Über Tor

Wie bereits erwähnt, ist es für einen Beobachter, der sowohl dich als auch die Zielwebseite oder deinen Tor-Ausgangsknoten sehen kann, möglich, die Zeitpunkte deines Datenverkehrs zu korrelieren, wenn er in das Tor-Netzwerk eintritt und auch wenn er es verlässt. Tor bietet keinen Schutz gegen ein solches Bedrohungsmodell.

Wenn eine Zensurbehörde oder eine Strafverfolgungsbehörde in der Lage ist, Teile des Netzes gezielt zu beobachten, können sie den Verdacht bestätigen, dass du regelmäßig mit deinem Freund sprichst, indem sie den Verkehr an beiden Enden beobachten und nur den Zeitpunkt dieses Verkehrs korrelieren. Dies ist nur nützlich, um zu überprüfen, ob die Parteien, die bereits im Verdacht stehen, miteinander zu kommunizieren, dies auch tun. In den meisten Ländern hat der für das Erlassen eines Haftbefehls erforderliche Anfangsverdacht bereits mehr Gewicht als die zeitliche Korrelation.

Da Tor außerdem Schaltkreise für mehrere TCP-Verbindungen wiederverwendet, ist es möglich, nicht-anonymen und anonymen Verkehr an einem bestimmten Exit-Knoten miteinander in Verbindung zu bringen, also sei vorsichtig, welche Anwendungen du parallel nebeneinander über Tor laufen lässt. Vielleicht solltest du sogar separate Tor-Clients für diese Anwendungen betreiben.

Die Internetkommunikation basiert auf einem Speicher- und Weiterleitungsmodell, das in Analogie zur Post verstanden werden kann: Daten werden in Blöcken übertragen, die IP-Datagramme oder Pakete genannt werden. Jedes Paket enthält eine Quell-IP-Adresse (des Absenders) und eine Ziel-IP-Adresse (des Empfängers), so wie gewöhnliche Briefe Postadressen von Absender und Empfänger enthalten. Der Weg vom Absender zum Empfänger führt über mehrere Router, wobei jeder Router die Ziel-IP-Adresse prüft und das Paket näher an sein Ziel weiterleitet. So erfährt jeder Router zwischen Sender und Empfänger, dass der Sender mit dem Empfänger kommuniziert. Grundsätzlich ist dein lokaler Internetdienstanbieter in der Lage, ein vollständiges Profil deiner Internetnutzung zu erstellen. Darüber hinaus kann jeder Server im Internet, der eines der Pakete sehen kann, ein Profil deines Verhaltens erstellen.

Das Ziel von Tor ist es, deine Privatsphäre zu verbessern, indem dein Datenverkehr durch eine Reihe von Proxys geleitet wird. Deine Kommunikation ist in mehreren Schichten verschlüsselt und wird über mehrere Sprünge durch das Tor-Netzwerk zum endgültigen Empfänger geleitet. Weitere Einzelheiten zu diesem Prozess findest du in dieser Visualisierung. Beachte, dass alles, was dein lokaler Internetdienstanbieter jetzt beobachten kann, ist, dass du mit Tor-Knoten kommunizierst. Ebenso sehen die Server im Internet nur, dass sie von Tor-Knoten kontaktiert werden.

Im Allgemeinen zielt Tor darauf ab, drei Datenschutzprobleme zu lösen:

Erstens verhindert Tor, dass Webseiten und andere Dienste deinen Standort erfahren, den sie nutzen können, um Datenbanken über deine Gewohnheiten und Interessen aufzubauen. Mit Tor verraten dich deine Internetverbindungen nicht standardmäßig - jetzt kannst du für jede Verbindung wählen, wie viele Informationen du preisgeben willst.

Zweitens verhindert Tor, dass Leute, die deinen Datenverkehr lokal beobachten (wie dein Internetdienstanbieter oder jemand, der Zugang zu deinem WLAN oder Router hat), herausfinden, welche Informationen du abrufst und woher du sie abrufst. Es hindert sie auch daran, zu entscheiden, was du lernen und veröffentlichen darfst - wenn du zu jedem Teil des Tor-Netzwerks gelangen kannst, kannst du jede Seite im Internet erreichen.

Drittens leitet Tor deine Verbindung durch mehr als ein Tor-Relay, so dass kein einzelnes Relay erfahren kann, was du vorhast. Da diese Relays von verschiedenen Personen oder Organisationen betrieben werden, bietet die Verteilung des Vertrauens mehr Sicherheit als der alte Ein-Sprung-Proxy-Ansatz.

