.
L'identification sur l'Internet résulte d'associer un centre serveur particulier à un raccordement ou à un message. Le destinataire peut déterminer l'origine du paquet entrant. Si seulement une personne utilise le centre serveur de commencement, et l'adresse n'est pas charriée, quelqu'un pourrait deviner l'identité de l'expéditeur avec un degré élevé d'exactitude.
Un anonymizer est un emplacement qui cache les origines des raccordements. Il fonctionne pendant qu'un serverthat de procuration est, il fonctionne au nom d'une autre entité. Un utilisateur se relie à l'anonymizer et lui dit la destination. L'anonymizer établit le rapport, ainsi l'hôte de destination voit seulement l'anonymizer. L'anonymizer expédie le trafic dans les deux directions.
La destination croit qu'elle communique avec l'anonymizer parce que tout le trafic aura l'adresse des anonymizer dans lui. Cependant, l'anonymizer est simplement un intermédiaire et passe simplement l'information entre la destination et l'origine.
Travail d'Anonymizers principalement sur le courrier électronique et le trafic de HTTP, bien que les mêmes principes s'appliquent à n'importe quel type de messages de réseau. Dans ce qui suit, nous nous concentrons sur le courrier électronique, parce que les anonymizers de courrier électronique sont conceptuellement simples et démontrent les techniques utilisées et les issues d'intimité qui surgissent. L'histoire de l'anonymizer finlandais anon.penet.fi vaut la peine le racontage, parce que c'était le premier anonymizer largement répandu. Sa cession précise les problèmes dans des anonymizers employants et fonctionnants.
| EXEMPLE : Le centre serveur anon.penet.fi a offert un service de courrier électronique anonyme. On lui enverrait une lettre, appelant une autre destination (un individu ou un groupe de nouvelles Usenet). L'anonymizer décollerait les en-têtes, assignerait une identification anonyme (anon374, par exemple) à la lettre, et enregistrerait l'expéditeur et l'identification anonyme associée dans une base de données. La lettre serait alors fournie à sa destination, comme si l'utilisateur anon374 à anon.penet.fi l'avait envoyé. Les destinataires ne pourraient pas dire l'expéditeur original de la lettre. Ils répondraient à la lettre en envoyant la réponse à anon374 à anon.penet.fi. Cette lettre serait anonymized de la même manière la lettre originale était anonymized, et serait puis expédiée à la vraie adresse de courrier électronique correspondant à anon374. |
Cet échange n'est pas vraiment anonyme. Quoique les parties d'extrémité ne sachent pas qui sont, l'anonymizer sait qui tous les deux sont.
Un remailer pseudo-anonyme (ou pseudonyme) est un remailer qui remplace les adresses de commencement de courrier électronique (et des données associées) des messages qu'il reçoit avant qu'il les expédie, mais garde des tracés des identités anonymes et des origines associées.
Le problème est que l'attache entre l'adresse anonyme et la vraie adresse est connue quelque part. Si cette remarque peut être faite pour indiquer l'association, l'anonymat cesse d'exister.
| EXEMPLE : L'association entre l'identification anonyme et l'adresse de courrier électronique de l'expéditeur était anon.penet.fi's défaisant. Un certain matériel, prétendu être garanti les droits d'auteur, a été distribué par l'emplacement. Une cour finlandaise a dirigé le propriétaire de l'emplacement indiquer la base de données ainsi les plaignants pourraient déterminer l'adresse de courrier électronique de l'expéditeur, finissant de ce fait l'anonymat. Bien que le propriétaire ait en appelé à l'ordre, il a plus tard arrêté l'emplacement. |
L'association peut être obscurcie en employant un ordre des remailers pseudo-anonymes. Tracer l'origine exige alors des traqueurs d'obtenir l'information de plusieurs emplacements. Mais la chaîne doit exister si des réponses doivent être envoyées de nouveau à l'expéditeur original. L'élimination de cette condition permet l'anonymat vrai.
Un remailer de Cypherpunk (ou type 1) est un remailer qui supprime l'en-tête d'un message entrant et fait suivre au reste sa destination.
À la différence d'un remailer pseudo-anonyme, aucun disque de l'association entre l'adresse de commencement et l'adresse de remailer n'est gardé. Ainsi, on ne peut pas tracer le message en traçant le nom de l'utilisateur des remailer à une adresse de courrier électronique.
Des remailers de Cypherpunk sont typiquement employés dans une chaîne, et des messages envoyés par eux sont toujours chiffrés.
