Tor - The Onion Router
Das Tor-Netzwerk ist eine Sammlung von Servern, die auf der ganzen Welt verteilt sind und zusammen das Tor-Netzwerk bilden. Das Tor-Netzwerk anonymisiert bzw. verschleiert die ursprüngliche IP-Adresse eines Internet-Nutzers. Für einen kontaktierten Ziel-Server sieht es so aus, als kämen die Zugriffe von einem Rechner des Tor-Netzwerks. Der Betreiber des Ziel-Servers kann die echte IP-Adresse des Nutzers nicht herausbekommen. Auf diese Weise ist er nicht in der Lage den Nutzer anhand seiner IP-Adresse zu identifizieren.
Hinweis: Die Anonymisierung per Tor reicht nicht aus, wenn man sich im Internet wirklich anonym bewegen will. Tor verschleiert nur die IP-Adresse des Nutzers, nicht seine Identität. Wer ernsthaft an Anonymisierung interessiert ist, der muss mehr Aufwand betreiben. Neben der IP-Adresse gibt es noch andere Identifikationsmerkmale, die man bei einer wirksamen Anonymisierung ebenfalls verschleiern muss.
Funktionsweise der Anonymisierung im Tor-Netzwerk
Tor basiert auf der Annahme, dass der Überwacher (Identität erkennen und erfassen) nicht in der Lage ist, das gesamte Internet zu überwachen. Man kann den Überwacher dadurch verwirren, dass man seinen Datenverkehr über eine Reihe von Servern leitet, von denen der Überwacher keine Kenntnis und auf die er keinen Einfluss hat. Damit der Überwacher nicht in der Lage ist, der Weiterleitung zu folgen, muss mindestens einer dieser Server in einem Land stehen, dessen Internet "nicht total überwacht" wird. Und das gelingt auch nur dann, wenn es genug Nutzer gibt, die so viel Datenverkehr verursachen, dass Rückverfolgungen mit statistischen oder mathematischen Methoden nicht möglich sind.
Für die Nutzung von Tor bedarf es der Installation eines Tor-Proxys oder eines Tor-Browser-Bundles. Nennen wir es den Tor-Client. Beim Start verbindet sich der Tor-Client mit dem Tor-Netzwerk. Eine Liste der Tor-Server bringt der Tor-Client schon mit, oder befragt einen Directory Server nach der aktuellen Liste aller Tor-Server (Consensus Document). Der Client erzeugt sich anhand der Liste eine zufällige Route über mehrere Tor-Server durch das Tor-Netzwerk. Der zufällig zusammengewürfelte Weg verhindert die Zuordnung ein- und ausgehender Daten. Die Tor-Server sind dabei nicht direkt miteinander verbunden. Ein Teil dieser Server verbinden sich erst miteinander, wenn ein Anwender Datenpakete über das Tor-Netzwerk verschicken will.
Wenn die Tor-Server für die Route ermittelt sind vereinbart der Tor-Client nacheinander mit den aufeinanderfolgenden Tor-Servern jeweils eine eigene verschlüsselte Verbindung. Wenn die Verschlüsselung ausgehandelt ist, dann darf der Datenverkehr fließen.
Der Client verschlüsselt die Datenpakete für jede Zwischenstation im Tor-Netzwerk nacheinander. Dabei werden die Daten jeweils umgekehrt zur Route verschlüsselt. Also zuerst mit der Verschlüsselung des 3. Tor-Servers (Exit-Node), dann mit dem 2. Tor-Server und als letztes mit dem 1. Tor-Server (Entry-Guard).
Jeder Tor-Server entschlüsselt seine Verschlüsselungsschicht um das Datenpaket und reicht es an den nächsten Tor-Server weiter. Jeder Tor-Server kennt dabei immer nur den nächsten Tor-Server für das Paket. Aber nicht die nächste oder übernächste Station oder gar das Ziel. Der 3. und letzte Tor-Server entfernt ebenfalls seine Verschlüsselung und reicht das Datenpaket ins Internet zum eigentlichen Ziel-Server weiter.
Wegen der verschachtelten Verschlüsselung über mehrere Station hinweg sind Internet-Verbindungen über das Tor-Netzwerk deutlich langsamer. Um die Verzögerung (Latenz) durch die Weiterleitung zwischen den Tor-Servern in Grenzen zu halten ist die Anzahl der Station auf 3 begrenzt. Um das Abhören zu erschweren wird alle 10 Minuten eine neue Route erzeugt. Was auf eine wirksame Anonymisierung schließen lässt, ist in der Praxis eine Schwäche des Tor-Netzwerks, weil die Deanonymisierung dadurch leichter ist. Um wirksam zu Anonymisieren müssten es mehr Stationen sein und die Route müsste öfter gewechselt werden.
Die Verzögerung ist in jedem Fall so groß, dass Video-Streaming, VoIP-Telefonie und Online-Gaming nur eingeschränkt oder gar nicht möglich ist.