Beachte jedoch, dass es Situationen gibt, in denen Tor diese Probleme nicht vollständig lösen kann: siehe den Eintrag unten über verbleibende Angriffe.

Der Name „Tor“ kann auf mehrere verschiedene Komponenten verweisen.

Tor ist ein Programm, das du auf deinem Computer ausführen kannst, um dich im Internet zu schützen. Er schützt dich, indem er deine Kommunikation durch ein verteiltes Netzwerk aus Relays schickt, betrieben von Freiwilligen aus der ganzen Welt: Dadurch wird verhindert, dass jemand, der deine Internetverbindung überwacht, erfährt, welche Websiten du besuchst, und es wird verhindert, dass die Websites, die du besuchst, deinen physischen Standort erfahren. Dieser Satz von freiwilligen Relays nennt sich das Tor-Netzwerk.

Der Weg, über den die meisten Leute Tor nutzen, ist mit dem Tor-Browser, einer Version von Firefox, die viele Datenschutzprobleme behebt. Du kannst mehr über Tor auf unserer Über-Uns-Seite lesen.

Das Tor-Projekt ist eine gemeinnützige Organisation, welche die Tor-Software betreut und weiterentwickelt.

Tor ist das Zwiebel-Routing-Netzwerk. Als wir 2001 – 2002 mit dem neuen Design und der Implementierung von Zwiebelrouting der nächsten Generation begannen, sagten wir den Leuten, dass wir an Zwiebelrouting arbeiteten, worauf sie erwiderten: „Toll. An welchem?“ Auch wenn Onion-Routing ein handelsüblicher Standardbegriff geworden ist, wurde Tor ursprünglich aus dem Onion routing Project geboren, welches vom Naval Research Lab betrieben wurde.

(Es hat außerdem eine schöne Bedeutung auf Deutsch und auf Türkisch.)

Beachte: Auch wenn es ursprünglich von einem Akronym abstammt, wird Tor nicht wie „TOR“ augesprochen. Nur der erste Buchstabe wird groß geschrieben. De facto können wir Leute, die keine unserer Webseiten gelesen haben (und deren gesamtes Wissen über Tor aus Zeitungsartikeln stammt) daran erkennen, dass sie es falsch aussprechen.

Nein, tut es nicht. Du musst ein separates Programm nutzen, welches deine Applikation und Protokoll versteht und weiß, wie man die Daten säubert oder „schrubbt“, die es sendet. Der Tor-Browser versucht, Daten auf Anwendungsebene, wie den User-Agent, uniform für alle Nutzer zu halten. Der Tor-Browser hat natürlich keinen Einfluss auf den Text, den du in Formulare eingibst.

Ein typischer Proxy-Anbieter setzt einen Server irgendwo im Internet auf und erlaubt dir, deinen Datenverkehr darüber zu leiten. Das erstellt eine simple, einfach aufrecht zu erhaltende Architektur. Alle Nutzer kommen und gehen durch denselben Server. Der Anbieter kann die Verwendung des Proxys in Rechnung stellen oder seine Kosten durch Werbung auf dem Server finanzieren. In der einfachsten Variante musst du nichts installieren. Du musst lediglich deinen Browser auf ihren Proxy-Server ausrichten. Einfache Proxy-Anbieter sind eine gute Lösung, wenn du online keinen Schutz deiner Privatsphäre und Anonymität willst und dem Server-Anbieter vertraust, dass er keine schlechten Dinge tut. Manche Proxy-Anbieter benutzen SSL, um die Verbindung zu ihnen zu sichern, was dich gegen lokale Lauscher schützt, wie solche in einem Café mit freiem WiFi.

Einfache Proxy-Anbieter verursachen auch einen einzelnen Fehlerpunkt. Der Anbieter weiß beides: Wer du bist und was du im Internet tust. Sie können deinen Datenverkehr sehen, während er durch ihre Server fließt. In manchen Fällen können sie sogar in deinen verschlüsselten Datenverkehr sehen, während sie ihn an deine Bank-Seite oder deine Online-Shops weiterleiten. Du musst darauf vertrauen, dass der Anbieter deinen Datenverkehr nicht beobachtet, seine eigene Werbung in den Datenstrom einschleust oder deine persönlichen Daten aufzeichnet.

