A identificação no Internet levanta-se de associar um anfitrião particular com uma conexão ou uma mensagem. O receptor pode determinar a origem do pacote entrante. Se somente uma pessoa usasse o anfitrião originar, e o endereço não fosse spoofed, alguém poderia supo a identidade do remetente com um grau elevado de exatidão.
Um anonymizer é um local que esconda as origens das conexões. Funciona enquanto um serverthat do proxy é, ele opera-se em nome de uma outra entidade. Um usuário conecta ao anonymizer e diz-lhe o destino. O anonymizer faz a conexão, assim que o anfitrião do destino vê somente o anonymizer. O anonymizer envía o tráfego em ambos os sentidos.
O destino acredita que se está comunicando com o anonymizer porque todo o tráfego terá o endereço dos anonymizer nele. Entretanto, o anonymizer é meramente um go-between e passa meramente a informação entre o destino e a origem.
Trabalho de Anonymizers primeiramente no correio eletrônico e no tráfego do HTTP, embora os mesmos princípios se apliquem a qualquer tipo de mensagens de rede. Em o que segue, nós focalizamos no correio eletrônico, porque os anonymizers do correio eletrônico são conceptual simples e demonstram as técnicas usadas e as edições da privacidade que se levantam. A história do anonymizer finnish anon.penet.fi vale a pena recounting, porque era o primeiro anonymizer extensamente usado. Seu demise indica os problemas em anonymizers usando-se e funcionando.
EXEMPLO: O anfitrião anon.penet.fi ofereceu um serviço de correio eletrônico anonymous. Um emitir-lhe-ia uma letra, nomeando um outro destino (um indivíduo ou um grupo da notícia de USENET). O anonymizer descascaria os encabeçamentos, atribuiria um ID anonymous (anon374, para o exemplo) à letra, e gravaria o remetente e o ID anonymous associado em uma base de dados. A letra seria entregada então a seu destino, como se o usuário anon374 em anon.penet.fi o tinha emitido. Os receptores não poderiam dizer o remetente original da letra. Responderiam à letra emitindo a resposta a anon374 em anon.penet.fi. Esta letra seria anonymized na mesma maneira que a letra original era anonymized, e seria enviada então ao endereço real do correio eletrônico que corresponde a anon374. |
Esta troca não é verdadeiramente anonymous. Mesmo que os partidos da extremidade não saibam quem é, o anonymizer sabe quem ambos são.
Um remailer pseudo-pseudo-anonymous (ou pseudonymous) é um remailer que substitua os endereços originando do correio eletrônico (e dados associados) das mensagens que receba antes que as envíe, mas mantenha mappings das identidades anonymous e das origens associadas.
O problema é que o emperramento entre o endereço anonymous e o endereço real está sabido em algum lugar. Se esse ponto puder ser feito para revelar a associação, o anonymity cessa de existir.
| EXEMPLO: A associação entre o ID anonymous e o endereço do correio eletrônico do remetente era anon.penet.fi's que undoing. Algum material, reivindicado copyrighted, foi circulado através do local. Uma corte finnish dirigiu o proprietário do local revelar a base de dados assim que os plaintiffs poderiam determinar o endereço do correio eletrônico do remetente, terminando desse modo o anonymity. Embora o proprietário apelasse a ordem, fechou subseqüentemente abaixo o local. |
A associação pode ser obscurecida usando uma seqüência de remailers pseudo-pseudo-anonymous. Seguir a origem requer então os trackers obter a informação de diversos locais. Mas a corrente deve existir se as respostas deverem ser emitida para trás ao remetente original. Eliminar essa exigência permite o anonymity verdadeiro.
Um Cypherpunk (ou tipo o remailer de 1) é um remailer que suprima o encabeçamento de uma mensagem entrante e envíe o restante a seu destino.
Ao contrário de um remailer pseudo-pseudo-anonymous, nenhum registro da associação entre o endereço originando e o endereço do remailer é mantido. Assim, um não pode seguir a mensagem traçando o nome do usuário dos remailer a um endereço do correio eletrônico.
Os remailers de Cypherpunk são usados tipicamente em uma corrente, e as mensagens emitidas com eles enciphered sempre.
