- The Onion Router
-
Tor Entwickler: Roger Dingledine und Nick Matthewson Aktuelle Version: 0.2.0.34
(8. Februar 2009)Aktuelle Vorabversion: 0.2.1.14-rc
(12. April 2009)Betriebssystem: Plattformunabhängig Programmiersprache: C Kategorie: Sicherheitssoftware Lizenz: BSD-Lizenz Deutschsprachig: ja www.torproject.org Tor ist ein Netzwerk zur Anonymisierung der Verbindungsdaten. Es wird für TCP-Verbindungen eingesetzt und kann beispielsweise für Web-Browsing, Instant Messaging, IRC, SSH, E-Mail, P2P und andere benutzt werden. Tor schützt vor der Analyse des Datenverkehrs seiner Nutzer.
Inhaltsverzeichnis
Funktionsweise
Anonymes Surfen
Die Software basiert auf dem Prinzip des Onion Routing und wurde mit einigen Abwandlungen implementiert:
- Der Nutzer installiert auf seinem Computer einen Client, den so genannten Onion Proxy. Dieses Programm verbindet sich mit dem Tor-Netzwerk. In der Startphase lädt sich das Programm eine Liste aller vorhandenen und nutzbaren Tor-Server herunter. Diese mit einer digitalen Signatur versehene Liste wird von Verzeichnisservern (englisch directory server) aufbewahrt. Deren öffentliche Schlüssel werden mit dem Tor-Quellcode geliefert. Das soll sicherstellen, dass der Onion Proxy ein authentisches Verzeichnis erhält.
- Wenn die Liste empfangen ist, wählt der Onion Proxy eine zufällige Route über die Tor-Server.
- Der Client verhandelt mit dem ersten Tor-Server eine verschlüsselte Verbindung. Wenn diese aufgebaut ist, wird sie um einen weiteren Server verlängert. Diese Prozedur wiederholt sich noch einmal, so dass eine Verbindungskette immer drei Tor-Server enthält. Jeder Server kennt seinen Vorgänger und seinen Nachfolger. Die Entwickler des Projektes wählten drei Server, um möglichst große Anonymität bei noch akzeptabler Verzögerungszeit zu erreichen. Der Erfolg hängt dabei davon ab, dass mindestens einer der Server vertrauenswürdig ist und ein Angreifer nicht schon den Anfangs- und Endpunkt der Kommunikation überwacht.
- Nachdem eine Verbindung aufgebaut wurde, werden über diese Server die Daten versendet. Der letzte Server tritt dabei als Endpunkt der Kommunikation auf. Er wird als Exit-Server oder -Knoten (englisch exit node) bezeichnet.
Der oben beschriebene Verbindungsaufbau wird in regelmäßigen Abständen wiederholt und die Verbindungsstrecken werden nach etwa 10 Minuten gewechselt.
Die Pakete innerhalb des Tor-Netzwerkes werden immer verschlüsselt weitergegeben. Erst wenn der Exit-Knoten die Pakete weitergibt, können diese u. U. unverschlüsselt sein, z. B. beim Editieren in der Wikipedia. Daher ist es weiterhin wichtig Verschlüsselung einzusetzen, da der Betreiber eines Exit-Knotens ansonsten den kompletten Datenverkehr mitlesen kann.
Versteckte Dienste
Tor ermöglicht es, dass beide Seiten einer Kommunikation anonym bleiben. Der Abrufer von Informationen nutzt hierzu die vorgestellten Funktionen von Tor. Ein Anbieter von Informationen verwendet versteckte Dienste (englisch hidden services):
- Bob möchte einen Dienst anbieten (beispielsweise eine Webseite mit sensiblen Informationen). Zuerst richtet er die dazu notwendige Software (in dem Beispiel einen Webserver) auf dem betreffenden Rechner ein. In diesem Schritt ist Tor nicht involviert.
- Jetzt wird ein Schlüsselpaar erstellt, das den Dienst identifizieren soll. Die Tor-Software erledigt diesen Schritt automatisch.
- Zusammen mit einer Liste von zufällig ausgewählten Eintritts-Punkten (englisch introduction point) sendet er den öffentlichen Schlüssel an einen Verzeichnisserver und baut eine Verbindung zu den Eintritts-Punkten auf. Damit ist die Einrichtung des versteckten Dienstes abgeschlossen.
