28. Nov 2008, 15:02

Tor
Entwickler:	Roger Dingledine und Nick Matthewson
Aktuelle Version:	0.2.0.32 (20. November 2008)
Aktuelle Vorabversion:	0.2.1.7-alpha (8. November 2008)
Betriebssystem:	Plattformunabhängig
Kategorie:	Sicherheitssoftware
Lizenz:	BSD-Lizenz
Deutschsprachig:	ja
www.torproject.org

Tor ist ein Netzwerk zur Anonymisierung der Verbindungsdaten. Es wird für TCP-Verbindungen eingesetzt und kann beispielsweise für Web-Browsing, Instant Messaging, IRC, SSH, E-Mail, P2P und andere benutzt werden. Tor schützt vor der Analyse des Datenverkehrs seiner Nutzer.

Inhaltsverzeichnis 1 Herkunft des Namens 2 Funktionsweise 2.1 Anonymes Surfen 2.2 Versteckte Dienste 2.3 Grenzen der Anonymität 2.4 Vor- und Nachteile des Anonymisierungsmodells 3 Geschichte des Projektes 4 Verwendung und Missbrauch 5 Überwindung der Internet-Zensur in China 6 Literatur 7 Siehe auch 8 Quellen 9 Weblinks

[Bearbeiten] Herkunft des Namens

Tor ist ein Akronym und wird mit unterschiedlichen Bedeutungen belegt. Üblich ist die Bezeichnung The Onion Routing^[1] (engl. onion = Zwiebel). Das Programm wird meist mit der Kurzform bezeichnet.

[Bearbeiten] Funktionsweise

[Bearbeiten] Anonymes Surfen

Die Software basiert auf dem Prinzip des Onion Routing und wurde mit einigen Abwandlungen implementiert:

1. Der Nutzer installiert auf seinem Computer einen Client, den so genannten Onion Proxy. Dieses Programm verbindet sich mit dem Tor-Netzwerk. In der Startphase lädt sich das Programm eine Liste aller vorhandenen und nutzbaren Tor-Server herunter. Diese mit einer digitalen Signatur versehene Liste wird von Verzeichnisservern aufbewahrt, deren öffentliche Schlüssel mit dem Tor-Quellcode geliefert werden, um sicherzustellen, dass der Onion Proxy ein authentisches Verzeichnis erhält.
2. Wenn die Liste empfangen ist, wählt der Onion Proxy eine zufällig gewählte Route über die Tor-Server.
3. Der Client verhandelt mit dem ersten Tor-Server eine verschlüsselte Verbindung. Wenn diese aufgebaut ist, wird sie um einen neuen Server erweitert. Ein Tor-Server kennt jeweils immer seinen Vorgänger und seinen Nachfolger. Tor baut dabei eine Verbindung über genau drei Server auf, um möglichst große Anonymität bei noch akzeptabler Latenz zu erreichen. Der Erfolg hängt dabei davon ab, dass mindestens einer der Server vertrauenswürdig ist und ein Angreifer nicht schon den Anfangs- und Endpunkt der Kommunikation überwacht.
4. Nachdem eine Verbindung aufgebaut wurde, werden über diese Server die Daten versendet. Der letzte Server tritt dabei als Endpunkt der Kommunikation auf. Er wird auch als Exit-Server oder -Knoten (engl. exit node) bezeichnet.

Der oben beschriebene Verbindungsaufbau wird in regelmäßigen Abständen wiederholt und die Verbindungsstrecken werden nach etwa 10 Minuten gewechselt.

Die Pakete innerhalb des Tor-Netzwerkes werden immer verschlüsselt weitergegeben. Erst wenn der Exit-Knoten die Pakete weitergibt, können diese u. U. unverschlüsselt sein, z. B. beim Editieren in der Wikipedia. Daher ist es weiterhin wichtig Verschlüsselung einzusetzen, da der Betreiber eines Exit-Knotens ansonsten den kompletten Datenverkehr mitlesen kann.

[Bearbeiten] Versteckte Dienste

Tor ermöglicht es auch, dass beide Seiten einer Kommunikation anonym bleiben. Dazu wird das Konzept der versteckten Dienste (engl. hidden services) verwendet.