Tor schickt deinen Datenverkehr durch mindestens 3 verschiedene Server, bevor er an seinem Ziel ankommt. Weil es separate Verschlüsselungsschichten für jedes der drei Relays gibt, kann jemand, der deine Internetverbindung beobachtet, sie nicht modifizieren oder lesen, was du ins Tor-Netzwerk sendest. Dein Datenverkehr zwischen dem Tor-Client (auf deinem Computer) und der Stelle irgendwo anders in der Welt, an der er wieder herauskommt, ist verschlüsselt.

Sieht der erste Server nicht, wo ich bin?

Möglich. Ein schlechter erster Server kann entschlüsselten Tor-Datenverkehr sehen, der von deinem Computer kommt. Er weiß aber immer noch nicht, wer du bist und was du über Tor tust. Er sieht nur „Diese IP-Adresse benutzt Tor“. Du bist immer noch davor geschützt, dass der Knoten herausfindet, wer du bist und wohin du im Internet gehst.

Kann der dritte Server nicht meinen Datenverkehr sehen?

Möglich. Ein schlechter dritter Server kann die Daten sehen, die du in Tor hineinsendest. Er wird nicht wissen, wer diese Daten gesendet hat. Wenn du eine Verschlüsselung benutzt (wie HTTPS), wird er nur das Ziel kennen. Sieh dir diese Visualisierung von Tor and HTTPS an, um zu verstehen, wie Tor und HTTPS interagieren.

Ja.

Die Tor-Software ist freie Software. Das bedeutet, dass wir dir das Recht geben, die Tor-Software, entweder modifiziert oder unmodifiziert, entweder kostenpflichtig oder kostenlos weiterzugeben. Du brauchst uns nicht um eine besondere Erlaubnis zu bitten.

Wenn du jedoch die Tor-Software weitergeben möchtest, musst du unserer LIZENZ folgen. Im Wesentlichen bedeutet das, dass du unsere LIZENZ-Datei zusammen in den Teil der Tor-Software, die du verteilst, einschließen musst.

Die meisten Leute, die uns diese Frage stellen, wollen aber nicht nur die Tor-Software verteilen. Sie wollen den Tor-Browser verbreiten. Dies beinhaltet Firefox Extended Support Release sowie die NoScript- und HTTPS-Everywhere-Erweiterungen. Auch für diese Programme musst du dich an deren Lizenz halten. Beide dieser Firefox-Erweiterungen werden unter der GNU General Public License vertrieben, während Firefox ESR unter der Mozilla Public License veröffentlicht wird. Der einfachste Weg, ihre Lizenzen zu befolgen, ist es, den Quellcode für diese Programme überall dort einzufügen, wo du deren Bundles einbindest.

Außerdem solltest du sicherstellen, dass du deine Leser nicht darüber verwirrst, was Tor ist, wer es herstellt und welche Eigenschaften es bietet (und nicht bietet). Siehe unsere Marken-F&A für Einzelheiten.

Es gibt viele andere Programme, die du mit Tor benutzen kannst, aber wir haben nicht bei allen die Anonymitätsproblematik gut genug untersuchen können, um eine sichere Konfiguration empfehlen zu können. Unser Wiki hat eine von der Gemeinschaft gepflegte Liste von Anweisungen für das Torifizieren bestimmter Anwendungen. Bitte ergänze diese Liste und hilf uns, sie korrekt zu halten!

Die meisten Leute benutzen den Tor-Browser, der alles enthält, was du brauchst, um mit Tor sicher im Internet zu surfen. Die Benutzung von Tor mit anderen Browsern ist gefährlich und nicht empfohlen.

Es gibt absolut keine Hintertür in Tor.

Wir kennen einige schlaue Anwälte, die sagen, dass es unwahrscheinlich ist, dass jemand versuchen wird, uns dazu zu zwingen, in unserer Gerichtsbarkeit (U.S.) eine hinzuzufügen. Wenn sie es von uns verlangen, werden wir das bekämpfen und (wie die Anwälte sagen) wahrscheinlich gewinnen.

Wir werden niemals eine Hintertür in Tor einbauen. Wir denken, dass eine Hintertür in Tor unverantwortlich für unsere Benutzer und generell ein schlechter Präzedenzfall für Sicherheitssoftware insgesamt wäre. Wenn wir jemals eine bewusste Hintertür in unsere Sicherheitssoftware einbauen würden, wäre das der Ruin für unseren professionellen Ruf. Niemand würde unserer Software jemals wieder vertrauen – aus gutem Grund!

