https://wikimirror.piraten.tools/wiki/index.php?action=history&feed=atom&title=SN%3AAktionen%2FIdeen%2FAnonIPLogSN:Aktionen/Ideen/AnonIPLog - Versionsgeschichte2026-06-01T01:31:42ZVersionsgeschichte dieser Seite in Piratenwiki MirrorMediaWiki 1.35.14https://wikimirror.piraten.tools/wiki/index.php?title=SN:Aktionen/Ideen/AnonIPLog&diff=55641611&oldid=previmported>Nobodystranger: hat „Sachsen/Piratenideen/AnonIPLog“ nach „SN:Aktionen/Ideen/AnonIPLog“ verschoben2009-12-12T09:50:54Z<p>hat „<a href="/Sachsen/Piratenideen/AnonIPLog" class="mw-redirect" title="Sachsen/Piratenideen/AnonIPLog">Sachsen/Piratenideen/AnonIPLog</a>“ nach „<a href="/SN:Aktionen/Ideen/AnonIPLog" title="SN:Aktionen/Ideen/AnonIPLog">SN:Aktionen/Ideen/AnonIPLog</a>“ verschoben</p>
<p><b>Neue Seite</b></p><div>==Problemstellung==<br />
Üblicherweise legen Webserver bei jeder Anfrage nach einer von ihnen bereitgehaltenen Seite einen Eintrag im Logfile an, der u.a. die IP-Adresse des Anfragenden enthält. Obwohl in der Rechtssprechung noch umstritten, können diese als personenbeziehbare und damit besonders schützenswerte Daten gesehen werden. Eine Nichterhebung wäre also geboten.<br />
<br />
Dem entgegen steht aber das Bedürfnis der Betreiber durch statistische Erhebungen bzgl. der Nutzung ihre Seiten zu verbessern, sowie massenhaft auftretende Zugriffe durch einzelne Nutzer (DoS) zu erkennen.<br />
<br />
Als guter Kompromiß erscheint eine Anonymisierung der aufgezeichneten IP-Adressen.<br />
<br />
<br />
==Lösungsansätze==<br />
===Maskierung===<br />
<br />
Ausnullen von Adreßbits - siehe [http://www.saechsdsb.de/ipmask] - gleichwertig ist das Weglassen dieser Bits<br />
<br />
Je mehr Bits ausgenullt werden, desto wahrscheinlicher ist es, daß zwei IP-Adressen aufeinander fallen. Dies erschwert die statistische Auswertung bzw. macht sie unmöglich.<br />
<br />
:+: einfach<br />
:-: Behinderung der statist. Auswertung<br />
<br />
<br />
===Hashing===<br />
<br />
Auf die IP-Adresse wird eine Hash-Funktion (z.B. MD5, SHA-1) angewendet, um sie zu verschleiern.<br />
<br />
Da lediglich etwa 4 Mrd. IP-Adressen existieren und moderne Rechner sehr leistungsfähig geworden sind ([http://www.pc-hilfen.net/uploads-f49/nvidia-cuda-programme-tools-t45.html GPUs errechnen ca. 300 Mio. MD5-Hashes pro Sekunde]), ist in diesem Fall die Erstellung einer vollständigen Abbildungstabelle "IP-Adresse => Hash" in kürzester Zeit möglich.<br />
<br />
:+: Standardimplementierung für Hashes verfügbar<br />
:-: geringer Aufwand zur Deanonymsierung<br />
<br />
<br />
===Hashing mit Salt===<br />
<br />
Durch Hinzunehmen (z.B. Anhängen oder Einmischen) einer zufälligen Komponente vor dem Hashen ([http://de.wikipedia.org/wiki/Salt_(Kryptologie) Salt]) löst sich das Problem des möglichen Brute-Force-Angriffs. Der verwendete zufällige Teil sollte keinesfalls abgespeichert werden und ist regelmäßig (täglich?) zu ändern. Eine zu häufige Änderung würde allerdings wieder zu Problemen in der Auswertung führen - Daten, die während des Wechsels erhoben wurden, werden fehlerhaft/unvollständig ausgewertet.<br />
