimo costó a mucha gente sus sustentos, y en algunos casos sus vidas.
El anonimato también protege aislamiento. De esta perspectiva, como nos movemos a través de una sociedad, partes de esa información del frunce de la sociedad sobre nosotros. Los almacenes de la tienda de comestibles pueden registrar lo que compramos, las librerías pueden registrar qué libros compramos, y las bibliotecas pueden registrar qué libros leemos. Individualmente, cada dato se parece poco importante, pero cuando se correlacionan los datos, las conclusiones que pueden ser exhaustas son espantosamente completas. Las oficinas de crédito hacen esto a un grado ya, obteniendo la información de una variedad de fuentes del crédito y uniéndolas en un solo informe de crédito que incluya renta, préstamos, y cuentas de crédito que gira tales como tarjetas de crédito.
Esto plantea tres riesgos a los individuos. Primer, las conclusiones incorrectas pueden venir de los datos interpretados incorrectamente. Por ejemplo, suponga que uno visita los sitios del Web que buscan la información sobre un narcótico proscrita. Una conclusión es que el individuo está buscando la información sobre la fabricación o la obtención de tal droga para los propósitos ilícitos, pero esta conclusión podría ser incorrecta. El individuo podría ser un estudiante de la High School secundaria asignado para escribir un informe en las drogas peligrosas. El individuo podía ser una información que buscaba del doctor sobre los efectos del uso de la droga, para tratar a un paciente. O el individuo podría simplemente ser curioso. Hay información escasa para dibujar cualesquiera de estas conclusiones.
En segundo lugar, la información errónea puede causar gran daño. Los mejores ejemplos de esto son los casos cada vez más comunes del "hurto de la identidad," en cuáles personifica una persona a otra, usando una licencia de conductor falsificado, una tarjeta de la Seguridad Social, o un pasaporte de obtener crédito en nombre de otra persona. El crédito que divulga las agencias unirá la información bajo expedientes de la persona verdadera, y cuando el ladrón omite, la víctima tendrá que despejarse.
Tercero, la derecha a la aislamiento inherente en muchas sociedades incluye qué Warren y Brandeis llamó el "derecho a ser dejó el alonethe más comprensivo de las derechas y de la derecha valorada más por los hombres civilizados". El anonimato sirve mientras que un protector detrás de el cual uno pueda ir sobre su negocio y estar dejó solamente. Ninguna central, o distribuido, autoridad puede atar la información obtenida sobre una entidad anónima de nuevo a un individuo. Sin la derecha al anonimato, la protección de su aislamiento llega a ser problemática. Stalkers puede localizar la gente y harrass ellos; de hecho, en un caso un stalker asesinó a actriz. En el Web, uno puede tener que aceptar las galletas que se pueden utilizar para construir un perfil del visitante. Las organizaciones que utilizan las galletas para este propósito adoptan generalmente un acercamiento "OPT-HACIA fuera", en el cual un usuario debe solicitar que no se recopile ninguna información, más bien que "OPT-EN" el acercamiento, en el cual un usuario debe expreso dar el permiso para que la información sea recolectada. Si el usuario es anónimo, ningún perfil significativo no puede ser construido. Además, la información recopilada no se puede emparejar con la información en expedientes del crédito y otros bancos de datos. La capacidad de evitar que otros recopilen la información sobre usted sin su consentimiento es un ejemplo de la derecha a la aislamiento.
El anonimato para la protección personal tiene sus desventajas, también. El panopticon de Jeremy Bentham introdujo la noción de la supervisión perpetua y completa para prevenir crimen y para proteger a ciudadanos. La idea de que los gobiernos puedan detectar crímenes como suceden e intervienen, o establecen que un crimen ha estado confiado y el acto prende los autores, es atractiva debido a el sentido de la seguridad que da a ciudadanos. Pero muchos, incluyendo los padres de fundación de los Estados Unidos, miraron esto como precio demasiado alto que se pagará. Como Benjamin Franklin escribió, "que pueden dar para arriba libertad esencial para obtener una poca seguridad temporal merecen ni libertad ni seguridad".
Quizás la única conclusión una puede dibujar es que, como todos los freedoms y todas las energías, el anonimato se puede utilizar para bueno o para el mal. La derecha de seguir siendo anónima exige una responsabilidad de utilizar eso derecho sabiamente.
Online: 723 users browsing the articles directory
|
|