24C3: Die Zukunft von Tor und anderen Anonymisierungsdiensten
Tor-Gründer Roger Dingledine will Betreibern von Servern für das Netzwerk zum Verwischen der Nutzerspuren als Anreiz Vorrechte einräumen und Sprachübertragungen unterstützen, während Kritiker den Kaskadenansatz für überholt halten.
Roger Dingledine, der Gründer des Anonymisierungsnetzwerks Tor (The Onion Routing), hat auf dem 24. Chaos Communication Congress (24C3) in Berlin am gestrigen Samstag einen Ausblick auf die Zukunft des Dienstes zum Verwischen der Nutzerspuren gegeben. Demnach sollen über Tor bald auch Internet-Telefonate oder andere auf die Übertragung von Daten in Echtzeit angewiesene Anwendungen abgewickelt werden können. Im Kern geht es darum, den Transport von Bits und Bytes auch über UDP (User Datagram Protocol) erfolgen zu lassen. Der Datentransfer wird bei dieser Übermittlungsform nicht direkt bestätigt, um Verzögerungen zu vermeiden.
"Damit könnten die Leute ihre VoIP-Gespräche über Tor führen", erläuterte der Programmierer. Auch Games wie Quake könnten über das Anonymisierungsnetz dann gespielt werden. Er hoffe aber, dass dies nicht eines Tages den Löwenanteil der über Tor abgeschirmten Anwendungen ausmache. Prinzipiell geschützt werden solle der UDP-Transport durch das 2006 standardisierte Verschlüsselungsprotokoll Datagram Transport Layer Security (DTLS).
Weit oben auf Dingledines Agenda steht auch das Vorhaben, Netzbürgern größere Anreize zum Betreiben eigener leistungsstarker Tor-Server zu geben. Vorstellbar sei etwa, den Anbietern entsprechender Netzknoten eine bessere Leistung bei der eigenen Nutzung von Tor zur Verfügung zu stellen. Dabei sei aber darauf zu achten, dass die Anonymität nicht verloren gehe. Die Hüter der Tor-Verzeichnisse könnten Audits durchführen und gut funktionierende Server gleichsam mit "Goldsternen" bestücken, skizzierte Dingledine einen Lösungsansatz. Von diesen Stationen ausgehende Verbindungen könnten dann Prioritätsstatus erhalten. So würden letztlich die Kapazitäten für alle Nutzer anwachsen.
Gegenwärtig bilden laut dem Tor-Pionier 2000 Server das Rückgrat des Anonymisierungsnetzes. Die Zahl der Nutzer schätzt er auf über 200.000, der von ihnen verursachte Datenverkehr liege bei rund 1 Gigabit pro Sekunde. Bürgerrechtsorganisationen, Firmen und individuelle Nutzer würden genauso auf Tor setzen wie Mitarbeiter von Sicherheitsbehörden. Den Serverbetreibern unterstellt Dingledine im Großen und Ganzen genauso wenig böse Absichten wie den Nutzern, von denen seiner Meinung nach nur ein ganz geringer Anteil die Anonymität für das Begehen von Straftaten zu missbrauchen versuche. Selbst wenn ein "korrupter" Tor-Endknoten am Übergang zum gängigen Internet registrieren können, mit welcher außen stehenden Person ein Nutzer des Dienstes kommuniziere, bleibe dessen IP-Adresse trotzdem verborgen. Generell würden die so genannten "Exit"-Rechner ein Drittel aller Tor-Server ausmachen. Dies sei gerade so ausreichend, um die Funktionsfähigkeit zu gewährleisten. Mehr Auswahl bei den Ein- und Ausstiegsknoten wäre aber wünschenswert.
Angesichts der wachsenden Beliebtheit von Tor macht sich Dingledine zugleich aber auch Sorgen um die Skalierbarkeit und Wachstumsfähigkeit des Systems. Sollte es einmal 10.000 Server in dem Netzwerk geben, dürften nicht alle gezwungen werden, die zugleich deutlich angewachsenen Verzeichnisse erst stundenlang herunterzuladen. Man werde daher wohl zu einem Punkt kommen, an dem nicht mehr jeder Server mit jedem anderen Knoten in Verbindung stehen könne. Eine Lösung suche er zudem noch für Probleme mit Windows-Servern als Tor-Relays. Windows würde den Arbeitsspeicher bei Systemaufrufen für Internetanwendungen sehr speziell zuteilen, sodass es oft mit der Zeit zu Abstürzen komme. Stabiler seien kleine Windows-Server mit viel Speicher.