- Alice möchte eine Verbindung zu Bobs Dienst aufnehmen. Hierzu benötigt sie den Hash-Wert des öffentlichen Schlüssels. Dieser hat die Form wie 6sxoyfb3h2nvok2d.onion. Bobs Webseite könnte beispielsweise über die Adresse http://oldd6th4cr5spio4.onion/ erreichbar sein. Mit diesem Hash-Wert erhält Alice die Details des Dienstes vom Verzeichnisserver.
- Alice baut über das Tor-Netzwerk eine Verbindung zu einem zufälligen Tor-Server auf, den sie als Rendezvous-Punkt bestimmt.
- Danach baut sie eine weitere Verbindung zu einem der Eintritts-Punkte auf. Diese Information befand sich in den Details vom Verzeichnisserver. Alice schickt eine verschlüsselte Mitteilung an Bob. Dort ist der Rendezvous-Punkt beschrieben, zu der Alice eine Verbindung aufrecht erhält. Bob und Alice werden sich dort „treffen“.
- Nachdem Bob diese Mitteilung erhalten hat, entscheidet er, ob er mit Alice kommunizieren will und baut im positiven Fall eine Verbindung zum Rendezvous-Punkt auf.
- Am Rendezvous-Knoten werden die Kommunikationskanäle, die zu Bob und Alice gehören, verbunden. Beide können jetzt Daten austauschen, ohne dass sie gegenseitig ihre Identität kennen.
Grenzen der Anonymität
Tor bietet keine Anonymität gegen jeden Angreifer[1]. So ist es durch Überwachung einer ausreichend großen Anzahl von Tor-Knoten oder größeren Teilen des Internets möglich, nahezu sämtliche über Tor abgewickelte Kommunikation nachzuvollziehen[2]. Ein solches Szenario ist beispielsweise bei Betreibern von Internet-Knoten oder wichtigen Backbones – insbesondere durch Kooperation – durchaus vorstellbar: Gelingt es, den ersten und letzten Knoten der Verbindung zu überwachen, lässt sich mit Hilfe einer statistischen Auswertung auf den Ursprung der Verbindung schließen.[3]
Gegebenenfalls kann das auch durch staatliche Einflussnahme oder geheimdienstliche Tätigkeit erfolgen. Begünstigt wird es sowohl durch die Struktur des Internet, das sich stark auf einzelne Betreiber stützt, als auch durch die sehr ungleiche Verteilung der Tor-Server weltweit, die sich stark auf wenige Länder konzentrieren. Dadurch würde die Zusammenarbeit von wenigen Instanzen ausreichen, um die Wirkung von Tor deutlich zu schwächen.
Vor- und Nachteile des Anonymisierungsmodells
Tor basiert auf einem verteilten Anonymisierungsnetzwerk mit dynamischer Routenwahl. Bereits das unterscheidet Tor von vielen anderen Anonymisierungsdiensten, die auf dem Ansatz von statischen Routen in Form von Mixkaskaden beruhen. Die Grundannahme für die Sicherheit von Tor lautet, dass es niemandem möglich ist, große Teile des Internet zu überwachen. Diese Grundannahme ruft Kritik hervor. Zum einen ist fraglich, ob sie realistisch ist, zum anderen existiert mit dem Modell der Mixkaskade eine Möglichkeit der Anonymisierung bei Totalüberwachung des zu Grunde liegenden Netzwerkes – zumindest in der Theorie. Das theoretisch stärkere Modell der Mixkaskade muss bei der praktischen Umsetzung im Internet sehr viele Abstriche machen, um benutzbar zu bleiben: beispielsweise können nur bestimmte der benötigten Mixfunktionen tatsächlich implementiert werden. Dadurch kompensieren sich die Vorteile des Mixkaskadenmodells gegenüber dem Ansatz von Tor und die kaskadenbasierten Anonymisierungsdienste können ebenfalls nur eine sehr begrenzte Anonymität bieten.