Exit-Node
Der Exit-Node ist das letzte Glied in der Server-Kette von Tor. Dieser Server stellt dem Tor-Nutzer den Zugang zum Internet zur Verfügung. Durchschnittlich sind etwa 1.000 davon in Betrieb. Daten, die von den Tor-Nutzern im Klartext ins Internet geschickt werden, kommen auch im Klartext an den Exit-Nodes an. Das Problem ist, dass man den Betreibern der Exit-Nodes nicht vertrauen kann. Deshalb sollte man darauf achten, dass man nur verschlüsselte Verbindungen über das Tor-Netzwerk betreibt.
Deanonymisierung
Problematisch ist die Sicherstellung der Anonymität durch Tor immer dann, wenn das Kommunikationsprotokoll zwischen Sender und Empfänger einen vorhersagbaren und zeitlichen Zusammenhang hat. Dann ist es für den Überwacher durchaus möglich aus der Korrelation von bestimmten Ereignissen in einer bestimmten Zeit einen Zusammenhang herzustellen. Der Datenaustausch oder die Datenübertragung muss also asynchron erfolgen. Es darf sich weder in Zeit und Größe ein Zusammenhang ergeben.
Beispiel: Das Laden einer Webseite ist im Prinzip eine Kette von HTTP-Anfragen für mehrere Dateien (Bilder, CSS, Javascript, usw.). Selbst wenn diese Dateien verschlüsselt sind, entspricht deren Abfolge und Größe einem bestimmten Muster. Dieses Muster kann auf der Anwenderseite des Tor-Netzes erkannt und einer IP-Adresse bzw. einem Nutzer zugeordnet werden, wenn es wiederholt auftritt.
Aus diesem Grund wird in die Übertragung künstlicher Datenverkehr eingebaut. Hier sorgen die anderen Nutzer für den künstlichen Datenverkehr. Das heißt auch, je mehr Tor-Nutzer es gibt, desto schwieriger gestaltet sich die Deanonymisierung einzelner Nutzer.
Doch trotzdem konnten Forscher rund 80% aller Tor-Nutzer nach 6 Monaten Betrieb eines mittleren Tor-Relays deanonymisieren. Und wenn der Überwacher den kompletten Verkehr eines Teilbereichs des Internets kontrolliert (z. B. ein Autonomes System oder einen Internet Exchange Point), dann besteht die Möglichkeit, dass die Identität eines Tor-Nutzers mit einer 95-prozentigen Wahrscheinlichkeit innerhalb von drei Monaten aufgedeckt wird. Je mehr Netzteile der Überwacher kontrolliert, desto schneller dürfte der Vorgang sein.
Es stellt sich natürlich die Frage, wie man sich vor einem Überwacher schützen will, der über genug Speicherkapazität und Rechenleistung verfügt, um Zusammenhänge im Datenverkehr des Tor-Netzwerks zu erkennen. Für einen Geheimdienst, der für die Totalüberwachung gerüstet ist, dürfte das technisch kein Problem sein, den Datenverkehr durch Tor zu deanonymisieren.
In der Praxis folgt die Deanonymisierung einem komplexen Modell, weshalb die Anonymisierung durch Tor grundsätzlich gut funktioniert. Man muss allerdings davon ausgehen, dass insbesondere Geheimdienste weitreichende Möglichkeiten haben und kein Aufwand zu groß ist, um Tor-Nutzer deanonymisieren zu können.
Sicherheitsbelehrung für die Nutzung des Tor-Netzwerks
Tor-Server-Betreiber sind Freiwillige, die nicht kontrolliert werden und auch nicht kontrollierbar sind. Da man die Betreiber der Tor-Server nicht persönlich kennt, kann man ihnen nicht trauen. Im Prinzip steigt mit der Nutzung von Tor die Gefahr, dass jemand fremdes die übertragenen Daten aufzeichnet. Tor-Server-Betreiber agieren zwangsläufig als Man-in-the-Middle, was für Kriminelle, Hacker und Geheimdienste eine interessante Möglichkeiten bietet unerkannt fremden Datenverkehr mitzulesen. Auch wenn er vielleicht verschlüsselt ist.
Tor kümmert sich nur um die Anonymisierung. Zwar verschlüsselt Tor jeweils die Verbindung zwischen den Tor-Servern. Aber nur zum Zweck der Anonymisierung und damit die Daten innerhalb des Tor-Netzes sicher sind. Aber beim Austritt aus dem Tor-Netz kann der letzte Tor-(Exit-)Server die Daten aufzeichnen und auswerten. Aber um die Verschlüsselung der Daten selber kümmert sich Tor nicht. Was auf der einen Seite unverschlüsselt ins Tor-Netzwerk hineingeschickt wird, kommt auf der anderen Seite unverschlüsselt wieder heraus.
Als Tor-Nutzer muss man davon ausgehen, dass die Betreiber der Tor-Server, Schindluder treiben, kriminelle Absichten haben oder geheimdienstliche Aufklärung betreiben. Das reicht von Passwörter ausspähen bis zu Datendiebstahl und Datenmanipulation. Wer seine Daten über das Tor-Netz unverschlüsselt verschickt, der handelt grob fahrlässig. Zum Zweck der Datensicherheit und des Datenschutzes müssen über Tor verschickte Daten immer zusätzlich verschlüsselt werden.
