Testbed für Flow-Korrelationsangriffe auf verschlüsselte Messenger-Anwendungen

Abstract

Aktuelle politische Entwicklungen verdeutlichen die Relevanz verschlüsselter und anonymer Kommunikation für die Wahrung unserer Menschenrechte. Daher sind Angriffe auf Anwendungen, die solche Dienste bereitstellen, äußerst besorgniserregend. Aktuelle Forschungsarbeiten stellen vollständig passive Angriffe auf verschlüsselte Messenger-Anwendungen vor, die es ermöglichen, die Anonymität der kommunizierenden Parteien offenzulegen. Mithilfe von Traffic-Analyse können Nutzer*innen von Messaging-Anwendungen mit einer Erkennungsgenauigkeit von 97 % als Mitglied eines IM-Kanals identifiziert werden. Diese Entwicklungen sind äußerst bedenklich und erfordern weitere Forschung zu diesen Techniken. Um solche Angriffe hinsichtlich ihrer Anwendbarkeit und möglichen Gegenmaßnahmen zu untersuchen, wird im Rahmen dieser Arbeit ein Testbed zur Analyse und Erforschung dieses Angriffs entwickelt. Das entwickelte Testbed zeichnet sich durch die Integration verschiedener physischer Geräte wie Desktop-PCs und Smartphones aus, um realitätsnahe Umgebungsbedingungen zu simulieren. Um die Verwendung in einem wissenschaftlichen Kontext zu unterstützen und aussagekräftige Ergebnisse zu erzielen, wurde das Testbed mit klarem Fokus auf Reproduzierbarkeit und Fidelität konzipiert. Einige zentrale Technologieentscheidungen wurden zudem im Hinblick auf kostengünstige und quelloffene Nutzung getroffen. Das Testmanagementsystem basiert daher auf der quelloffenen Lösung OpenTAP. Das Testbed erwies sich als geeignetes Instrument, um verschiedene Aspekte und Auswirkungen auf den Erfolg des Angriffs offenzulegen. Es konnte gezeigt werden, dass die Konfiguration der Endgeräte einen starken Einfluss auf die Erkennungsrate und somit den Erfolg des Angriffs hat. Ein Endgerät mit gesperrtem Bildschirm ließ sich nicht mehr konsistent als Mitglied eines Kanals identifizieren. Der modulare Aufbau des Testbeds ermöglichte auch die Analyse veröffentlichter Erkennungsalgorithmen und Datensätze. Es wurde festgestellt, dass die Datensätze eine Inkonsistenz aufweisen, die durch die Verwendung des Testbeds verbessert werden konnte. Darüber hinaus wurde ermittelt, dass die vorliegende Version des Erkennungs-algorithmus die angegebene Genauigkeit nicht erreicht. Durch den Einsatz des Testbeds konnte die Erkennungsgenauigkeit dieser Version um 30 % verbessert werden. Die Entwicklung dieses Testbeds soll dazu beitragen, dass solche Angriffe weiterführend untersucht werden - nicht nur, um ein größeres Bewusstsein für derartige Bedrohungen zu schaffen, sondern auch, um die Forschung im Bereich der Gegenmaßnahmen voranzutreiben.

Current political developments highlight the importance of encrypted and anonymous communication for safeguarding our human rights. Therefore, attacks on applications that provide such services are extremely concerning. Recent research has presented fully passive attacks on encrypted messenger applications, which disclose the anonymity of the communicating parties. By utilizing traffic analysis, Instant-Messaging (IM) users can be identified as members of an IM-channel with an accuracy of 97 %. These developments are highly alarming and call for further research into these techniques. To investigate such attacks regarding their applicability and potential countermeasures in real-world scenarios, this work develops a testbed for analysis and exploration of this attack. The developed testbed integrates various physical devices such as desktop PCs and smartphones to simulate realistic environmental conditions. To support its use in a scientific context and achieve meaningful results, the testbed was designed with a clear focus on reproducibility and fidelity. Several key technology decisions were made with cost-effective and open-source usage in mind. Thus, the testmanagement system is based on the open-source solution Open-TAP. The testbed proved to be a suitable tool for exposing various aspects and impacts on the success of the attack. It demonstrated that the configuration of the end devices strongly influences the detection rate and, consequently, the success of the attack. An end device with a locked screen could no longer be consistently identified as a member of a channel. The modular structure of the testbed also facilitated the analysis of published detection algorithms and datasets. It was found that the datasets exhibit inconsistencies, which could be improved through the use of the testbed. Furthermore, it was determined that the current version of the detection algorithm does not achieve the stated accuracy. With the deployment of the testbed, the detection accuracy of this version could be improved by 30 %. The development of this testbed aims to further investigate such attacks — not only to raise greater awareness of such threats but also to advance research in the field of countermeasures.