Par exemple, Bob compose un message à Alice et puis emploie le PGP pour le chiffrer deux fois. Le premier chiffrement est pour la destination le "remailer 2." Le message résultant est alors chiffré pour la livraison au remailer 1. Bob expédie alors le message au remailer 1. Il déchiffre le message, voit qu'il doit être envoyé au remailer 2, et l'expédie. Remailer 2 reçoit le message, le déchiffre, et fait suivre au message Alice. Puisqu'il n'y a aucun disque de qui a envoyé le message au remailer 1, il ne peut pas être attaché de nouveau à l'adresse du courrier électronique de Bob. Puisque le remailer 2 a reçu le message du remailer 1, il ne peut associer aucune vraie adresse de courrier électronique à l'adresse de destination (Alice). Ceci illustre la raison pour l'usage des chaînes des remailers de Cypherpunk. Étaient seulement un remailer utilisé, il a pu associer le vrai expéditeur aux vrais destinataires. Bien que deux remailers, ou tout nombre de remailers, pourraient coopérer à faire la même chose, dans la pratique il est très difficile réaliser une telle coopération. Encore, la question de la confiance dans les remailers est centrale au succès des remailers de Cypherpunk.
Mais il y a toujours une faiblesse. Supposez que un attaquant pourrait surveiller tout le trafic entre la source et la destination mais les remailers eux-mêmes sont restés uncompromised. Alors l'attaquant a pu regarder le trafic dans et hors d'un remailer mais n'a pas pu voir l'association du trafic entrant avec le trafic sortant. Le but de l'attaquant serait de reconstruire cette association.
Évidemment, la reconstruction de cette association des messages de texte en clair est simple : comparez juste les corps des messages entrants à ceux des messages à diffuser. L'enveloppe pour le remailer courant sera supprimée ; autrement, les corps seront identiques. C'est la raison de chiffrer tous les messages passant par un remailer de Cypherpunk. Dans la discussion suivante, nous supposons que tous tels messages sont chiffrés. Toutes les attaques impliquent l'analyse de trafic.
Si un remailer expédie immédiatement un message après réception de lui, et avant que n'importe quel autre message arrive (ou si le traitement est garanti pour se produire par ordre d'arrivée), alors l'attaquant peut déterminer l'association. Une approche à obscurcir ceci est de tenir des messages pour des intervalles aléatoires de temps ; cependant, à moins que l'intervalle soit plus grand que le temps entre arrivées moyen, le retarder n'aide pas. (quelques remailers permettent à l'expéditeur d'indiquer la longueur de l'intervalle.)
Une deuxième approche est de randomiser l'ordre du traitement des messages entrants ; implicite dans cette approche est un retarder pour permettre un tel commander à nouveau. Remailers de Cypherpunk qui font cette subsistance une piscine des messages entrants. Aucun message n'est envoyé jusqu'à ce que la piscine contienne un nombre fixe, l'appelle n, des messages. Quand le nième message arrive, un des messages dans la piscine est choisi et envoyé. Ceci protège les associations contre des attaques passives. Cependant, un attaquant actif peut envoyer assez de messages au remailer de sorte que tous les messages de n 1 dans la piscine soient envoyés.
Une troisième approche traite la taille de message. Pendant qu'un message se déplace par sa chaîne des remailers, chaque remailer décolle une enveloppe extérieure. Ainsi, la taille du message diminue. L'attaquant peut employer ceci en enregistrant les tailles des messages écrivant et partant du remailer. Aucun message en partance ne peut être associé à un message d'arrivée de peu d'ou de taille d'égale. En outre, on peut estimer que la taille de l'enveloppe assez bien estime combien le message rétrécirait près, de ce fait éliminant des associations plus possibles. Pour limiter cette menace, quelques remailers permettent à des utilisateurs d'apposer l'ordure au message et de demander au remailer pour le supprimer. Encore, ceci réduit la taille de message ; il ne l'augmente pas.
L'attaque finale est également en activité. L'attaquant rejoue les messages beaucoup de fois au premier remailer, qui les expédie. L'attaquant surveille le trafic en partance et recherche une bosse dans la quantité du trafic du remailer correspondant aux messages envoyés dans le remailer. Ceci associe le chemin en partance au chemin d'arrivée. Pour empêcher cette attaque, les remailers ne peuvent pas expédier le même message plus d'une fois.
Un deuxième type de remailer ne souffre pas de ces problèmes.
Un Mixmaster (ou type le remailer de 2) est un remailer de Cypherpunk qui manipule seulement les messages chiffrés et qui les garnitures ou réduit des messages en fragments à une taille fixe avant de les envoyer.
Ceci gêne les attaques décrites ci-dessus. Les teneurs des messages à diffuser entrants et ne peuvent pas être assorties, parce que tout est chiffré. L'analyse de trafic basée sur la taille n'est pas possible, parce que tous les messages (entrants et sortants) sont de la même taille. Tous les messages sont uniquement numérotés, ainsi rejouez les attaques ne sont pas possibles. Des fragments de message ne sont pas rassemblés jusqu'à ce que le message atteigne le dernier remailer dans la chaîne, ainsi en commandant à nouveau des attaques soyez plus difficile. Le logiciel spécial est employé pour construire les messages, tandis que les remailers de Cypherpunk peuvent accepter des messages construits à la main.