Para o exemplo, Bob compõe uma mensagem a Alice e usa então o PGP encipher duas vezes o. O primeiro encipherment é para o destino "remailer 2." A mensagem resultante enciphered então para a entrega ao remailer 1. Bob envia então a mensagem ao remailer 1. Decifra a mensagem, vê que deve ser emitida ao remailer 2, e envía-o. Remailer 2 recebe a mensagem, decifra-a, e envía-o a mensagem a Alice. Porque não há nenhum registro de quem emitiu a mensagem ao remailer 1, não pode ser amarrado para trás ao endereço do correio eletrônico de Bob. Porque o remailer 2 recebeu a mensagem do remailer 1, não pode associar nenhum endereço real do correio eletrônico com o endereço de destino (Alice). Isto ilustra a razão para usar correntes de remailers de Cypherpunk. Era somente um remailer usado, ele podia associar o remetente real com os receptores reais. Embora dois remailers, ou todo o número dos remailers, poderiam cooperar para fazer a mesma coisa, na prática tal cooperação é muito difícil de conseguir. Outra vez, a introdução da confiança nos remailers é central ao sucesso de remailers de Cypherpunk.
Mas há ainda uma fraqueza. Suponha que um atacante poderia monitorar todo o tráfego entre a fonte e o destino mas os remailers eles mesmos remanesceram uncompromised. Então o atacante podia ver o tráfego e fora de um remailer mas não podia ver a associação do tráfego entrante com tráfego que parte. O objetivo do atacante seria reconstruct esta associação.
Obviamente, reconstructing esta associação das mensagens do cleartext é simples: compare apenas os corpos de mensagens entrantes com os aqueles de mensagens que parte. O envelope para o remailer atual será suprimido; se não, os corpos serão os mesmos. Esta é a razão encipher todas as mensagens que atravessam um remailer de Cypherpunk. Na seguinte discussão, nós supomos que todas tais mensagens enciphered. Todos os ataques envolvem a análise de tráfego.
Se um remailer enviar imediatamente uma mensagem após ter recebido a, e antes que toda a outra mensagem chegar (ou se processar for garantido para ocorrer em ordem da chegada), a seguir o atacante pode determinar a associação. Uma aproximação a obscurecer isto deve prender mensagens para intervalos aleatórios do tempo; entretanto, a menos que o intervalo for mais grande do que o tempo interarrival médio, atrasa não ajuda. (alguns remailers permitem que o remetente especifique o comprimento do intervalo.)
Uma segunda aproximação deve randomize a ordem de processar das mensagens entrantes; implícito nesta aproximação é atrasa para permitir tal requisitar novamente. Remailers de Cypherpunk que fazem este sustento um pool de mensagens entrantes. Nenhuma mensagem é emitida para fora até que o pool contenha um número fixo, chama-o n, das mensagens. Quando a nth mensagem chega, uma das mensagens no pool está selecionado e emitido. Isto protege as associações de encontro aos ataques passivos. Entretanto, um atacante ativo pode emitir bastante mensagens ao remailer de modo que todas as mensagens de n 1 no pool sejam emitidas.
Uma terceira aproximação trata do tamanho da mensagem. Enquanto uma mensagem se move através de sua corrente dos remailers, cada remailer descasca um envelope exterior. Assim, o tamanho da mensagem diminui. O atacante pode usar este gravando os tamanhos das mensagens que incorporam e que saem do remailer. Nenhuma mensagem outbound não pode ser associada com uma mensagem inbound do pouco ou do tamanho do igual. Além disso, o tamanho do envelope pode ser estimado bem bastante para estimar quanto a mensagem encolheria perto, assim eliminando associações mais possíveis. Para limitar esta ameaça, alguns remailers permitem que os usuários adicionem a sucata à mensagem e instruam o remailer para suprimi-lo. Outra vez, isto reduz o tamanho da mensagem; não o aumenta.
O ataque final é também ativo. O atacante replays as mensagens muitas vezes ao primeiro remailer, que as envía. O atacante monitora o tráfego outbound e procura uma colisão na quantidade de tráfego do remailer que corresponde às mensagens emitidas no remailer. Isto assocía o trajeto outbound com o trajeto inbound. Para impedir este ataque, os remailers não podem enviar a mesma mensagem mais de uma vez.
Um segundo tipo de remailer não sofre destes problemas.
Um Mixmaster (ou tipo o remailer de 2) é um remailer de Cypherpunk que segurem somente mensagens enciphered e que as almofadas ou fragmentem mensagens a um tamanho fixo antes de as emitir.
