De IPSec gateway omvat bastionhost + proxy + account administratie Een prive-toegang op deze locatie gaat via de bastionhost het mistroutingnetwerk op en kan niet rechtstreeks naar de proxy Van hier uit wordt het routingnetwerk bewaakt. Zodra er een adsl-verbinding of service uit valt moet deze automatisch overgenomen worden een groep individuele aansluitingen op een breedbandverbinding Een breedbandverbinding die door een groep gebruikt wordt. Het opzetten van een eigen webserver is optioneel. Hier zou ook een webmail server op geinstalleerd kunnen worden. De privacyservice zou hier haar website met FAQ en support kwijt kunnen. Het opzetten van een POP3/SMTP mailserver is optioneel. Maar wat is een privacy-service zonder e-mail-protectie? HET MISTROUTING EILAND

mistrouting eiland

De bruikbaarheid van de IPSEC Gateway wordt uitgebreid door deze toegankelijk te maken voor de houders van anoniem aangemaakte privacy accounts die tevens recht geven op e-mail services. De tunnelverbinding van clienten met de Gateway vindt nu niet meer rechtstreeks plaats maar gaat via een van de vuurtorens van het mistrouting eiland. Dit verbreekt de zichtbare band tussen de locatie van waaruit een accounthouder contact legt met de privacyservice. Dit is vooral interessant voor het beschermen van de pseudonimiteit van email en voor het via laptops gebruik maken van de privacyservice. Bovendien werkt zo'n mistrouting-eiland compenserend voor het gebrek aan een wereldspannend prive-netwerk. (Zie ook kleinschaligheid compenseren.)

1) Iemand heeft een token ontvangen waarmee anoniem een privacy-account aangemaakt kan worden bij een bovenpersoonlijke non-profit organisatie, bijv. een klooster of een stichting. [De token werkt als een fiche, het garandeert dat het systeem (of iemand die het systeem onderhoudt) niet kan weten wie er op een gegeven moment een account aan maakt. Het verband tussen account-aanschaf en -activering wordt door de invoering van een token-tussenstap onzichtbaar.]
2) Het token wordt op een plaats en tijd naar keuze ingewisseld voor een account op naam van een virtuele persoon naar keuze; een nym-account. [afkorting voor een anoniem aangemaakte account. Die kan zowel op pseudoniem als op ware naam aangemaakt worden. Dit laatste is handig voor familie en kennissen of elektronische handelingen die rechtsgeldig moeten zijn zoals bankoverschrijvingen. Het wordt dan ook aanbevolen om naast enkele nym-accounts ook een account op "roepnaam" aan te maken.]
Dit aanvragen/ontvangen van het token wordt vanaf een fysieke locatie gedaan; een portal, die bij voorkeur eigendom is van een collectief (stichting of vereniging) en van waaruit anonieme toegang tot het internet mogelijk is. [anoniem nu in de zin van niet gemonitord door cameras of zoiets.]
3) Er wordt vanaf de portal contact gelegd met een van de vuurtorens, van waaraf er contact met het wijde internet mogelijk is en het token ingewisseld wordt. [Het wordt door de extra routing van portal naar vuurtoren onduidelijk vanaf welke fysieke locatie er een nymaccount aangemaakt wordt.]
De portals staan in voortdurend contact met elkaar via encryptietunnels zodat het van buiten af niet zichtbaar gemaakt kan worden wanneer er iemand dit mist-routernetwerk op gaat of contact legt met een van de mist routers.
4) De nym-account wordt toegekend aan het ID van de anonieme klant en bevat o.a. pub.key en timestamp [aan de hand waarvan het systeem kan zien of de account nog geldig is en tevens bewaken dat de account niet door een onbevoegde misbruikt word.]
Als IP-adres wordt de gekozen vuurtoren gebruikt (dus niet perse de portal), die als enige weet naar wie er geforward moet worden [iedere vuurtoren bevatten dezelfde routinggegevens en kan de authenticiteit van de nym-accounthouder controleren].
5) De nym-account houder kan nu vanaf een willekeurige locatie ter wereld inloggen op een portal.
[die verbinding kan weliswaar door encryptie afgeschermd zijn zodat de content van het dataverkeer onleesbaar wordt voor derden, maar is desalniettemin localiseerbaar en dus weliswaar privaat maar niet perse anoniem. Slechts een ESP-encryptietunnel, waarbij de oorspronkelijke datapackets+headers ingepakt worden zodat er geen uiterlijk zichtbare bestemming en afzender op te herkennen zijn, kan anonymiteit bewaren. Dit vergt een bekend/betrouwbaar IP adres waar "road warriors" (met lap tops en pda's e.d.) niet over beschikken. Die moeten zich dus eerst authenticeren alvorens toegang te kunnen krijgen tot de privacyservice, en die authenticering is nu juist strijdig met het behoud van anonimiteit. AH-encryptietunnels, zoals bij SSL, PPTP en L2TP, ondermijnen zelfs de anonimiteit. Zie ah.htm] Door eerst een niet-anonieme maar wel d.m.v. krachtige encryptie een beveiligde tunnelverbinding naar een portal te leggen, en vervolgens vanaf die portal het mistroutingnetwerk op te gaan, valt er toch gebruik te maken van de gewenste privacyprotectie.
Vanaf de portal kan de accounthouder het mistrouting-netwerk op gaan om contact te leggen met een vuurtoren. (Het valt van buitenaf niet te zien of een portal contact legt met een vuurtoren, of vanaf welke portal er contact gelegd wordt met welke vuurtoren. Dit werkt dus anonimiserend aangezien het verband tussen accounthouder en locatie verbroken wordt.) Vanaf de vuurtoren is iedere Internet service bereikbaar en op dat IPadres kan de anonieme (nym)accounthouder ook door allen bereikt worden.