1. Bob, der einen Dienst anbieten möchte, erstellt ein Schlüsselpaar, das ihn identifizieren soll.
2. Zusammen mit einer Liste von zufällig aus allen Tor-Servern ausgewählten Eintritts-Punkten (engl. introduction point) sendet er den öffentlichen Schlüssel an einen Verzeichnisserver.
3. Alice, die den Dienst nutzen möchte, benötigt dazu den Hash-Wert des öffentlichen Schlüssels, den sie in der Form einer Web-Adresse wie http://6sxoyfb3h2nvok2d.onion von jemandem bekommen hat. Mit diesem Hash-Wert kann sie die Details über den Dienst vom Verzeichnisserver erhalten.
4. Alice baut nun über das Tor-Netzwerk eine Verbindung zu einem zufälligen Tor-Server auf, den sie als Rendezvous-Punkt bestimmt.
5. Danach baut sie ebenfalls eine Verbindung zu einem von Bobs Eintritts-Punkten auf und schickt eine mit dem öffentlichen Schlüssel des Dienstes verschlüsselte Mitteilung an Bob, die ihm mitteilt, an welchem Rendezvous-Punkt sie sich „treffen“.
6. Bob erhält die Mitteilung vom Eintritts-Punkt und baut eine Verbindung zum Rendezvous-Punkt auf.
7. Am Rendezvous-Knoten werden die Kommunikationskanäle, die er zu Bob und Alice hat, verbunden. Beide können nun kommunizieren, ohne dass sie ihre Identität kennen.

[Bearbeiten] Grenzen der Anonymität

Tor bietet, wie alle Anonymisierungsdienste für Echtzeitanwendungen (z. B. das Surfen im Internet), nur einen sehr begrenzten Schutz der Anonymität. So ist es durch Überwachung einer ausreichend großen Anzahl von Tor-Knoten bzw. großer Teile des Internets möglich, nahezu sämtliche über Tor abgewickelte Kommunikation nachzuvollziehen. Dabei bedeutet ein größeres Überwachungspotential eine entsprechend größere Erfolgsrate beim Deanonymisieren der Verbindungen. Ein solches Szenario ist beispielsweise bei Betreibern von Internet-Knoten bzw. wichtigen Backbones – insbesondere durch Kooperation – durchaus vorstellbar: Gelingt es, den ersten und letzten Knoten der Verbindung zu überwachen, lässt sich mit Hilfe einer statistischen Auswertung auf den Ursprung der Verbindung schließen.^[2]

Gegebenenfalls kann dies auch durch staatliche Einflussnahme bzw. geheimdienstliche Tätigkeit erfolgen. Begünstigt wird dies sowohl durch die Struktur des Internet, welches sich stark auf einzelne Betreiber stützt, als auch durch die sehr ungleiche Verteilung der Tor-Server weltweit, die sich stark auf wenige Länder konzentrieren. Dadurch würde jeweils die Zusammenarbeit von wenigen Instanzen ausreichen, um Tor wirkungslos zu machen.

[Bearbeiten] Vor- und Nachteile des Anonymisierungsmodells

Tor basiert auf einem verteilten Anonymisierungsnetzwerk mit dynamischer Routenwahl. Bereits dies unterscheidet Tor von vielen anderen Anonymisierungsdiensten, die auf dem Ansatz von statischen Routen in Form von Mixkaskaden beruhen. Die Grundannahme für die Sicherheit von Tor lautet, dass es niemandem möglich ist, große Teile des Internet zu überwachen. Diese Grundannahme ruft Kritik hervor. Zum einen ist fraglich, ob sie realistisch ist, zum anderen existiert mit dem Modell der Mixkaskade eine Möglichkeit der Anonymisierung auch bei Totalüberwachung des zu Grunde liegenden Netzwerkes – zumindest in der Theorie. Das theoretisch stärkere Modell der Mixkaskade muss aber bei der praktischen Umsetzung im Internet sehr viele Abstriche machen, um benutzbar zu bleiben: beispielsweise können nur bestimmte der benötigten Mixfunktionen tatsächlich implementiert werden. Dadurch kompensieren sich die Vorteile des Mixkaskadenmodells gegenüber dem Ansatz von Tor und die kaskadenbasierten Anonymisierungsdienste können ebenfalls nur eine sehr begrenzte Anonymität bieten.