Isto hinders os ataques descritos acima. Os índices das mensagens entrantes e que parte não podem ser combinados, porque tudo enciphered. A análise de tráfego baseada no tamanho não é possível, porque todas as mensagens (entrantes e que parte) são do mesmo tamanho. Todas as mensagens são numeradas excepcionalmente, assim que replay ataques não são possível. Os fragmentos da mensagem não são remontados até que a mensagem alcance o último remailer na corrente, assim que requisitando novamente ataques seja mais difícil. O software especial é usado construir as mensagens, visto que os remailers de Cypherpunk podem aceitar as mensagens construídas pela mão.
Na prática, as mensagens emitidas com os remailers de Mixmaster são untraceable a menos que os remailers eles mesmos forem comprometidos. Nesse caso, um podia seguir o pacote e a mensagem IDs e fazer associações como desejadas. O ponto é que o anonymity supõe que os remailers podem ser confiados para não divulgar associações. A técnica de Mixmaster minimiza a ameaça de remailers comprometidos, porque todos os remailers devem seguir a origem, o pacote, e a mensagem IDs, e o remailer final deve também seguir o endereço de destino, o pacote, e a mensagem IDs para que o remetente seja associado com uma mensagem recebida. Esta técnica não é foolproof; se somente uma mensagem for emitida sobre a rede, um atacante pode fàcilmente determinar o remetente e o receptor, para o exemplo. Mas adiciona substancialmente à dificuldade de combinar uma letra anonymous a um remetente.
O remailer BABEL de Mixmaster adiciona a abilidade de responder sem saber a identidade, ou mesmo o endereço real do E-mail, do remetente.
O anonymity fornece um protetor para proteger povos de ter que associar suas identidades com alguns dados. É isto desejável?
A maneira a mais fácil responder a isto deve perguntar o que a finalidade do anonymity é. O anonymity é poder, porque permite que um faça indicações sem medo das represálias. Um pode mesmo negar ter feito as indicações quando questionado, e com anonymity verdadeiro, a negação não pode disproved.
O anonymity permite que um dê forma ao curso do debate pela implicação. Alexander Hamilton, James Madison, e o jay de John usaram deliberadamente o "Publius conhecido" esconder seu authorship dos papéis do federalista. Com exceção de esconder a identidade dos autores, o pseudonym de "Publius" foi escolhido porque o Publius roman foi visto como um regulador modelo. O pseudonym implicou que os autores estiveram para a filosofia e a legislação políticas responsáveis. A discussão dos papéis do federalista focalizou em seu índice, não nas personalidades de seus autores.
O anonymity permite a whistleblowers a proteção considerável. Aqueles que criticam os powerholders caem frequentemente no disfavor, mesmo quando seu criticism é válido, e os powerholders fazem exame da ação. Galileo promulgou a teoria que a terra circunda o sol e foi trazido antes do inquisition [415]. Ernest Fitzgerald expôs overruns de custo no avião da força aérea C-54 de ESTADOS UNIDOS e foi removido de sua posição. Após diversas vitórias da corte, foi restabelecido. Contraste isto com as fontes anonymous que falaram com o Bernstein e o Woodward durante o scandal de Watergate. Os repórteres combinaram aquelas fontes anonymous (especial uma chamada "garganta profunda") com os registros públicos para descobrir um teste padrão da atividade que conduzisse finalmente às cargas do impeachment de encontro ao presidente Richard Nixon, sua renúncia, e indictments e convicções criminal de muitos oficiais de governo. Nenhuma ação não poderia ser feita exame de encontro às fontes, porque suas identidades eram desconhecidas (e, como desta escrita, a identidade "da garganta profunda" não foi revelado).
Se estes são os benefícios ou os inconvenientes dependem sobre se um é o powerholder sob o ataque ou a pessoa que ataca o powerholder. Em muitas sociedades, questionar da autoridade é considerado desejável e benéfico à sociedade, e nesses casos a necessidade para o anonymity compensa os problemas, especial quando os powerholders golpearão para trás nos críticos. Em outras sociedades, aqueles que prendem o poder são consideradas para ser mais experimentados e knowledgeable e são confiados para agir nos mais melhores interesses da sociedade. Naquelas sociedades, o criticism anonymous seria considerado destabilizing e inimical aos mais melhores interesses da ordem social. O leitor deve decidir-se como o anonymity afeta a sociedade de que ou são uma parte.
Apenas porque o anonymity é uma ferramenta com que os powerholders podem ser atacados, os powerholders podem usá-la atacar aqueles que consideram para ser adversários. O livro de Franz Kafka a experimentação, que descreve uma experimentação em que acusado não conhece os juizes (anonymous), é considerado um masterpiece da literatura existential. Entretanto, como os dissidents em muitos países encontraram, os juizes anonymous não são sempre fictional. Nos estados unidos durante o período quando Martin balanço prendido McCarthy morre e de Joseph, o accusers anonymous custou a muitos povos seus meios de subsistência, e em alguns casos suas vidas.