 

Opmerkingen:

* Uitbreiding van het aantal mist-router eilanden (met steeds minimaal 3 vuurtorens) ondervangt de kwetsbaarheid van een gecentraliseerd systeem (zoals bij proxy's als Anonymizer en SafeWeb) nog verder. Er bestaat niet een punt van waaraf al het verkeer zichtbaar gemaakt kan worden, er is niet een enkel 'point of failure', er hoeft weinig 'trust' gedistribueert te worden zodat er weinig eisen gesteld worden aan het vermogen tot samenwerking van mensen op diverse locaties, de hardware eisen zijn laag en de juridische eigendom/aansprakelijkheid kan toch verregaand gespreid worden.
* De (nym-)identiteit van de communicerenden is onderweg niet vanaf een punt in het mistrouting-netwerk zichtbaar te maken omdat 'handle-based routing' informatie over de originele bron en uiteindelijke bestemming verhuld (zoals in Crowds en Onion routers). Uitbreiding van het aantal mist-routers tot ca. 5 stuks verkleint het risico dat begin en eindpunt door samenspannende/gecorrumpeerde nodes zichtbaar gemaakt kan worden. Kleinschaligheid blijft echter wenselijk.
* Zowel het aantal mist-routers als het aantal portals kan gemakkelijk uitgebreid worden, waarmee de mistrouting-werking exponentieel krachtiger wordt (statistisch forwarden krijgt veel meer variabelen).
* Nym-accounts kunnen bij misbruik verwijdert worden maar er zijn geen persoonsgegevens bekend zodat er geen vorderingen of sancties naar individuen mogelijk zijn (zoals bij de voormalige ZeroKnowledgeSystem's Freedom.net services).
* De locatie van waaraf gecommuniceerd wordt is vanaf nu onzichtbaar dankzij hop-to-hop handle-based routing. Zichtbaar is slechts de vuurtoren die het privenetwerk met het Internet verbindt (conform het idee van de University of Illinoy at Urbania-Champaign 'Routing Through the Mist'; najaar 2001.)
* De tunnelverbinding tussen de MistRouters kan in stand gehouden worden door een constante stroom van _padded_ packets zodat ook de aard van het doorgaand packetverkeer afgeschermd wordt tegen real-time traffic analysis (als in Net Camo). Het routing volume kan d.m.v. parameters min of meer constant gehouden worden ongeacht traffic luwte of spitsuur.
*Bij uitvallende 'hartslag' valt automatisch een backup vuurtoren in. Er moeten steeds minimaal 3 vuurtorens actief zijn. Spreiding van breedbandproviders is dus wenselijk om te voorkomen dat er een aantal vuurtorens tegelijk uit zou vallen bij storing van een breedbandverbinding.
*De symmetrische encryptie van deze onderlinge vuurtorenverbinding kan in hoog tempo gevarieerd worden, hetgeen datamonitoring welhaast ondoenlijk maakt.
* Uitbreiding van het aantal vuurtorens (niet iedere MistRouter hoeft beschikbaar te zijn als vuurtoren, slechts vuurtorens moeten 'trusted' zijn) betekent ook spreiding van de authenticatietaken. Iedere vuurtoren moet in staat zijn na te gaan of een nym-account legitiem is en dus (nog) recht heeft op de bijbehorende services. Iedere vuurtoren dient wat dat betreft als backup/mirror voor de anderen op het eiland.
* Uitbreiding van het aantal portals is vrijwel onbegrensd mogelijk. Dit kunnen zowel accesspoints voor wireless als vaste workstations of aansluitpunten voor laptops e.d. zijn. Als ze maar in staat zijn om te reageren op een verzoek om een lijst van actieve MistRouters die beschikbaar zijn als vuurtoren. Dit client-niveau is echter ook de zwakste schakel m.b.t. privacy vanwege de talloze gevaren die er loeren in de vorm van key-loggers, OS's met achterdeurtjes, gebrekkige encryptie, loslippige clients, herkenning van communicatiepatronen en identificeerbare signeringen of breedbandconnecties enz. zie: bekende veroorzakers van problemen.
*De locaties van portals kunnen in principe ook certificaten verstrekken die recht geven op tokens die op andere eilanden ingewisseld kunnen worden voor nyms. Dit vergt slechts een simpele zakelijke overeenstemming over de waardevereffening van certificaten tussen verder volledig autonome Mist-routing eilanden. Te denken valt aan verschillende afdelingen van (inter)nationaal gespreide .org of .edu groepen en aan ideologisch of geografisch verwante "panden" met bewonersgroepen. Al zullen die meestal niet de rechtsbescherming van een klooster genieten.

