Über den E-Mail Dienst Securemail können Nutzer ihre E-Mails anonym via Tor-Netzwerk verschicken. In diesem Beitrag soll etwas näher erläutert werden, wie Tor eigentlich arbeitet.

Grundsätzliches zum Tor-Netzwerk

Tor ermöglicht das anonyme ‌Surfen‌, Messaging, Browsing und auch das Versenden von E-Mails mit einer ‌Software‌, die auf‌ ‌dem‌ ‌sogenannten ‌‌Onion-Routing basiert. Das bedeutet eine Verschlüsselung schichtweise wie bei einer Zwiebel (engl. onion). Damit dies auch für einen E-Mail Dienst wie Securemail funktioniert, müssen Anwender wie folgt vorgehen:

  • #1: Zunächst installiert der‌ ‌Nutzer‌ ‌auf‌ ‌seinem‌ ‌‌Computer‌‌ den sogenannten‌ ‌Onion-Proxy‌ als Client‌.‌ ‌Dieses‌ ‌Programm‌ ‌stellt die Verbindung zum ‌Tor-Netzwerk her.‌ Während ‌der‌ ‌ Startphase‌ ‌lädt‌ ‌der Client eine‌ ‌Liste‌ ‌der‌ ‌vorhandenen‌ ‌relays (Tor-Server‌)‌. Die Liste trägt eine ‌digitalen ‌Signatur‌, Verzeichnisserver ‌(directory‌ ‌authorities)‌ ‌stellen sie zur Verfügung. Sie haben einen öffentliche‌n ‌Schlüssel‌‌, den der Client zusammen ‌mit‌ ‌dem‌ ‌Tor-Quellcode‌ erhält. ‌Das‌ Verfahren stellt ‌sicher, ‌dass‌ beim ‌Onion-Proxy‌ ‌authentische‌ ‌Verzeichnisdaten‌ ankommen.‌
  • #2: Nach dem Empfang der ‌Liste‌ ‌wählt‌ ‌der‌ ‌Onion-Proxy‌ per Zufallsprinzip ‌eine‌ ‌Route‌ ‌über‌ ‌die‌ ‌Tor-Server aus.‌
  • #3: Nun verhandelt der‌ ‌Client‌ ‌mit‌ ‌dem‌ ‌ersten‌ der ‌Tor-Server‌ auf der Route ‌eine‌ ‌verschlüsselte‌ ‌Verbindung.‌ ‌Sobald ‌diese‌ ‌aufgebaut‌ wurde,‌ folgt der nächste ‌Server‌.‌ ‌Diese‌ Prozedur lässt sich theoretisch sehr lange wiederholen, doch in der Regel werden aus Gründen der Datengeschwindigkeit mindestens drei, aber eher selten viel mehr Server in die Route eingebunden. ‌Jeder‌ dieser ‌Server‌ ‌kennt‌ sowohl ‌seinen‌ ‌Vorgänger‌ als auch ‌seinen‌ ‌Nachfolger.‌ Zudem nimmt jeder Server (Knoten, node) eine Ent- und Verschlüsselung der Daten vor. Drei Server auf der Route sind nach Angaben der Tor-Entwickler‌ eine optimale Zahl, ‌um‌ ‌bei‌ ‌noch‌ ‌akzeptabler‌ ‌‌Verzögerung eine möglichst‌ ‌große‌ ‌‌Anonymität‌‌ ‌zu‌ ‌erreichen.‌ ‌Natürlich wären die Server grundsätzlich durch Hacker oder Viren angreifbar, zumal im dezentralen Tor-Netzwerk auch leistungsfähige Rechner von Nutzern als Serverknoten dienen (P2P-Prinzip). Wenn aber nur einer von drei ‌Server‌n ‌vertrauenswürdig‌ ‌ist‌, gilt die Verbindung als sicher. Schwachpunkte wären lediglich der Anfang und das Ende der‌ ‌Kommunikation‌. Ein Angreifer müsste schon beide Punkte gleichzeitig ‌überwachen können, um eine E-Mail mitzulesen.‌ Da jedoch dieses Szenario nicht grundsätzlich auszuschließen ist, setzen E-Mail Dienste wie Securemail zusätzlich eine Ende-zu-Ende-Verschlüsselung ein.
  • #4: Nach dem‌ ‌Aufbau der ‌Verbindung‌ ‌kann der E-Mail Dienst die E-Mails über die gewählte ‌Server‌route verschicken. Diese Route wird bei jedem neuen Verbindungsaufbau neu konfiguriert. Sollte also ein Anwender mehrere E-Mails nacheinander verschicken und sich dabei stets neu ins Tor-Netzwerk einwählen, könnte schlimmstenfalls eine der E-Mails abgefangen werden, wenn es wirklich auf einer der Routen einen Schwachpunkt geben sollte. Der Hacker könnte deswegen diese abgefangene E-Mail wegen ihrer Ende-zu-Ende-Verschlüsselung noch immer nicht lesen. Die anderen E-Mails würde er wahrscheinlich nicht abfangen können, weil sie eine andere Route nehmen. Menschen, die Tor wegen ihrer persönlichen Sicherheit nutzen (Dissidenten, Journalisten in Diktaturen), versenden daher längere wichtige Inhalte ‌oft in mehreren E-Mails, die sie mit stets neuer Einwahl versenden. Ohnehin wiederholt der Client automatisch den Verbindungsaufbau‌ ‌in‌ ‌regelmäßigen‌ ‌Abständen‌. Ein obligatorischer Wechsel der Verbindungsstrecken‌ erfolgt stets nach rund ‌10‌ ‌Minuten‌.

