Tor - The Onion Router
Wer ernsthaft Anonymisierung betreiben will, der muss mehr Aufwand betreiben. Den Datenverkehr nur über einen Proxy oder ein VPN-Gateway zu leiten reicht nicht aus. Eine weitere Möglichkeit wäre das Onion-Routing, wie es beim Anonymisierungs-Netzwerk Tor eingesetzt wird.
Das Tor-Netzwerk ist eine Sammlung von Servern, die als Tor-Server in verschiedenen anderen Servern auf der ganzen Welt verteilt sind und zusammen das Tor-Netzwerk bilden. Sie sind aber nicht direkt miteinander verbunden. Ein Teil dieser Server verbinden sich erst miteinander, wenn ein Anwender Datenpakete über das Tor-Netzwerk verschicken will.
Das Tor-Netzwerk verschleiert die IP-Adresse des Internet-Nutzers. Für einen kontaktierten Ziel-Server sieht es so aus, als kämen die Zugriffe von einem Rechner des Tor-Netzwerks. Der Betreiber des Ziel-Servers kann die echte IP-Adresse des Nutzers nicht herausbekommen. Auf diese Weise ist er nicht in der Lage den Nutzer anhand seiner IP-Adresse zu identifizieren.
Funktionsweise der Anonymisierung im Tor-Netzwerk
Für die Nutzung von Tor bedarf es der Installation eines Tor-SOCKS-Proxys oder eines Tor-Browser-Bundles. Beim Start verbindet sich die Software mit dem Tor-Netzwerk. Dabei besorgt sich die Software von einem Verzeichnis-Server die aktuelle Liste aller Tor-Server und erzeugt sich eine zufällige Route über mehrere Tor-Server durch das Tor-Netzwerk. Der zufällig zusammengewürfelte Weg verhindert die Zuordnung ein- und ausgehender Daten. Um die Latenzzeiten in Grenzen zu halten ist die Anzahl der Station auf 3 begrenzt. Um das Abhören zu erschweren wird alle 10 Minuten eine neue Route erzeugt. Was auf eine wirksame Anonymisierung schließen lässt, ist in der Praxis eine Schwäche des Tor-Netzwerks, weil die Deanonymisierung dadurch leichter ist. Um wirksam zu Anonymisieren müssten es mehr Stationen sein und die Route müsste öfter gewechselt werden.
Wenn die Tor-Server für die Route ermittelt sind vereinbart der Tor-Client nacheinander mit den aufeinanderfolgenden Tor-Servern jeweils eine eigene verschlüsselte Verbindung. Wenn die Verschlüsselung ausgehandelt ist, dann darf der Datenverkehr fließen.
Der Client verschlüsselt die Datenpakete für jede Zwischenstation im Tor-Netzwerk nacheinander. Dabei werden die Daten jeweils umgekehrt zur Route verschlüsselt. Also zuerst mit der Verschlüsselung des 3. Tor-Servers, dann mit dem 2. Tor-Server und als letztes mit dem 1. Tor-Server.
Jeder Tor-Server entschlüsselt seine Verschlüsselungsschicht um das Datenpaket und reicht es an den nächsten Tor-Server weiter. Jeder Tor-Server kennt dabei immer nur den nächsten Tor-Server für das Paket. Aber nicht die nächste oder übernächste Station oder gar das Ziel. Der 3. und letzte Tor-Server entfernt ebenfalls seine Verschlüsselung und reicht das Datenpaket ins Internet zum eigentlichen Ziel-Server weiter.
Wegen der verschachtelten Verschlüsselung über mehrere Station hinweg sind Internet-Verbindungen über das Tor-Netzwerk deutlich langsamer. Videos schauen, VoIP-Telefonie und Online-Gaming sind damit kaum oder nur eingeschränkt möglich.
Sicherheitsbelehrung für die Nutzung des Tor-Netzwerks
Tor-Server-Betreiber sind Freiwillige, die nicht kontrolliert werden und auch nicht kontrollierbar sind. Da man die Betreiber der Tor-Server nicht persönlich kennt, kann man ihnen nicht trauen. Im Prinzip steigt mit der Nutzung von Tor die Gefahr, dass jemand fremdes die Daten aufzeichnet. Tor-Server-Betreiber agieren zwangsläufig als Man-in-the-Middle, was für Kriminelle, Hacker und Geheimdienste eine interessante Möglichkeiten bietet unerkannt unverschlüsselten Datenverkehr mitzulesen.
Tor kümmert sich nur um die Anonymisierung. Zwar verschlüsselt Tor jeweils die Verbindung zwischen den Tor-Servern. Aber nur zum Zweck der Anonymisierung und damit die Daten innerhalb des Tor-Netzes sicher sind. Aber beim Austritt aus dem Tor-Netz kann der letzte Tor-(Exit-)Server die Daten aufzeichnen und auswerten. Um die Verschlüsselung der Daten kümmert sich Tor also nicht. Was auf der einen Seite unverschlüsselt in Tor hineingeschickt wird, kommt auf der anderen Seite unverschlüsselt wieder heraus.