Es gibt aber auch einige praktische Gründe, die explizit für das von Tor gewählte Konzept sprechen. So kann besonders das Ressourcenproblem, welches beim Betrieb eines Anonymisierungsdienstes auftritt (es wird sehr viel Bandbreite und für die Kryptographie eine gewisse Rechenleistung benötigt) sehr einfach gelöst werden, indem die Ressourcen gemeinschaftlich erbracht werden können. Hier kann also nahezu jeder Besitzer eines Breitbandanschlusses durch Betrieb eines Tor-Knotens etwas zum Anonymisierungsdienst beitragen. Beim Mixkaskadenmodell muss die benötigte Bandbreite dagegen durch wenige Instanzen (Mixbetreiber) allein aufgebracht werden, um die Anonymitätsgruppen groß zu halten. Da dies für die Mixbetreiber entsprechende Kosten verursacht, stellt sich dort automatisch auch immer die Finanzierungsfrage. Andererseits stellt die niedrige Beteiligungshürde bei Tor auch immer eine Gefahr dar: es kann keine ausreichende Prüfung der Beteiligten erfolgen. So ist beispielsweise vorstellbar, dass eine Person unter verschiedenen Identitäten sehr viele Tor-Knoten betreibt. Verbindungen, die dann ausschließlich über die von ihr kontrollierten Knoten laufen, können dadurch aufgedeckt werden. Beim Mixkaskadenmodell sind wesentlich weniger Anonymitätsanbieter nötig – diese können also wesentlich besser auf ihre Identität und ihre Absichten geprüft werden. Auch im Falle staatlicher Zwangsmaßnahmen können sie sich selbst als auch ihre Nutzer juristisch verteidigen (wie beispielsweise bei JAP geschehen). Bei Tor existieren derartige gegenseitige Unterstützungen erst im Ansatz. Insbesondere für die Betreiber von Exit-Knoten können sich juristische Risiken ergeben. Denn als Betreiber des Knotens müssen sie bei eventuellem Missbrauch die Beschlagnahmung der Rechner durch Ermittlungsbehörden fürchten. Sie werden in der Regel als Zeugen in dem betreffenden Verfahren behandelt. Jedoch kann es auch vorkommen, dass ein Verfahren gegen den Betreiber selbst geführt wird.^[3]

Nicht zu vergessen ist aber auch, dass der stark verteilte Ansatz bei Tor gegenüber dem Mixkaskadenkonzept besser vor staatlichen Zwangsmaßnahmen bezüglich des Aufdeckens von Verbindungen schützt, da die staatlichen Stellen nicht wie beim Kaskadenansatz eine kleine Gruppe an Verantwortlichen gegenüber haben, mit denen sie die Überwachungsmaßnahmen direkt durchführen können. Sie müssten hier den wesentlich aufwändigeren und international kaum durchsetzbaren Umweg über die Netzbetreiber wählen. Strafverfolgung wird dadurch natürlich auch erheblich erschwert.

[Bearbeiten] Geschichte des Projektes

Die ersten Ideen für das Tor-Projekt stammen aus dem Jahr 2000. Die Arbeit an Tor wurde 2002 durch Matej Pfajfar an der Universität Cambridge begonnen. In der ersten Zeit von 2002 bis 2004 wurde Tor durch das United States Naval Research Laboratory mit Unterstützung des Office of Naval Research (ONR) und der Defense Advanced Research Projects Agency (DARPA), vertreten durch Paul Syverson, und basierend auf der originalen Idee des Onion Routing entwickelt. Die weitere Entwicklung wurde vom Freehaven-Projekt unterstützt. Die Electronic Frontier Foundation unterstützte die Entwicklung von Tor zwischen dem letzten Quartal 2004 bis ins späte Jahr 2005 hinein. Seitdem finanziert sich das Projekt durch private Spenden.

[Bearbeiten] Verwendung und Missbrauch

Tor befindet sich noch in einer frühen Entwicklungsphase und sollte laut den Entwicklern noch nicht für starke Anonymität im Internet verwendet werden. Trotzdem wird geschätzt, dass weltweit hunderttausende Benutzer von Tor Gebrauch machen. Die Server befinden sich in privater Hand und jeder Interessierte kann selbst einen Tor-Server betreiben. Die Architektur ist bereits für DSL-Zugänge ausgelegt, d. h. jeder Nutzer mit DSL kann auch einen Tor-Server betreiben.

Im Zusammenhang mit Vorermittlungen der Staatsanwaltschaft Konstanz im Bereich der Verbreitung von Kinderpornographie wurden am 7. September 2006 einige deutsche Tor-Server beschlagnahmt, die bei Host-Providern angemietet und untergebracht waren. Die Ermittlungen richten sich nicht gegen deren Betreiber. Die Staatsanwaltschaft erhofft sich lediglich Erkenntnisse über die zugreifenden Nutzer. Aufgrund der Struktur des Tor-Netzwerk ist dies als hoffnungslos einzustufen, weshalb die Rechtmäßigkeit der Beschlagnahme zweifelhaft erscheint.^{[4] [5]}