Beispiel für eine Kommunikation via Tor

Das folgende Beispiel könnte einen E-Mail Dienst betreffen, aber auch ein sonstiges Angebot im Netz, das via Tor verschlüsselt werden soll. Es zeigt, wie Teilnehmer im Tor-Netzwerk miteinander kommunizieren – über E-Mail, mit dem Kontaktformular einer Webseite oder mit einem Messenger.

  • #1: Robert ‌möchte‌ ‌im Netz einen‌ E-Mail ‌Dienst‌ oder auch eine andere Leistung ‌anbieten‌ ‌(zum Beispiel ‌eine‌ Seite‌ ‌mit‌ ‌sensiblen‌ ‌ Informationen).‌ Er richtet ‌zuerst‌ ‌ ‌die‌ ‌hierfür ‌notwendige‌ ‌Software auf‌ ‌seinem ‌Computer ‌ein.‌ Hierfür benötigt er nicht das ‌Tor‌-Netzwerk. Es geht zunächst darum, den Dienst von Robert prinzipiell betreiben zu können.
  • #2: Im nächsten Schritt stellt Robert eine Verbindung zu Tor‌ her und sorgt dafür,‌ ‌dass‌ seine ‌Softwarepakete‌ entweder von seinem eigenen Rechner oder ‌vom‌ ‌Webserver‌ seines Hosters ‌über‌ ‌das‌ ‌ Tor-Netzwerk‌ ‌weitergegeben‌ ‌werden.‌
  • #3: Robert startet nun seinen Rechner neu. Danach erstellt Tor automatisch ‌ein‌ ‌Schlüsselpaar‌, um den‌ ‌Dienst‌ von Robert zu ‌identifizieren‌.
  • #4: Roberts Computer sendet nun den öff‌entlichen Schlüssel seines Schlüsselpaars zusammen mit‌ ‌einer‌ ‌Liste‌ ‌zufällig‌ ‌ausgewählter ‌introduction‌ ‌points (Eintrittspunkte)‌ ‌an‌ ‌den‌ ‌Verzeichnis-Server‌. Dann ‌baut‌ er ‌eine‌ ‌Verbindung‌ ‌zu‌ ‌einem der introduction points auf.‌ ‌Mit diesem Schritt hat Robert seinen Dienst für die Nutzung via Tor eingerichtet.
  • #5: Clarissa möchte‌ ‌eine‌ ‌Verbindung‌ ‌zu‌m Dienst von Robert ‌aufnehmen.‌ Sie benötigt‌ ‌dadür vom ‌öffentlichen‌ ‌Schlüssel den ‌Hash-Wert‌‌.‌ ‌Solche Werte sehen in Tor zum Beispiel so aus: ‌ 6sxoyfb3h2nvok2d‌.onion‌.‌ Sie haben aber nichts mit dem Namen der Webseite zu tun. Roberts ‌Webseite‌ ‌könnte‌ im Tor-Netzwerk ‌zum Beispiel so heißen: http://oldd6th4cr5spio4.onion/‌. Clarissa erhält aber mit dem Hash-Wert‌ die Details‌ ‌vom‌ Verzeichnisserver.‌
  • #6: Clarissa ‌baut‌ nun via ‌Tor ‌eine‌ ‌Verbindung‌ ‌auf. Dabei wählt ihr Rechner nach dem Zufallsprinzip einen der ‌Tor-Server‌, den er als künftigen ‌Rendezvouspunkt‌ ‌bestimmt.‌ ‌
  • #7: Im nächsten Schritt baut‌ der Computer von Clarissa zum einem der introduction points ‌eine‌ ‌weitere‌ ‌Verbindung‌ auf. Den Eintrittspunkt hat ihr Rechner den ‌Details‌ ‌des ‌Verzeichnisservers entnommen.‌ ‌Clarissa ‌schickt‌ nun an Robert ‌eine‌ ‌ verschlüsselte‌ ‌Mitteilung‌, welche den ‌Rendezvouspunkt‌ beschreibt. Die Verbindung zu diesem Punkt besteht von Clarissas Rechner aus weiter. Dort werden künftig die Nachrichten von Robert und Clarissa zusammentreffen.
  • #8: Robert entscheidet nach der Mitteilung‌ von Clarissa,‌ ‌ob‌ ‌er‌ ‌mit‌ ihr kommunizieren‌ will. Im‌ ‌positiven‌ ‌Fall‌ baut er ‌eine‌ ‌Verbindung‌ ‌zum‌ festgelegten Rendezvouspunkt‌ ‌auf.‌
  • #9: Am‌ ‌Rendezvouspunkt ‌werden‌ ‌ab sofort die‌ ‌Kommunikationskanäle von Clarissa und Robert verbunden.‌ Sie können nun miteinander ‌Daten‌ ‌austauschen,‌ ‌doch ihre gegenseitig‌e ‌Identität‌ ‌kennen sie nicht.‌ ‌