Dingledine räumte zugleich mit Gerüchten auf, dass es künftig Funktionen zum Blocken von Filesharing via Tor geben werde. Man könnte den Peer-to-Peer-Verkehr zwar theoretisch drosseln. Programme wie BitTorrent würden dies aber als "Angriff" auslegen und sich darauf einstellen. Natürlich sei eine Protokollanalyse an Ausgangsrechnern denkbar. Dafür müssten Datenpakete aber auf Inhalte geprüft werden, wodurch die Betreiber ihren Neutralitätsstatus verlieren und verschärften Haftungsprinzipien unterliegen dürften. Tor-Knoten würden daher reine Durchgangsstationen für Datenströme bleiben.
Berichten über Möglichkeiten zum Abgreifen von Passwörtern an Exit-Rechnern hielt der Hacker entgegen, dass Tor eigentlich nur IP-Adressen und Standorte so gut wie möglich innerhalb des Netzwerks verschlüssele und verberge. Vom Ausgangsrechner an benötige man aber für die sichere Übertragung von Inhalten genauso wie im regulären Internet zusätzliche Verschlüsselungsverfahren wie SSL-Verbindungen. Es werde jedoch an einer Zusatzfunktion namens Tor Flow gearbeitete, die vor nicht vertrauenswürdigen SSL-Zertifikaten warnen solle.
Einen neuen Seitenhieb auf die besonderen Schwierigkeiten, die allein deutsche Strafverfolger den Betreibern von Tor-Servern immer wieder bereiten, konnte sich Dingledine nicht verkneifen. Es sei nötig, den hiesigen Ermittlern besser zu erläutern, "wie das Internet funktioniert" und dass es darin zahlreiche Gefährdungen für die Privatsphäre gebe. Er werde kommende Woche persönlich mit Fahndern in Baden-Württemberg sprechen und bemühe sich um weitere Kontakte zu Strafverfolgern hierzulande. Nötig sei es auch, Rechtsanwälte speziell auf die Besonderheiten des Anonymisierungsnetzes hinzuweisen und eine juristische FAQ-Liste zu erstellen. Spenden für derlei Zwecke und für die Aufrechterhaltung deutscher Server nehme inzwischen auch der Chaos Computer Club (CCC) entgegen, sodass sie auch hierzulande von der Steuer abzusetzen seien. Bei der bevorstehenden Vorratsdatenspeicherung rät Dingledine wie die Hackervereinigung dazu, die einjährige Umsetzungsfrist voll auszuschöpfen und bis dahin jegliche derzeit noch erfolgende Logaufzeichnung schon im Ansatz zu unterbinden. Gar nicht erst generierte Daten müssten schließlich auch später nicht vorgehalten werden.
Für Len Sassaman von der Katholischen Universität Leuven sind Dienste wie Tor, die über Mix-Kaskaden laufen, dagegen naturgemäß für Angriffe anfällig und wiesen Probleme mit Hintertüren auf. Er plädiert daher für alternative Ansätze gemäß dem Prinzip des Private Information Retrieval (PIR), das seit 1995 erforscht werde. Einen Prototyp für einen entsprechenden Anonymisierungsdienst für E-Mail und E-Health-Anwendungen habe sein Team erstellt, wobei Mixminion für die Übertragung von Botschaften genutzt werde. Über das so genannte Pynchon-Gate und einen "Nym-Server" würde die Kommunikation dabei in einzelne "Körbe" unterteilt, die eine Verbindungskomponente (der "Collator") über einen dreistufige Hash-Struktur wieder verknüpfe. Die Botschaften müssten dabei in einem festen Rhythmus abgefragt werden, der momentan noch auf einmal täglich festgelegt sei. Eine zusätzlich Prüfungsinstanz ("Validator") sorge dabei dafür, dass nicht vertrauenswürdige Server zurückverfolgt werden könnten. Einen Regelbetrieb des Systems peilt Sassamann aber erst für 2015 an.
Zum diesjährigen Chaos Communication Congress siehe auch:
- Aus dem Tagebuch eines Spions
- CDU und SPD fordern "Zurückrollen" Schäubles
- Barcode-Systeme anfällig für schwere Hackerangriffe
- Linux voll lauffähig auf der Xbox 360
- Scharfe Kritik an der Fluggastdatensammlung
- Gezielte Trojaner-Attacken im Informationskrieg
- Hackerfreiräume und Anonymisierungsdienste
- Haushaltshacker testen das Pfandsystem
- Kampf gegen Schäubles Computerwanze
- Hacker gegen 24-Stunden-Rundum-Überwachung
- Das Hackerchaos dräut erneut in Berlin
(Stefan Krempl) / (it)