Hintergrund-Informationen zu Tor
Tor (The Onion Router) ist ein Open-Source-Projekt, dass in seiner Anfangszeit von der US-Marine, ein Teil der US-Army, mitentwickelt wurde. Auch heute noch wird Tor weiterentwickelt und teilweise vom US-Verteidigungsministerium und anderen Teilen der US-Regierung finanziert. Hierzu muss man sagen, dass Teile der US-Regierung daran interessiert sind, dass Anonymität im Internet möglich ist. Andererseits untersteht dem Verteidigungsministerium auch der Geheimdienst NSA, dem man erheblichen Einfluss und Verwicklungen in die Entwicklung von Verschlüsselungs- und Anonymisierungstechniken unterstellen muss. Es ist davon auszugehen, dass die NSA die besten Spezialisten für Netzwerksicherheit besitzen und auf diese Weise in der Lage sind, unbemerkt Sicherheitslücken und Backdoors auch in standardisierte Verschlüsselungstechniken und Open-Source-Software einzubauen.
Man muss dem US-Verteidigungsministerium unterstellen, dass es das Anonymisierungsnetzwerk Tor nur deshalb gibt, damit das Wissen um die Technik möglichst im eigenen Haus bleibt und um die Entwicklung wirksamerer Anonymisierungstechniken zu verhindern. Denn was es schon gibt, muss nicht mehr entwickelt werden.
Wie sicher ist Tor?
Das Anonymisierungsnetz Tor gilt als heißer Tipp für mehr Privatheit im Internet. Doch darauf darf man sich nicht verlassen. Tor-Nutzer müssen davon ausgehen, dass ein Teil des Internet-Verkehrs in das Tor-Netz hinein und aus Tor hinaus von Polizeibehörden und Geheimdiensten beobachtet wird. Dabei suchen sie gezielt nach Traffic-Mustern, um den anonymisierten Datenverkehr zu deanonymisieren bzw. Nutzer zu identifizieren.
Der Anonymisierungsdienst Tor bietet nur bedingt eine wirksame Anonymisierung. Zwar verschleiert die kostenlose Software die eigene IP-Adresse, indem Verbindungen über Umwege geschaltet werden. Man kann jedoch davon ausgehen, dass auch Geheimdienste eigene Tor-Server betreiben um Tor-Nutzer zu deanonymisieren. Es ist davon auszugehen, dass Tor irgendwann nicht mehr sicher genug sein könnte.
Der US-Geheimdienst NSA hält jeden für verdächtig, der Tor benutzt. Denn wer Tor nutzt, der muss wohl was zu verbergen haben. Als Tor-Nutzer muss man sich deswegen vorsichtig verhalten. Bekannt ist, dass Sicherheitslücken auf den Rechnern von Tor-Nutzern ausgenützt werden, um Spionage-Software darauf zu installieren. Als Tor-Nutzer muss man sich darüber im Klaren sein, dass man sich allein durch dessen Nutzung zur Zielscheibe macht und das Tor alleine vor Geheimdiensten keine wirkliche Anonymität bieten kann.
Alternativen zu Tor
Wenn Sie es für nötig halten, Ihre IP-Adresse verschleiern zu müssen, dann empfiehlt es sich eher einen VPN- oder Proxy-Anonymisierungsdienst zu verwenden. Die Gefahr, dass versucht wird, Ihnen Schadcode unterzujubeln, ist geringer.
Weitere verwandte Themen:
Frag Elektronik-Kompendium.de
Netzwerktechnik-Fibel
Alles was Sie über Netzwerke wissen müssen.
Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.
Artikel-Sammlungen zum Thema Netzwerktechnik
Collection: Netzwerk-Grundlagen
Was du über Netzwerk-Grundlagen wissen solltest.
Schützen Sie Ihr Netzwerk
Die TrutzBox enthält einen leistungsstarken Content-Filter, der Werbetracker blockiert und vor Schadcode auf bösartigen Webseiten schützt.
Alle Internet-fähigen Geräte, egal ob Desktop-PCs, vernetzte Produktionsanlagen und IoT-Geräte, werden vor Überwachung durch Tracker, Einschleusen von Schadsoftware und dem unbedachten Zugriff auf bösartige Webseiten geschützt.
- Sicheres Surfen mit Content-Filter und Blocker gegen Werbetracker
- Mehrstufige Sicherheitsarchitektur mit Stateful-Inspection-Firewall und Intrusion-Prevention-System
- Laufende Aktualisierung gegen neue Bedrohungen
Bestellen Sie Ihre TrutzBox mit integriertem Videokonferenz-Server jetzt mit dem Gutschein-Code "elko50" und sparen Sie dabei 50 Euro.
Mehr über die TrutzBox TrutzBox jetzt mit Gutschein-Code bestellen