Als Tor-Nutzer muss man davon ausgehen, dass die Betreiber der Tor-Server, Schindluder, kriminelle Aktivitäten und geheimdienstliche Aufklärung betreiben. Das reicht von Passwörter ausspähen bis zu Datendiebstahl und Datenmanipulation. Wer seine Daten über das Tor-Netz unverschlüsselt verschickt, der handelt grob fahrlässig. Zum Zweck der Datensicherheit und des Datenschutzes müssen über Tor verschickte Daten zusätzlich verschlüsselt werden.
Das größere Problem ist jedoch, dass auch mit Tor keine absolute Anonymität möglich ist. Es ist davon auszugehen, dass Tor vor Geheimdiensten keine Anonymität bieten kann.
Deanonymisierung des Datenverkehrs im Tor-Netzwerk durch Geheimdienste
Das Anonymisierungsnetz Tor gilt als heißer Tipp für mehr Privatheit im Internet. Doch darauf darf man sich nicht verlassen. Tor-Nutzer müssen davon ausgehen, dass ein Teil des Internet-Verkehrs in das Tor-Netz hinein und aus Tor hinaus von den Geheimdiensten beobachtet wird. Dabei suchen sie gezielt nach Traffic-Mustern, um den anonymisierten Datenverkehr zu deanonymisieren.
Beispiel: Das Laden einer Webseite ist im Prinzip eine Kette von HTTP-Anfragen für mehrere Dateien (Bilder, CSS, Javascript, usw.), deren Abfolge und Größe einem bestimmten Muster entspricht. Dieses Muster kann auf der Anwenderseite des Tor-Netzes erkannt und einer IP-Adresse zugeordnet werden.
Forscher haben herausgefunden, dass sich auf diese Weise rund 80% aller Tor-Nutzer nach 6 Monaten Betrieb eines mittleren Tor-Relays deanonymsieren lassen. Und wenn der Überwacher den kompletten Verkehr eines Teilbereichs des Internets kontrolliert (z. B. ein Autonomes System oder einen Internet Exchange Point), dann besteht die Möglichkeit, dass die Identität eines Tor-Nutzers mit einer 95-prozentigen Wahrscheinlichkeit innerhalb von drei Monaten aufgedeckt wird. Je mehr Netzteile der Überwacher kontrolliert, desto schneller dürfte der Vorgang sein.
Aber, in der Praxis ist die Deanonymisierung anscheinend komplexer als das Modell der Forscher. Bekannt ist, dass die NSA dieses Modell testet, aber nur mit mäßigem Erfolg. So heißt es zumindest. Erfolgversprechender sind wohl gezielte Angriffe auf Tor-Nutzer, in dem Sicherheitslücken ausgenützt werden, um Spionage-Software auf den Rechnern der Tor-Nutzer zu installieren. Es ist also nur bei einem kleinen Teil der Tor-Nutzer und nur durch einen manuellen Eingriff mit erheblichen Aufwand möglich diese zu deanonymisieren.
Also scheint die Anonymisierung durch Tor grundsätzlich zu funktionieren.
Was man noch wissen sollte
Tor (The Onion Router) ist ein Open-Source-Projekt, dass in seiner Anfangszeit von der US-Marine, ein Teil der US-Army, mitentwickelt wurde. Auch heute noch wird Tor weiterentwickelt und teilweise vom US-Verteidigungsministerium und anderen Teilen der US-Regierung finanziert. Hierzu muss man sagen, dass Teile der US-Regierung daran interessiert sind, dass Anonymität im Internet möglich ist. Andererseits untersteht dem Verteidigungsministerium auch der Geheimdienst NSA, dem man erheblichen Einfluss und Verwicklungen in die Entwicklung von Verschlüsselungs- und Anonymisierungstechniken unterstellen muss. Es ist davon auszugehen, dass die NSA die besten Spezialisten für Netzwerksicherheit besitzen und auf diese Weise in der Lage sind, unbemerkt Sicherheitslücken und Backdoors auch in standardisierte Verschlüsselungstechniken einzubauen.
Man muss dem US-Verteidigungsministerium unterstellen, dass es das Anonymisierungsnetzwerk Tor nur deshalb gibt, damit das Wissen um die Technik möglichst im eigenen Haus bleibt und um die Entwicklung wirksamerer Anonymisierungstechniken zu verhindern.
Der oft erwähnte Anonymisierungsdienst "Tor" bietet nur bedingt eine wirksame Anonymisierung. Zwar verschleiert die kostenlose Software die eigene IP-Adresse, indem Verbindungen über Umwege geschaltet werden. Man kann jedoch davon ausgehen, dass die Geheimdienste eigene Tor-Server betreiben und somit auch diese Netzwerke überwachen. Es ist davon auszugehen, dass "Tor" irgendwann nicht mehr sicher genug sein könnte.