Doch abgesehen davon existieren immer noch eine Menge subtiler Angriffe, die jemand versuchen könnte. Jemand könnte sich für uns ausgeben oder in unsere Computer einbrechen, oder so etwas in der Art. Tor ist quelloffen, und du solltest immer die Quelle (oder zumindest die Unterschiede seit der letzten Veröffentlichung) auf verdächtige Dinge überprüfen. Wenn wir (oder die Distributoren, die dir Tor gegeben haben) dir keine Quelle geben, ist das ein sicheres Zeichen, dass etwas Merkwürdiges vor sich geht. Du solltest auch die PGP-Signaturen in den Veröffentlichungen überprüfen, um sicherzustellen, dass niemand mit den Distributionsseiten herumgepfuscht hat.

Außerdem könnte es unbeabsichtigte Fehler in Tor geben, die deine Anonymität beeinträchtigen könnten. Wir finden und beheben regelmäßig anonymitätsrelevante Fehler, also stell’ sicher, dass du deine Tor-Versionen aktuell hältst.

Tor (wie alle aktuellen praktischen Anonymitätskonzepte mit niedriger Latenz) versagt, wenn der Angreifer beide Enden des Kommunikationskanals sehen kann. Nehmen wir zum Beispiel an, der Angreifer kontrolliert oder überwacht das Tor-Relay, das du für den Zugang zum Netz wählst, und kontrolliert oder überwacht auch die Website, die du besuchst. In diesem Fall kennt die Forschungs-Community kein praktikables Design mit geringer Latenz, das den Angreifer zuverlässig daran hindert, Volumen- und Zeitinformationen auf beiden Seiten miteinander in Verbindung zu bringen.

Was können wir also tun? Angenommen, der Angreifer kontrolliert C Relays oder kann sie beobachten. Angenommen, es gibt insgesamt N Relays. Wenn du jedes Mal, wenn du das Netz benutzt, neue Eingangs- und Exit-Relays auswählst, ist der Angreifer in der Lage, den gesamten von dir gesendeten Verkehr mit einer Wahrscheinlichkeit von (c/n)2 zu korrelieren. Für die meisten Benutzer ist die Profilerstellung jedoch genauso schlimm, wie ständig verfolgt zu werden: Sie wollen oft etwas tun, ohne dass ein Angreifer es bemerkt, und wenn der Angreifer es einmal bemerkt, ist das genauso schlimm wie wenn er es öfter bemerkt. Durch die Wahl vieler zufälliger Ein- und Ausgänge hat der Benutzer also keine Chance, dem Profiling durch diese Art von Angreifern zu entgehen.

Die Lösung sind „Einstiegs-Schutz-Server“: Jeder Tor-Client wählt zufällig ein paar Relays als Einstiegspunkte aus und benutzt nur diese Relays für den ersten Hop. Wenn diese Relays nicht kontrolliert oder beobachtet werden, kann der Angreifer nicht gewinnen, niemals, und der Benutzer ist sicher. Wenn diese Relays vom Angreifer beobachtet oder kontrolliert werden, sieht der Angreifer einen größeren Teil des Datenverkehrs des Benutzers – aber der Benutzer hat trotzdem kein besseres Profil als vorher. Der Nutzer hat also eine gewisse Chance (in der Größenordnung von (n-c)/n), die Profilerstellung zu vermeiden, während er vorher keine hatte.

Weitere Informationen findest du unter Eine Analyse der Beeinträchtigung von anonymen Protokollen, Verteidigung anonymer Kommunikation gegen passive Logging-Angriffe und insbesondere unter Aufspüren versteckter Server.

Die Beschränkung der Zugangsknoten kann auch gegen Angreifer helfen, die ein paar Tor-Knoten betreiben und einfach alle IP-Adressen der Tor-Benutzer aufzählen wollen. (Auch wenn sie nicht erfahren können, welche Ziele die Benutzer ansteuern, können sie mit einer bloßen Liste von Benutzern immer noch schlimme Dinge tun). Dieses Merkmal wird jedoch erst dann wirklich nützlich sein, wenn wir uns ebenfalls zu einem „Verzeichnis-Schutz“-Design verschieben.

Tor verwendet eine Vielzahl von verschiedenen Schlüsseln, die drei Ziele verfolgen: 1) Verschlüsselung, um die Vertraulichkeit der Daten innerhalb des Tor-Netzwerks zu gewährleisten, 2) Authentifizierung, damit die Clients wissen, dass sie mit den Relays sprechen, mit denen sie sprechen sollen, und 3) Signaturen, um sicherzustellen, dass alle Clients die gleiche Gruppe von Relays kennen.