<br />
:+: Standardimplementierung für Hashes verfügbar<br />
<br />
:+: Einfache Klasse in Ruby verfügbar. [http://github.com/haibaer76/anoniplog Sourcecode auf github]. Hängt Zufallsstring (Salt) an übergebene IP und berechnet anschließend SHA1-Summe. Salt ändert sich nach vorgegebenem Timeout<br />
<br />
===XOR-Maskierung===<br />
<br />
Webserver sind ggf. stark ausgelastet. Der zusätzliche Berechnungsaufwand zur IP-Anonymisierung im Logfile mittels Hash-Funtionen ist daher nicht wünschenswert. Eine weitere Möglichekit wäre die nötige zufällige, später zu verwerfende Komponente stattdessen ähnlich einem [http://de.wikipedia.org/wiki/One_Time_Pad OTP] zu nutzen. Das heißt jede gelogte IP-Adresse wird mit den gewählten Zufallsbit XOR-verknüpft und so unkenntlich gemacht. Die Zufallsbits werden nach einem festen Zeitintervall erneuert.<br />
<br />
Der "Berechnungsaufwand" (einfache XOR-Verknüpfung) ist hier deutlich geringer, die erzielte Sicherheit sollte ausreichend sein. Durch gezielte "Angriffe" (Zugriffe zu fester Zeit über bekannte IP) läßt sich die Anonymisierung brechen. Bleibt die Frage nach dem Angreifermodell...<br />
<br />
:+: einfach, geringe Rechenlast<br />
:-: schwächerer Schutz (ausreichend?)<br />
<br />
===Binary Random Permutation (BRP)===<br />
<br />
Für jede neu im Logfile gefundene IP wird eine neue zufällige anomyme IP gewürfelt. Zur Zuordnung bereits aufgetauchter IPs hält der Algorithmus eine Zuordnung (IP => rndIP) vor.<br />
<br />
:+: gut dokumentiert/"zitierfähig"<br />
:-: ggf. großer Speicherbedarf<br />
<br />
==offene Fragen==<br />
<br />
* Filterung in Echtzeit bei Logerstellung oder Anonymisierung vorhandener Logfiles?<br />
* IPv6-Parsing<br />
* Zeilenumbrüche innerhalb einer IP?<br />
* nötige Qualität des Zufalls (random vs. urandom)<br />
* valide IPs als Ergebnis der Anonymisierung nötig? (z.B. wegen statistischer Auswertungssoftware)<br />
<br />
==Material==<br />
<br />
===IP-Adressen===<br />
*[http://www.phys.uu.nl/~wwwfi/ipv6/IPv6_ars.htm IPv6]<br />
*[http://stackoverflow.com/questions/319279/how-to-validate-ip-address-in-python How to validate IP address in Python?]<br />
<br />
===Beispiele für Log-Einträge===<br />
<br />
xyz.xyz.xyz.xyz ist jeweils die zu anonymisierende Herkunfts-IP<br />
<br />
*Apache Access Log<br />
:<pre>xyz.xyz.xyz.xyz - - [11/Oct/2009:09:42:00 +0200] "GET / HTTP/1.1" 200 1774 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; de; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3"</pre><br />
<br />
*Apache Error Log<br />
:<pre>[Sun Oct 11 09:42:06 2009] [error] [client xyz.xyz.xyz.xyz] File does not exist: /var/www/munin/favicon.ico</pre><br />
<br />
*E-Mail-Log<br />
*...<br />
<br />
==Implementierungen==<br />
* [http://flaim.ncsa.illinois.edu/ C++-Log-Anonymisierungs-Framework]<br />
* [http://github.com/haibaer76/anoniplog Prototyp]<br />
<br />
[[Kategorie:Sachsen]]</div>imported>Nobodystranger