home *** CD-ROM | disk | FTP | other *** search
/ Ian & Stuart's Australian Mac: Not for Sale / Another.not.for.sale (Australia).iso / fade into you / being there / Issues & Ideas / Anonymous remailers / Remailers / blind-server.docs next >
Text File  |  1994-06-05  |  9KB  |  220 lines
  1.     This server is running in testing mode.
  2.     Please contact Sameer if you'd like to help test it.
  3.  
  4.  
  5. ---------- The Blind Anon-Server ----------
  6.  
  7. by Sameer Parekh <sameer@soda.berkeley.edu> Copyright 1994
  8.  
  9.  
  10. Introduction
  11.  
  12.     I hatched up the Blind Anon Server because of Eric Hughes's
  13. comments about the safety in ignorance. I wanted to run an anon
  14. server, maybe similar to Julf's remailer, but I did *not* want to know
  15. the connection between anon-ids and real IDs. I still wanted it to be
  16. easy to use so that someone who wanted to send mail to an anonymous
  17. person need only send it to a standard mail address, instead of using
  18. Hal's remailer return address block, which is an incredible pain to
  19. use.
  20.     The system I have hatched up is relatively secure. If you take
  21. the proper steps to secure your identity from me, even if I were
  22. keeping complete logs, I would still know nothing of your true
  23. identity and if my records were subpoenaed, I could freely hand over
  24. the contents of my records without any worry that the privacy of my
  25. users will be violated.
  26.     The system requires all commands to be pgp signed. Thus you
  27. will create a public/private keypair for your anonymous identity, and
  28. all administrative commands to the list regarding this identity must
  29. be signed by that key. You can send list commands from *any* address--
  30. an anon remailer, a friend's address, Julf's remailer, whatever.. and
  31. as long as it is signed by your identity's key, all will be well.
  32.  
  33. Setup
  34.     First you have to create your alias on the anonymous
  35. server. Creating the alias is easy, but setting it up to work right
  36. takes a bit of effort and bookkeeping on your part. (Maybe I'll write
  37. a client which can take care of all the bookkeeping.)
  38.     Create a pgp keypair with a User ID of the form "Psuedonym
  39. <alias@sitename>". Send your public key to
  40. admin@sitename with the subject line, "addkey". This
  41. will create for you an anonymous id which can be accessed via
  42. "alias@sitename". You should only send one key to the
  43. server in any single addkey request.
  44.     You have to choose an account name which hasn't been used
  45. before. In order to get the list of all account names which have been
  46. used and are not available, send a message with the subject "sendused
  47. address" to admin@sitename and the list of
  48. unavailable names will be sent to address, with the body of your request
  49. tacked on to the top, so you can use a remailer for the "address"
  50. and the body can be an encrypted mailing block-- you need not
  51. reveal your identity to me in any case.
  52.  
  53.     Starting an account gives you 100 credits.
  54.     Now if you would like to send a message to someone from 
  55. your newly formed alias, you can send a signed message to the 
  56. administration address (admin@sitename) with the "mailmessage" 
  57. command. For example:
  58.  
  59. ::mailmessage
  60. To: barney@black.net
  61. Subject:  here's the plans to the stealth bomber
  62. Keywords: bomber
  63.  
  64.     Here's the plans...
  65. --END OF MESSAGE--
  66.  
  67.     The message will be sent out from sitename just as if you
  68. had sent it out using a standard mail program from sitename.
  69.  
  70.     Then comes the more complex part. You have to tell my
  71. anonserver how mail to your alias will actually get to you. There are
  72. various levels of security which you can use. Because the remailernet
  73. is not very reliable, the idea is that you setup a number of paths
  74. which mail can get to you through, so that if one path goes down you
  75. can still use the other paths to get mail. You can either configure it
  76. so that mail to you goes through every path (for reliability with less
  77. security) or one path chosen at random (more secure but less
  78. reliable).
  79.     To add a path to your list of paths, you must send a signed
  80. message to the list, with the lines
  81.  
  82. ::addpath firsthop
  83. PATH INFORMATION GOES HERE
  84. --END OF PATH--
  85.  
  86.     The firsthop is the first hop along the path between my anon
  87. server and you. It *can* be your address, in which case there is a
  88. good deal of reliability, but you get absolutely no good security. The
  89. "path information" is what gets tacked onto the top of the body before
  90. the message gets sent to the first hop. Suppose your firsthop was
  91. Hal's remailer, hfinney@shell.portal.com.. You would have something like:
  92.  
  93. ::addpath hfinney@shell.portal.com
  94. ::
  95. Encrypted: PGP
  96.  
  97. -----BEGIN PGP MESSAGE-----
  98. Version: 2.3a
  99.  
  100. hEwCKlkQ745WINUBAfwPrO+z9LMBz7boyyC7gUqX/QCEZkXmJCeZYoskgtH5qqbi
  101. y4mYUL5a0ApbzrhPs8ULkPnW2c4Pfr1AfYSSgvrzpgAAAEvJtPOuQsW8IVQfl+iW
  102. CAr2gd5jax+t75qbux5U/RRxlbsq4cOeGrO/i/6Km6m71Vsdj0rquEQBvREnXxdj
  103. 81YsBM9QlFNxQAB8rrQ=
  104. =Ylli
  105. -----END PGP MESSAGE-----
  106. --END OF PATH--
  107.  