Dan Egerstad konnte mit einem Versuchsaufbau, in dem er fünf Exit-Knoten über eigene Rechner zur Verfügung stellte und diese mit Sniffer-Tools abhörte, darlegen, dass viele Nutzer die Sicherung der „letzten, unverschlüsselten Meile“ noch nicht berücksichtigen. Egerstad konnte unverschlüsselte Zugangsdaten, insbesondere von E-Mail-Postfächern aufzeichnen, und veröffentlichte einen Extrakt aus 100 Postfächern, die er Botschafts- und Regierungsangehörigen zuordnen konnte, um auf die Brisanz hinzuweisen und gleichsam zum Handeln zu bewegen. In diesem Zusammenhang soll laut einem Artikel vom 10. September 2007 eine stark gestiegene Anzahl von Exit-Knoten in China und den USA stehen.^[6] Um Missbrauch dieser Art zu verhindern, genügt eine Ende-zu-Ende-Verschlüsselung, wie sie die meisten E-Mail-Dienste anbieten. Unter Umständen kann dadurch aber wieder auf die Identität des Nutzers zurückgeschlossen werden.

[Bearbeiten] Überwindung der Internet-Zensur in China

Die Entwickler von Tor warben auf dem 23C3 für ihr Projekt und offenbarten gleichzeitig ihr Ziel, die Verbreitung von Tor in der Volksrepublik China voranzutreiben. Damit die Bevölkerung Chinas die Zensur durch das Golden Shield Project umgehen und beispielsweise unzensierte außenpolitische Informationen über China selbst abrufen kann, muss die Verbreitung von sogenannten Entry- und Exit-Knoten verstärkt werden. Gleichzeitig suchen die Entwickler, unterstützt von der auf dem 23C3 versammelten Community, fieberhaft nach Möglichkeiten, die Freigabe von Entry-Knoten (Tor-Server, welche Datenverkehr in das Tor-Netzwerk einleiten) genauer zu kontrollieren, damit im schlimmsten Fall immer nur kleine Teile, aber nie das gesamte Serververzeichnis durch die zentralen Firewalls der Regierung geblockt werden können.

Mit dem Problem der sicheren Verbreitung von ausgewählten Teilen des Verzeichnisses befassen sich auch zunehmend unabhängige Entwicklergruppen, die sich nach dem 23C3 zur Lösung dieser Aufgabe gebildet haben. Zum jetzigen Zeitpunkt ist sogar die Nutzung von Wikipedia in der Volksrepublik China unterbunden. Nutzer von Tor können jedoch auch weiterhin auf die freie Enzyklopädie sowie die anderen von der WikiMedia Foundation betriebenen Projekte lesend zugreifen.

[Bearbeiten] Literatur

• Roger Dingledine u. a.: Tor: The Second-Generation Onion Router. In: Proceedings of the 13th USENIX Security Symposium, August 9–13, 2004, San Diego, CA, USA, S. 303–320 (PDF; 172 KB)
• Marc Störing: Im Visier der Strafverfolger – Staatlicher Zugriff auf Anonymisierungsserver In: c't 24/2006, S. 208–210.
• Jens Kubieziel (2007): Anonym im Internet: Techniken der digitalen Bewegungsfreiheit, 1. Aufl., München: Open Source Press. ISBN 978-3-937514-42-0

[Bearbeiten] Siehe auch

• Anonymisierer
• I2P
• Vidalia (Tor)

[Bearbeiten] Quellen

1. ↑ Erklärung von einem der Entwickler auf der Tor-Diskussionsliste
2. ↑ Auswertung Tor Handbuch
3. ↑ “Herr Weber”: Anonymisierungsdienst TOR: Wenn die Polizei 2× klingelt. In Datenschleuder 91/2007, Seiten 16 ff. (PDF; 8,1 MB)
4. ↑ German police seize TOR servers 11/2006
5. ↑ Marc Störing: Im Visier der Strafverfolger – Staatlicher Zugriff auf Anonymisierungsserver In: c't 24/2006, S. 208–210.
6. ↑ Artikel vom 10. September 2007

[Bearbeiten] Weblinks

• Offizielle Website des Tor Projekts
• Proxy-Seite zum Surfen im Tor-Netzwerk ohne eigene Tor-Installation
• Sicher und anonym im Internet mit Proxys von der Raven Homepage

Dieser Artikel ist eine Kopie aus der freien Enzyklopädie Wikipedia. Am Originalartikel kann jeder Korrekturen und Ergänzungen vornehmen. Zudem kann man frühere Versionen einsehen.

Abkürzungen • Dateiendungen • Netzjargon