Weitere Funktionen von Tor

Tor bietet einige weitere Funktionen an, die auch für den Versand von E-Mails interessant sein können. Onion‌-Services‌ ‌sind die Verschlüsselungsservices von Tor, die ‌nur‌ ‌über‌ ‌das‌ ‌Tor-Netzwerk‌ zu erreichen sind. Jedoch gibt es Betreiber,‌ die bestimmte Dienste anbieten – darunter auch E-Mail Dienste –, ‌welche‌ gleichzeitig über das normale ‌Internet‌ ‌ohne‌ ‌Anonymisierungssoftware und über einen Onion-Service zu erreichen sind. Beim E-Mail Dienst Securemail ist das allerdings nicht der Fall, hier werden alle E-Mails über Tor geschickt. Entry‌ ‌Guards‌ sind die zufällig generierten Einstiegspunkte von Tor. Der Hintergrund ergibt sich aus der möglichen Angreifbarkeit eines ‌Echtzeitanonymisierungsdienstes wie Tor,‌ wenn ein ‌Angreifer‌ den‌ ‌ersten‌ ‌und‌ ‌gleichzeitig ‌letzten‌ ‌Knoten‌ ‌der‌ ‌Verbindung‌ kontrollieren würde.‌ Das Szenario ist zwar sehr unwahrscheinlich, aber nicht undenkbar. Die Kontrolle könnte ‌unabhängig‌ von der Gesamtzahl aller ‌Knoten‌ ‌erfolgen. ‌Der‌ ‌Angreifer‌ könnte ‌allein‌ ‌über‌ ‌die Paketanzahl‌ von E-Mails ‌und‌ die ‌zeitliche‌ ‌Abfolge‌ der Paketen ‌einen‌ ‌Zusammenhang‌ ‌selbst ‌über‌ ‌die‌ ‌Zwischenknoten‌ herstellen‌. Er ‌hätte‌ damit‌ ‌die‌ ‌Verbindung‌ ‌zwischen‌ dem ‌Absender‌ ‌und‌ dem ‌Empfänger‌ ‌einer E-Mail aufgedeckt, was ja gerade nicht passieren soll. Nun sind die Tor-Routen‌ ‌ja kurzlebig‌, werden gewechselt und könnten daher bei einer Dauerüberwachung nach dem Zufallsprinzip gefunden werden. Wenn ein Angreifer permanent eine Kommunikation überwachen will, könnte er durchaus ‌eine‌ ‌der‌ ‌Routen‌ einmal aufdecken. Er könnte auch mit der Kontrolle eines Knotens eine Route boykottieren. Die ‌‌Entry‌ ‌Guards‌ werden daher zufällig gewählt und eine Weile verwendet, um die Chance für den Angreifer zu verringern, dass er bei einer Vielzahl von Routen endlich einmal in eine eindringen kann.

Fazit: E-Mails über den E-Mail Dienst Securemail sind sicher

Der E-Mail Dienst Securemail kann durch die Verwendung von Tor mit sehr hoher Wahrscheinlichkeit zusichern, dass E-Mails genauso wie ihre Empfänger und Absender anonym bleiben. Zwar ist kein System zu 100 % sicher. Doch die Vorteile gegenüber den Anbietern kostenloser E-Mails sind unübersehbar.

error: Alert: Protected