Dans la pratique, les messages envoyés par des remailers de Mixmaster sont introuvables à moins que les remailers eux-mêmes soient compromis. Dans ce cas, on a pu dépister des identifications de paquet et de message et faire des associations comme désirées. Le point est que l'anonymat suppose que les remailers peuvent être faits confiance pour ne pas révéler des associations. La technique de Mixmaster réduit au minimum la menace des remailers compromis, parce que tous les remailers doivent dépister l'origine, le paquet, et les identifications de message, et le remailer final doit également dépister l'adresse de destination, le paquet, et les identifications de message pour que l'expéditeur soit associé à un message reçu. Cette technique n'est pas indéréglable ; si seulement un message est envoyé au-dessus du réseau, un attaquant peut facilement déterminer l'expéditeur et le récepteur, par exemple. Mais il ajoute sensiblement à la difficulté d'assortir une lettre anonyme à un expéditeur.
Le remailer BABEL de Mixmaster ajoute la capacité de répondre sans savoir l'identité, ou même l'adresse réelle de E-mail, de l'expéditeur.
L'anonymat fournit un bouclier pour protéger des personnes contre devoir associer leurs identités à quelques données. Est-ce que c'est souhaitable ?
La manière la plus facile de répondre à ceci est de demander ce qu'est le but de l'anonymat. L'anonymat est puissance, parce qu'il permet à on de faire des rapports sans crainte des représailles. On peut même nier pour avoir fait les rapports une fois interrogé, et avec l'anonymat vrai, le démenti ne peut pas être réfuté.
L'anonymat permet à on de former le cours de la discussion implicitement. Alexandre Hamilton, James Madison, et geai de John avaient l'habitude délibérément le "Publius" nommé pour cacher leur profession d'auteur des papiers de fédéraliste. Hormis cacher l'identité des auteurs, le pseudonyme d'"Publius" a été choisi parce que le Publius romain a été vu comme gouverneur modèle. Le pseudonyme a impliqué que les auteurs ont représenté la philosophie et la législation politiques responsables. La discussion des papiers de fédéraliste s'est concentrée sur leur contenu, pas sur les personnalités de leurs auteurs.
L'anonymat permet à des whistleblowers la protection considérable. Ceux qui critiquent les powerholders tombent souvent dans la défaveur, même lorsque leur critique est valide, et les powerholders agissent. Galilée a promulgué la théorie que la terre entoure le soleil et a été apporté avant la recherche [415]. Ernest Fitzgerald a exposé des dépassements de coût sur l'avion de l'Armée de l'Air C-54 des ETATS-UNIS et a été enlevé de sa position. Après plusieurs victoires de cour, il a été rétabli. Contrastez ceci avec les sources anonymes qui ont parlé avec Bernstein et Woodward pendant le scandale de Watergate. Les journalistes ont combiné ces sources anonymes (particulièrement une appelée "la gorge profonde") avec les disques publics pour découvrir un modèle d'activité qui a finalement mené aux frais d'accusation contre le Président Richard Nixon, sa démission, et actes d'accusation et convictions criminels de beaucoup de fonctionnaires de gouvernement. Aucune mesure ne pourrait être prise contre les sources, parce que leurs identités étaient inconnues (et, en date de cette écriture, l'identité "de la gorge profonde" n'a pas été indiqué).
Si ceux-ci sont les avantages ou les inconvénients dépend de si on est le powerholder sous l'attaque ou la personne attaquant le powerholder. Dans beaucoup de sociétés, l'interrogation de l'autorité est considérée souhaitable et salutaire à la société, et dans ces cas-ci le besoin d'anonymat est supérieur aux problèmes, particulièrement quand les powerholders frapperont en arrière aux critiques. Dans d'autres sociétés, ceux qui tiennent la puissance sont considérés plus éprouvés et bien informé et sont faits confiance pour agir dans les meilleurs intérêts de la société. Dans ces sociétés, la critique anonyme serait considérée déstabilisation et hostile aux meilleurs intérêts de l'ordre social. Le lecteur doit décider comment l'anonymat affecte la société dont lui ou elle est une partie.
Juste comme l'anonymat est un outil avec lequel des powerholders peuvent être attaqués, les powerholders peuvent l'employer pour attaquer ceux qu'ils considèrent des adversaires. Le livre de Franz Kafka l'épreuve, qui décrit une épreuve dans laquelle accusé ne connaît pas les juges (anonymes), est considéré un chef d'oeuvre de la littérature existentielle. Cependant, comme les dissidents dans beaucoup de pays ont trouvé, les juges anonymes ne sont pas toujours fictifs. Aux Etats-Unis pendant la période quand Martin balancement tenu par McCarthy meurt et de Joseph, l'accusateur anonyme a coûté à beaucoup de gens leurs vies, et dans certains cas à leurs vies.
