Über den E-Mail Dienst Securemail können Nutzer ihre E-Mails anonym via Tor-Netzwerk verschicken. In diesem Beitrag soll etwas näher erläutert werden, wie Tor eigentlich arbeitet.
Grundsätzliches zum Tor-Netzwerk
Tor ermöglicht das anonyme Surfen, Messaging, Browsing und auch das Versenden von E-Mails mit einer Software, die auf dem sogenannten Onion-Routing basiert. Das bedeutet eine Verschlüsselung schichtweise wie bei einer Zwiebel (engl. onion). Damit dies auch für einen E-Mail Dienst wie Securemail funktioniert, müssen Anwender wie folgt vorgehen:
- #1: Zunächst installiert der Nutzer auf seinem Computer den sogenannten Onion-Proxy als Client. Dieses Programm stellt die Verbindung zum Tor-Netzwerk her. Während der Startphase lädt der Client eine Liste der vorhandenen relays (Tor-Server). Die Liste trägt eine digitalen Signatur, Verzeichnisserver (directory authorities) stellen sie zur Verfügung. Sie haben einen öffentlichen Schlüssel, den der Client zusammen mit dem Tor-Quellcode erhält. Das Verfahren stellt sicher, dass beim Onion-Proxy authentische Verzeichnisdaten ankommen.
- #2: Nach dem Empfang der Liste wählt der Onion-Proxy per Zufallsprinzip eine Route über die Tor-Server aus.
- #3: Nun verhandelt der Client mit dem ersten der Tor-Server auf der Route eine verschlüsselte Verbindung. Sobald diese aufgebaut wurde, folgt der nächste Server. Diese Prozedur lässt sich theoretisch sehr lange wiederholen, doch in der Regel werden aus Gründen der Datengeschwindigkeit mindestens drei, aber eher selten viel mehr Server in die Route eingebunden. Jeder dieser Server kennt sowohl seinen Vorgänger als auch seinen Nachfolger. Zudem nimmt jeder Server (Knoten, node) eine Ent- und Verschlüsselung der Daten vor. Drei Server auf der Route sind nach Angaben der Tor-Entwickler eine optimale Zahl, um bei noch akzeptabler Verzögerung eine möglichst große Anonymität zu erreichen. Natürlich wären die Server grundsätzlich durch Hacker oder Viren angreifbar, zumal im dezentralen Tor-Netzwerk auch leistungsfähige Rechner von Nutzern als Serverknoten dienen (P2P-Prinzip). Wenn aber nur einer von drei Servern vertrauenswürdig ist, gilt die Verbindung als sicher. Schwachpunkte wären lediglich der Anfang und das Ende der Kommunikation. Ein Angreifer müsste schon beide Punkte gleichzeitig überwachen können, um eine E-Mail mitzulesen. Da jedoch dieses Szenario nicht grundsätzlich auszuschließen ist, setzen E-Mail Dienste wie Securemail zusätzlich eine Ende-zu-Ende-Verschlüsselung ein.
- #4: Nach dem Aufbau der Verbindung kann der E-Mail Dienst die E-Mails über die gewählte Serverroute verschicken. Diese Route wird bei jedem neuen Verbindungsaufbau neu konfiguriert. Sollte also ein Anwender mehrere E-Mails nacheinander verschicken und sich dabei stets neu ins Tor-Netzwerk einwählen, könnte schlimmstenfalls eine der E-Mails abgefangen werden, wenn es wirklich auf einer der Routen einen Schwachpunkt geben sollte. Der Hacker könnte deswegen diese abgefangene E-Mail wegen ihrer Ende-zu-Ende-Verschlüsselung noch immer nicht lesen. Die anderen E-Mails würde er wahrscheinlich nicht abfangen können, weil sie eine andere Route nehmen. Menschen, die Tor wegen ihrer persönlichen Sicherheit nutzen (Dissidenten, Journalisten in Diktaturen), versenden daher längere wichtige Inhalte oft in mehreren E-Mails, die sie mit stets neuer Einwahl versenden. Ohnehin wiederholt der Client automatisch den Verbindungsaufbau in regelmäßigen Abständen. Ein obligatorischer Wechsel der Verbindungsstrecken erfolgt stets nach rund 10 Minuten.
Beispiel für eine Kommunikation via Tor
Das folgende Beispiel könnte einen E-Mail Dienst betreffen, aber auch ein sonstiges Angebot im Netz, das via Tor verschlüsselt werden soll. Es zeigt, wie Teilnehmer im Tor-Netzwerk miteinander kommunizieren – über E-Mail, mit dem Kontaktformular einer Webseite oder mit einem Messenger.
- #1: Robert möchte im Netz einen E-Mail Dienst oder auch eine andere Leistung anbieten (zum Beispiel eine Seite mit sensiblen Informationen). Er richtet zuerst die hierfür notwendige Software auf seinem Computer ein. Hierfür benötigt er nicht das Tor-Netzwerk. Es geht zunächst darum, den Dienst von Robert prinzipiell betreiben zu können.