O anonymity protege também a privacidade. Deste perspective, como nós nos movemos através de uma sociedade, partes dessa informação do recolhimento da sociedade sobre nós. As lojas do mantimento podem gravar o que nós compramos, livrarias podem gravar que livros nós compramos, e as bibliotecas podem gravar que livros nós lemos. Individualmente, cada referência parece sem importância, mas quando os dados são correlacionados, as conclusões que podem ser drawn estão frighteningly completas. Os departamentos de crédito fazem este a um grau já, obtendo a informação de uma variedade de fontes do crédito e amalgamating as em um único relatório de crédito que inclua a renda, os empréstimos, e os clientes de crédito revolvendo tais como cartões de crédito.
Isto poses três riscos aos indivíduos. Primeiro, as conclusões incorretas podem vir dos dados interpretados incorretamente. Para o exemplo, suponha que se visita os locais da correia fotorreceptora que procuram a informação em um narcotic proscrito. Uma conclusão é que o indivíduo está procurando a informação em fazer ou em obter tal droga para finalidades illicit, mas esta conclusão poderia ser errada. O indivíduo poderia ser um estudante da High School atribuído para escrever um relatório em drogas perigosas. O indivíduo podia ser uma informação procurando do doutor nos efeitos do uso da droga, para tratar um paciente. Ou o indivíduo poderia simplesmente ser curioso. Há uma informação insuficiente para extrair algumas destas conclusões.
Em segundo, a informação errônea pode causar o dano grande. Os mais melhores exemplos deste são os exemplos cada vez mais comuns da "do roubo identidade," em quais uma pessoa impersonates outra, usando uma licença de excitador faked, um cartão da segurança social, ou um passport obter o crédito no nome another's. O crédito que relata agências amalgamate a informação sob os registros da pessoa real, e quando o ladrão opta, a vítima terá que cancelar-se.
Em terceiro lugar, a direita à privacidade inerente em muitas sociedades inclui que Warren e Brandeis chamou o "direito a ser deixou o alonethe o mais detalhado das direitas e da direita avaliada mais por homens civilized". O anonymity serve enquanto um protetor atrás de que um pode ir sobre one's negócio e ser deixou sozinho. Nenhuma central, ou distribuído, autoridade pode amarrar a informação obtida sobre uma parte traseira anonymous da entidade a um indivíduo. Sem a direita ao anonymity, proteger one's privacidade torna-se problematic. Stalkers pode encontrar povos e harrass eles; certamente, em um caso um stalker assassinou uma actriz. Na correia fotorreceptora, uma pode ter que aceitar os bolinhos que podem ser usados construir um perfil do visitante. As organizações que usam bolinhos para esta finalidade adotam geralmente uma aproximação "opt-out-para fora", em que um usuário deve pedir que nenhuma informação esteja recolhida, melhor que "opt-" na aproximação, em que um usuário deve expressa dar a permissão para que a informação seja recolhida. Se o usuário for anonymous, nenhum perfil significativo não pode ser construído. Além disso, a informação recolhida não pode ser combinada com a informação em registros do crédito e em outros bancos de dados. A abilidade de impedir que outro recolha a informação sobre você sem seu consentimento é um exemplo da direita à privacidade.
O anonymity para a proteção pessoal tem suas desvantagens, demasiado. O panopticon de Jeremy Bentham introduziu a noção da monitoração perpetual e completa para impedir o crime e proteger cidadãos. A idéia que os governos devem poder detectar crimes enquanto acontecem e intervêm, ou estabelecem que um crime estêve cometido e o ato apprehend os perpetrators, é atrativa por causa do sentido da segurança que dá cidadãos. Mas muitos, including os pais fundando dos estados unidos, consideraram este como um preço demasiado elevado a ser pagado. Como Benjamin Franklin escreveu, "que podem dar acima a liberdade essencial para obter pouca segurança provisória merecem nem a liberdade nem a segurança".
Talvez a única conclusão uma pode extrair é que, como todos os freedoms e todos os poders, o anonymity pode ser usado para bom ou para o evil. A direita remanescer anonymous envolve uma responsabilidade usar sàbiamente isso direito.
Online: 333 users browsing the articles directory
|
|