L'anonymat protège également l'intimité. De cette perspective, comme nous nous déplaçons par une société, parties de ces informations de rassemblement de société sur nous. Les magasins d'épicerie peuvent enregistrer ce que nous achetons, des librairies peuvent enregistrer quels livres nous achetons, et les bibliothèques peuvent enregistrer quels livres nous lisons. Individuellement, chaque informations semblent sans importance, mais quand les données sont corrélées, les conclusions qui peuvent être tirées sont effrayant complètes. Les bureaux de degré de solvabilité font ceci à un degré déjà, en obtenant l'information d'une variété de sources de degré de solvabilité et les amalgamant dans un rapport simple de degré de solvabilité qui inclut le revenu, les prêts, et degré de solvabilité de rotation rend compte comme des cartes de degré de solvabilité.
Ceci pose trois risques aux individus. Premier, les conclusions incorrectes peuvent venir des données interprétées inexactement. Par exemple, supposez qu'on visite des emplacements de Web recherchant l'information sur un narcotique proscrit. Une conclusion est que l'individu recherche l'information sur faire ou obtenir une telle drogue pour des buts illicites, mais cette conclusion pourrait être erronée. L'individu pourrait être un étudiant de lycée affecté pour écrire un rapport sur les drogues dangereuses. L'individu a pu être une information cherchante de docteur sur les effets de l'utilisation de la drogue, pour traiter un patient. Ou l'individu pourrait simplement être curieux. Il y a de l'information insuffisante pour tirer n'importe laquelle de ces conclusions.
En second lieu, l'information incorrecte peut causer le grand mal. Les meilleurs exemples de ceci sont les cas de plus en plus communs du l'"vol d'identité," dans ce qu'une personne personnifie des autres, en utilisant un permis de conducteur truqué, une carte de sécurité sociale, ou un passeport d'obtenir le degré de solvabilité dans le nom d'une autre personne. Le degré de solvabilité rapportant des agences amalgamera l'information sous de la vraie les disques personne, et quand le voleur se transfère, la victime devra se dégager.
Troisièmement, la droite à l'intimité inhérente à beaucoup de sociétés inclut quels Warren et Brandeis a appelé l'"droit à être a laissé l'alonethe le plus complet des droites et de la droite plus évaluée par les hommes civilisés". L'anonymat sert de bouclier derrière lequel on peut aborder ses affaires et être encore moins. Aucun central, ou distribué, autorité ne peut attacher l'information obtenue au sujet d'une entité anonyme de nouveau à un individu. Sans droite à l'anonymat, la protection de son intimité devient problématique. Stalkers peut localiser des personnes et des harrass ils ; en effet, dans un cas un stalker a assassiné une actrice. Sur le Web, on peut devoir accepter les biscuits qui peuvent être employés pour construire un profil avec du visiteur. Les organismes qui emploient des biscuits à cette fin adoptent généralement une approche "OPT-DEHORS", dans laquelle un utilisateur doit demander qu'aucune information ne soit recueillie, plutôt que "OPT-DANS" l'approche, dans laquelle un utilisateur doit expressément donner la permission pour que l'information soit recueillie. Si l'utilisateur est anonyme, aucun profil signicatif ne peut être construit. En outre, l'information recueillie ne peut pas être assortie avec l'information aux disques de degré de solvabilité et à d'autres banques de données. La capacité d'empêcher d'autres de recueillir des informations sur vous sans votre consentement est un exemple de la droite à l'intimité.
L'anonymat pour la protection personnelle a ses inconvénients, aussi. Le panopticon de Jeremy Bentham a présenté la notion de la surveillance perpétuelle et complète pour empêcher le crime et pour protéger des citoyens. L'idée que les gouvernements devraient pouvoir détecter des crimes pendant qu'ils se produisent et interviennent, ou établissent qu'un crime a été commis et l'acte appréhendent les malfaiteurs, est attrayante en raison du sens de la sécurité qu'il donne des citoyens. Mais beaucoup, y compris les pères de fondation des Etats-Unis, ont considéré ceci comme un prix trop élevé à payer. Comme Benjamin Franklin a écrit, "ils qui peuvent renoncer à la liberté essentielle pour obtenir une peu de sûreté provisoire ne méritent ni la liberté ni la sûreté".
Peut-être la seule conclusion une peut dessiner est que, comme toutes les libertés et toutes les puissances, l'anonymat peut être employé pour de bon ou pour le mal. La droite de rester anonyme nécessite une responsabilité d'employer cela droit sagement.
Online: 516 users browsing the articles directory
. |