  108.     That pgp message is encrypted for Hal's remailer. When Hal's remailer gets the message, it will have this block on the front of the body. Hal's remailer can then decrypt it.. Maybe on the inside of this block you can put:
  109.  
  110. ::
  111. Anon-Send-To: <yourrealaddress>
  112.  
  113.     So then there's only one remailer on the chain between
  114. myserver and your real address. For more security you can embed
  115. *another* hop to another remailer with another encrypted address
  116. block. This can continue for as long as you want. The longer the path,
  117. the more secure, but the less reliable.
  118.  
  119.     Once the path has been added, you will be sent mail (through
  120. the anon server) encrypted with your key (all mail to your alias will
  121. be sent out encrypted with your key) with the pathnumber that your
  122. command created. Store this path number in a safe place, because you
  123. will need to use it when you test all your paths for reliability.
  124.     You can create multiple paths in this fashion. The remailer
  125. defaults to "spray" mode-- this means that mail to your alias will be
  126. sent through *each* of your paths. This adds reliability at the
  127. expense of security. (It makes traffic analysis easier.)
  128.     If you would like to turn off spray mode, send a command to
  129. admin@sitename:
  130.  
  131. ::randmode
  132.  
  133.     To turn spray mode on:
  134.  
  135. ::spraymode
  136.  
  137.  
  138.     You can actually use this spray mode for more than just an
  139. anon-server. If you'd like to create a mailing list, you can generate
  140. a keypair, distribute to everyone on the mailing list the secret key,
  141. and everyone can send into the anon server a path to themselves. Using
  142. spray mode, mail to the address will go out to every path. This of
  143. course means that anyone can subscribe or unsubscribe (Removing paths
  144. is described below) people to/from the list.
  145.  
  146. The Credit Scheme
  147.  
  148.     When you startup an account, you get 100 credits. When
  149. mail is sent out along one of the paths, credit is deducted from the
  150. account-- 1 credit per 512 bytes of traffic. Note that if you are in
  151. spray mode credits are deducted for *every* path which is active for
  152. your alias.
  153.     If your account does not have enough credit, when a message
  154. comes in you will get mail detailing the size of the message that was
  155. lost and the amount of credits you have in your account. (Size is
  156. listed in 512 byte blocks)
  157.  
  158. Removing paths
  159.  
  160.     If a certain path which you have active flakes out and becomes
  161. ineffective, you need some way of turning that path off so you're not
  162. paying for it in spray mode, and so you don't lose mail in random
  163. mode. That's what the disablepath command is for. To run the
  164. disablepath command you simply send the command (signed, as always) to
  165. admin@sitename:
  166.  
  167. ::disablepath pathnumber
  168.  
  169.     Pathnumber, here, is the number of the path which was assigned
  170. when you created that path. Hence it is useful for you to keep good
  171. records of your active and disabled paths.
  172.     It is possible to reenable a path once it has been
  173. disabled. In order to do this you need to remember the path number
  174. *and* the remailer that it's associated with. To recover a path you
  175. just send:
  176.  
  177. ::recoverpath firsthop pathnum
  178.  
  179.     And the path with the number pathnum is reactivated, with the
  180. firsthop that you give it in the recover command.
  181.  
  182.  
  183. Path Verification
  184.  
  185.     You will likely want to keep tabs such that you know when a
  186. given path flakes out on you. For this reaon the "regping" option is
  187. available. This command lets you tell the system how often you want
  188. the anon-server to send a message through every path of yours, with
  189. the pathnumber in the message (encrypted, of course) so that you can
  190. keep tabs on which paths are flaking out on you.
  191.     To set your ping frequency, use the regping command:
  192.  
  193. ::regping frequency
  194.  
  195.     Where frequency can be none, hourly, daily, or
  196. weekly. Remember that you are still being charged for these
  197. testpings. The system defaults to weekly.
  198.     To get a list of all your active paths, use the command
  199. "showpaths".  This command will send out a listing of the 
  200. pathnumber and first hop of each of your active paths:
  201.  
  202. ::showpaths
  203.  
  204.  
  205. Defeating Traffic Analysis
  206.  
  207.     The system works in concert with remail@sitename, which does
  208. the work to defeat traffic analysis. All mail to each path is first
  209. sent through remail@sitename for added difficulty in traffic analysis.
  210.  
  211.     remail@sitename is a standard cypherpunks remailer with PGP
  212. with a few added features. All outgoing mail is not delivered immediately
  213. upon receipt. Outgoing messages are stored in a pool until five minutes
  214. after each hour, when all messages in the pool are delivered in a random
  215. order, ignoring the order in which they came in.
  216.     Every minute there is also a chance that a random uuencoded 
  217. message is injected into the remailernet. Each message injected into
  218. the remailer net is sent through a random path of the remailers in
  219. the remailernet, usually between five and 20 hops.
  220.