Es gibt aber auch einige praktische Gründe, die explizit für das von Tor gewählte Konzept sprechen. So kann besonders das Ressourcenproblem, das beim Betrieb eines Anonymisierungsdienstes auftritt (es wird sehr viel Bandbreite und für die Kryptographie eine gewisse Rechenleistung benötigt) sehr einfach gelöst werden, indem die Ressourcen gemeinschaftlich erbracht werden können. Hier kann also nahezu jeder Besitzer eines Breitbandanschlusses durch Betrieb eines Tor-Knotens etwas zum Anonymisierungsdienst beitragen. Beim Mixkaskadenmodell muss die benötigte Bandbreite dagegen durch wenige Instanzen (Mixbetreiber) allein aufgebracht werden, um die Anonymitätsgruppen groß zu halten. Da dies für die Mixbetreiber entsprechende Kosten verursacht, stellt sich dort automatisch auch immer die Finanzierungsfrage. Andererseits stellt die niedrige Beteiligungshürde bei Tor auch immer eine Gefahr dar: es kann keine ausreichende Prüfung der Beteiligten erfolgen. So ist beispielsweise vorstellbar, dass eine Person unter verschiedenen Identitäten sehr viele Tor-Knoten betreibt. Verbindungen, die ausschließlich über die von ihr kontrollierten Knoten laufen, können dadurch aufgedeckt werden. Beim Mixkaskadenmodell sind wesentlich weniger Anonymitätsanbieter nötig – diese können also wesentlich besser auf ihre Identität und ihre Absichten geprüft werden. Auch im Falle staatlicher Zwangsmaßnahmen können sie sich selbst als auch ihre Nutzer juristisch verteidigen (wie beispielsweise bei JAP geschehen). Bei Tor existieren derartige gegenseitige Unterstützungen erst im Ansatz. Insbesondere für die Betreiber von Exit-Knoten können sich juristische Risiken ergeben. Denn als Betreiber des Knotens müssen sie bei eventuellem Missbrauch die Beschlagnahmung der Rechner durch Ermittlungsbehörden fürchten. Sie werden als Zeugen in dem betreffenden Verfahren behandelt. Jedoch kann es auch vorkommen, dass ein Verfahren gegen den Betreiber selbst geführt wird.[4]
Nicht zu vergessen ist aber auch, dass der stark verteilte Ansatz bei Tor gegenüber dem Mixkaskadenkonzept besser vor staatlichen Zwangsmaßnahmen bezüglich des Aufdeckens von Verbindungen schützt, da die staatlichen Stellen nicht wie beim Kaskadenansatz eine kleine Gruppe an Verantwortlichen gegenüber haben, mit denen sie die Überwachungsmaßnahmen direkt durchführen können. Sie müssten hier den wesentlich aufwändigeren und international kaum durchsetzbaren Umweg über die Netzbetreiber wählen. Strafverfolgung wird dadurch natürlich auch erheblich erschwert.
Geschichte des Projektes
Die ersten Ideen für das Tor-Projekt stammen aus dem Jahr 2000. Die Arbeit an Tor wurde 2002 durch Matej Pfajfar an der Universität Cambridge begonnen. In der ersten Zeit von 2002 bis 2004 wurde Tor durch das United States Naval Research Laboratory mit Unterstützung des Office of Naval Research (ONR) und der Defense Advanced Research Projects Agency (DARPA), vertreten durch Paul Syverson, und basierend auf der originalen Idee des Onion Routing entwickelt. Die weitere Entwicklung wurde vom Freehaven-Projekt unterstützt. Die Electronic Frontier Foundation unterstützte die Entwicklung von Tor zwischen dem letzten Quartal 2004 bis ins späte Jahr 2005 hinein. Seitdem finanziert sich das Projekt durch private Spenden.
Verwendung und Missbrauch
Tor befindet sich noch in einer frühen Entwicklungsphase und sollte laut den Entwicklern noch nicht für starke Anonymität im Internet verwendet werden. Trotzdem wird geschätzt, dass weltweit hunderttausende Benutzer von Tor Gebrauch machen. Die Server befinden sich in privater Hand und jeder Interessierte kann selbst einen Tor-Server betreiben. Die Architektur ist bereits für DSL-Zugänge ausgelegt. Somit kann jeder Nutzer mit einem DSL-Anschluss einen Tor-Server betreiben.