Verschlüsselung: Erstens verwenden alle Verbindungen in Tor TLS-Link-Verschlüsselung, sodass Beobachter nicht sehen können, für welchen Kanal eine bestimmte Zelle bestimmt ist. Außerdem erstellt der Tor-Client einen einmaligen Schlüssel mit jedem Relay im Kanal; diese zusätzlichen Verschlüsselungsebenen bedeuten, dass nur das Exit-Relay die Zellen lesen kann. Beide Seiten verwerfen den Kanal-Schlüssel, wenn der Kanal endet, so dass es nicht möglich ist, den Datenverkehr aufzuzeichnen und dann in das Relay einzubrechen, um den Schlüssel zu finden.

Authentifizierung: Jedes Tor-Relay hat einen öffentlichen Entschlüsselungsschlüssel, den „Onion-Key“. Jedes Relay wechselt seinen Onion-Key alle vier Wochen. Wenn der Tor-Client Kanäle aufbaut, verlangt er bei jedem Schritt, dass das Tor-Relay seine Kenntnis des Onion-Schlüssels nachweist. Auf diese Weise kann der erste Knoten im Pfad nicht einfach den Rest des Pfades fälschen. Da der Tor-Client den Pfad auswählt, kann er sicherstellen, dass er die Eigenschaft des „verteilten Vertrauens“ von Tor erhält: kein einzelnes Relay im Pfad kann sowohl über den Client als auch über das, was der Client tut, Bescheid wissen.

Koordination: Woher wissen die Clients, welche Relays es gibt, und woher wissen sie, dass sie die richtigen Schlüssel für sie haben? Jedes Relay hat einen langfristigen öffentlichen Signierschlüssel, den so genannten „Identitätsschlüssel“. Jede Verzeichnisbehörde verfügt zusätzlich über einen „Verzeichnis-Signierschlüssel“. Die Verzeichnisbehörden stellen eine signierte Liste aller bekannten Relays zur Verfügung, und diese Liste enthält eine Reihe von Zertifikaten von jedem Relay (selbstsigniert durch ihren Identitätsschlüssel), die ihre Schlüssel, Standorte, Exit-Richtlinien usw. angeben. Wenn der Gegner also nicht die Mehrheit der Directory-Verzeichnisse kontrolliert (Stand 2022: 8 Verzeichnisse), kann er den Tor-Client nicht dazu verleiten, andere Tor-Relays zu benutzen.

Woher wissen die Clients, welches die Verzeichnisbehörden sind?

Die Tor-Software kommt mit einer eingebauten Liste von Standorten und öffentlichen Schlüsseln für jede Verzeichnisbehörde. Die einzige Möglichkeit, Benutzer zur Nutzung eines gefälschten Tor-Netzwerks zu verleiten, besteht also darin, ihnen eine speziell modifizierte Version der Software unterzujubeln.

Woher wissen die Nutzer, dass sie die richtige Software haben?

Wenn wir den Quellcode oder ein Paket weitergeben, signieren wir es digital mit GNU Privacy Guard. Siehe die Anleitung zur Überprüfung der Signatur des Tor-Browsers.

Um sicher zu sein, dass sie wirklich von uns signiert ist, musst du uns persönlich getroffen und eine Kopie unseres GPG-Schlüssel-Fingerabdrucks erhalten haben, oder du musst jemanden kennen, der das getan hat. Wenn du dir Sorgen über einen Angriff dieser Art machst, empfehlen wir dir, dich in der Sicherheits-Community zu engagieren und damit zu beginnen, Leute zu treffen.

Tor wird den gleichen Kanal für neue TCP-Streams für 10 Minuten wiederverwenden, solange der Kanal gut funktioniert. (Wenn der Kanal ausfällt, schaltet Tor sofort auf einen neuen Kanal um.)

Beachte jedoch, dass ein einzelner TCP-Stream (z. B. eine lange IRC-Verbindung) für immer im gleichen Kanal bleibt. Wir schalten nicht einzelne Streams von einem Kanal zum nächsten um. Andernfalls würde ein Angreifer, der nur einen Teil des Netzes einsehen kann, im Laufe der Zeit viele Gelegenheiten erhalten, dich mit deinem Ziel zu verbinden, und nicht nur eine.