Het aanvragen van tokens voor nyms hoeft dus niet op individueel niveau of via een bepaalde route te gebeuren. Betaling van een onkostenvergoeding voor de anonieme account-service kan cash gedaan worden (= anoniem), of via een organisatie (die dan ook weer al of niet anoniem kan betalen).
Een token inwisselen voor een nym-account moet echter bij voorkeur vanaf een vuurtoren gebeuren. Dan moet er al access tot het MistRouting netwerk zijn. Dit begint dus met eenvoudige (sessie) registratie als client van het MistRouting netwerk. Dit levert de lijst van beschikbare Vuurtorens op van waaraf de token ingewisseld kan worden.
De nym-account kan toegang bieden tot services als anonymous http (browsen, webspace, -chat) en privacy protected e-mail.
Deze services lopen allemaal over het MistRouting netwerk.

Om de nadelen van gevaarlijk lekkende en voor virussen en key loggers kwetsbare email-programma's te vermijden kan er web-based e-mail gebruikt worden. Echter niet via SSL-toegang zoals anderen dit meestal doen maar via de ESP tunneling.) Clients die hun mail liever op een eigen adres aan laten komen en hun OS+mailprogramma vertrouwen kunnen POP3-mail gebruiken.

*Om te voorkomen dat mailservers/routers van het mist-routing netwerkje bij inbeslagname zouden kunnen onthullen wie met wie gecorrespondeert heeft (welke nym met welke ID), moeten hier nog extra beveiligingen op aangebracht worden zoals encrypted storage, diverted storage en selfdestruct mechanisms/shredders.
*Voor het beheer van cookies valt het bij JAP gangbare CookieCooker wellicht te gebruiken en uit te breiden met een nym-beheer en een privacy-gevoelige steekwoorden bewaker. Het is Open Source (en gratis beschikbaar) voor zowel Linux als Windows.
 

terug pijltjeterug pijltjes

terug pijltje