Im Zusammenhang mit Vorermittlungen der Staatsanwaltschaft Konstanz im Bereich der Verbreitung von Kinderpornographie wurden am 7. September 2006 einige deutsche Tor-Server beschlagnahmt, die bei Host-Providern angemietet und untergebracht waren. Die Ermittlungen richten sich nicht gegen deren Betreiber. Die Staatsanwaltschaft erhofft sich lediglich Erkenntnisse über die zugreifenden Nutzer. Aufgrund der Struktur des Tor-Netzwerk ist dies als hoffnungslos einzustufen, weshalb die Rechtmäßigkeit der Beschlagnahme zweifelhaft erscheint.[5] [6]
Dan Egerstad konnte mit einem Versuchsaufbau, in dem er fünf Exit-Knoten über eigene Rechner zur Verfügung stellte und diese mit Sniffer-Tools abhörte, darlegen, dass viele Nutzer die Sicherung der „letzten, unverschlüsselten Meile“ noch nicht berücksichtigen. Egerstad konnte unverschlüsselte Zugangsdaten, insbesondere von E-Mail-Postfächern aufzeichnen, und veröffentlichte einen Extrakt aus 100 Postfächern, die er Botschafts- und Regierungsangehörigen zuordnen konnte, um auf die Brisanz hinzuweisen und gleichsam zum Handeln zu bewegen. In diesem Zusammenhang soll laut einem Artikel vom 10. September 2007 eine stark gestiegene Anzahl von Exit-Knoten in China und den USA stehen.[7] Um Missbrauch dieser Art zu verhindern, genügt eine Ende-zu-Ende-Verschlüsselung, wie sie die meisten E-Mail-Dienste anbieten.
Überwindung der Internet-Zensur in China
Die Entwickler von Tor warben auf dem 23C3 für ihr Projekt und offenbarten gleichzeitig ihr Ziel, die Verbreitung von Tor in der Volksrepublik China voranzutreiben. Damit die Bevölkerung Chinas die Zensur durch das Golden Shield Project umgehen und beispielsweise unzensierte außenpolitische Informationen über China selbst abrufen kann, muss die Verbreitung von sogenannten Entry- und Exit-Knoten verstärkt werden. Gleichzeitig suchen die Entwickler, unterstützt von der auf dem 23C3 versammelten Community, nach Möglichkeiten, die Freigabe von Entry-Knoten (Tor-Server, die Datenverkehr in das Tor-Netzwerk einleiten) genauer zu kontrollieren, damit im schlimmsten Fall immer nur kleine Teile und nie das gesamte Verzeichnis der Tor-Server durch die zentralen Firewalls der Regierung geblockt werden können.
Mit dem Problem der sicheren Verbreitung von ausgewählten Teilen des Verzeichnisses befassen sich zunehmend unabhängige Entwicklergruppen, die sich nach dem 23C3 zur Lösung dieser Aufgabe gebildet haben. Nutzer von Tor können weiterhin auf die freie Enzyklopädie sowie die anderen von der WikiMedia Foundation betriebenen Projekte lesend zugreifen.
Herkunft des Namens
Tor ist ein Akronym und wird mit unterschiedlichen Bedeutungen belegt. Üblich ist die Bezeichnung The Onion Routing[8] (englisch onion = Zwiebel). Das Programm wird meist mit der Kurzform bezeichnet.
Literatur
- Roger Dingledine u. a.: Tor: The Second-Generation Onion Router. In: Proceedings of the 13th USENIX Security Symposium, August 9–13, 2004, San Diego, CA, USA, S. 303–320 (PDF; 172 KB)
- Marc Störing: Im Visier der Strafverfolger – Staatlicher Zugriff auf Anonymisierungsserver In: c't 24/2006, S. 208–210.
- Jens Kubieziel (2007): Anonym im Internet: Techniken der digitalen Bewegungsfreiheit, 1. Aufl., München: Open Source Press. ISBN 978-3-937514-42-0
Siehe auch
Quellen
- ↑ Design-Dokument von Tor
- ↑ Steven J. Murdoch und Piotr Zieliński: Sampled Traffic Analysis by Internet-Exchange-Level Adversaries (PDF)
- ↑ Übersicht aus der Tor-Webseite
- ↑ “Herr Weber”: Anonymisierungsdienst TOR: Wenn die Polizei 2× klingelt. In Datenschleuder 91/2007, Seiten 16 ff. (PDF; 8,1 MB)
- ↑ German police seize TOR servers 11/2006
- ↑ Marc Störing: Im Visier der Strafverfolger – Staatlicher Zugriff auf Anonymisierungsserver In: c't 24/2006, S. 208–210.
- ↑ Artikel vom 10. September 2007
- ↑ Erklärung von einem der Entwickler auf der Tor-Diskussionsliste
Weblinks
Wikimedia Foundation.