- #2: Im nächsten Schritt stellt Robert eine Verbindung zu Tor her und sorgt dafür, dass seine Softwarepakete entweder von seinem eigenen Rechner oder vom Webserver seines Hosters über das Tor-Netzwerk weitergegeben werden.
- #3: Robert startet nun seinen Rechner neu. Danach erstellt Tor automatisch ein Schlüsselpaar, um den Dienst von Robert zu identifizieren.
- #4: Roberts Computer sendet nun den öffentlichen Schlüssel seines Schlüsselpaars zusammen mit einer Liste zufällig ausgewählter introduction points (Eintrittspunkte) an den Verzeichnis-Server. Dann baut er eine Verbindung zu einem der introduction points auf. Mit diesem Schritt hat Robert seinen Dienst für die Nutzung via Tor eingerichtet.
- #5: Clarissa möchte eine Verbindung zum Dienst von Robert aufnehmen. Sie benötigt dadür vom öffentlichen Schlüssel den Hash-Wert. Solche Werte sehen in Tor zum Beispiel so aus: 6sxoyfb3h2nvok2d.onion. Sie haben aber nichts mit dem Namen der Webseite zu tun. Roberts Webseite könnte im Tor-Netzwerk zum Beispiel so heißen: http://oldd6th4cr5spio4.onion/. Clarissa erhält aber mit dem Hash-Wert die Details vom Verzeichnisserver.
- #6: Clarissa baut nun via Tor eine Verbindung auf. Dabei wählt ihr Rechner nach dem Zufallsprinzip einen der Tor-Server, den er als künftigen Rendezvouspunkt bestimmt.
- #7: Im nächsten Schritt baut der Computer von Clarissa zum einem der introduction points eine weitere Verbindung auf. Den Eintrittspunkt hat ihr Rechner den Details des Verzeichnisservers entnommen. Clarissa schickt nun an Robert eine verschlüsselte Mitteilung, welche den Rendezvouspunkt beschreibt. Die Verbindung zu diesem Punkt besteht von Clarissas Rechner aus weiter. Dort werden künftig die Nachrichten von Robert und Clarissa zusammentreffen.
- #8: Robert entscheidet nach der Mitteilung von Clarissa, ob er mit ihr kommunizieren will. Im positiven Fall baut er eine Verbindung zum festgelegten Rendezvouspunkt auf.
- #9: Am Rendezvouspunkt werden ab sofort die Kommunikationskanäle von Clarissa und Robert verbunden. Sie können nun miteinander Daten austauschen, doch ihre gegenseitige Identität kennen sie nicht.
Weitere Funktionen von Tor
Tor bietet einige weitere Funktionen an, die auch für den Versand von E-Mails interessant sein können. Onion-Services sind die Verschlüsselungsservices von Tor, die nur über das Tor-Netzwerk zu erreichen sind. Jedoch gibt es Betreiber, die bestimmte Dienste anbieten – darunter auch E-Mail Dienste –, welche gleichzeitig über das normale Internet ohne Anonymisierungssoftware und über einen Onion-Service zu erreichen sind. Beim E-Mail Dienst Securemail ist das allerdings nicht der Fall, hier werden alle E-Mails über Tor geschickt. Entry Guards sind die zufällig generierten Einstiegspunkte von Tor. Der Hintergrund ergibt sich aus der möglichen Angreifbarkeit eines Echtzeitanonymisierungsdienstes wie Tor, wenn ein Angreifer den ersten und gleichzeitig letzten Knoten der Verbindung kontrollieren würde. Das Szenario ist zwar sehr unwahrscheinlich, aber nicht undenkbar. Die Kontrolle könnte unabhängig von der Gesamtzahl aller Knoten erfolgen. Der Angreifer könnte allein über die Paketanzahl von E-Mails und die zeitliche Abfolge der Paketen einen Zusammenhang selbst über die Zwischenknoten herstellen. Er hätte damit die Verbindung zwischen dem Absender und dem Empfänger einer E-Mail aufgedeckt, was ja gerade nicht passieren soll. Nun sind die Tor-Routen ja kurzlebig, werden gewechselt und könnten daher bei einer Dauerüberwachung nach dem Zufallsprinzip gefunden werden. Wenn ein Angreifer permanent eine Kommunikation überwachen will, könnte er durchaus eine der Routen einmal aufdecken. Er könnte auch mit der Kontrolle eines Knotens eine Route boykottieren. Die Entry Guards werden daher zufällig gewählt und eine Weile verwendet, um die Chance für den Angreifer zu verringern, dass er bei einer Vielzahl von Routen endlich einmal in eine eindringen kann.
Fazit: E-Mails über den E-Mail Dienst Securemail sind sicher
Der E-Mail Dienst Securemail kann durch die Verwendung von Tor mit sehr hoher Wahrscheinlichkeit zusichern, dass E-Mails genauso wie ihre Empfänger und Absender anonym bleiben. Zwar ist kein System zu 100 % sicher. Doch die Vorteile gegenüber den Anbietern kostenloser E-Mails sind unübersehbar.