Lesezeit ca. 16 Min.
arrow_back

Geheimsache


Logo von LinuxUser
LinuxUser - epaper ⋅ Ausgabe 11/2022 vom 20.10.2022

Overlay-Netze

Artikelbild für den Artikel "Geheimsache" aus der Ausgabe 11/2022 von LinuxUser. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: LinuxUser, Ausgabe 11/2022

README

Overlay-Netze tragen wesentlich zu anonymer Kommunikation im Internet bei. Dabei zielen sie auf verschiedene Zielgruppen ab. Dieser Beitrag stellt die fünf Vertreter Hide. me, I2P, IPFS, Retroshare und das Tor-Netzwerk vor und untersucht deren jeweilige Vorzüge und Nachteile.

Staatliche Überwachung, Angriffe durch Kriminelle und zunehmendes Tracking durch die Werbeindustrie wecken bei vielen Anwendern Sorge um die Sicherheit und Anonymität ihrer Daten. Speziell Angehörige einiger Berufsgruppen sindbesonderen Gefahren ausgesetzt und suchen nach einer sicheren Lösung für ihre Kommunikation. Freie Projekte haben sich dieser Sorgen angenommen und bieten innovative technische Ansätze zur Anonymisierung von Daten.

Konzepte

Alle Lösungen für den anonymisierten Internet-Zugriff haben gemein, dass sie auf dezentralisierten Strukturen aufbauen. Mit Ausnahme des Tor-Netzwerks und von ...

Weiterlesen
epaper-Einzelheft 6,99€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von LinuxUser. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1050 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 11/2022 von Viele Köche?. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Viele Köche?
Titelbild der Ausgabe 11/2022 von Klein, aber stark. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Klein, aber stark
Titelbild der Ausgabe 11/2022 von Briefzusteller. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Briefzusteller
Titelbild der Ausgabe 11/2022 von Webzwerg. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Webzwerg
Mehr Lesetipps
Blättern im Magazin
Schnüffelbremse
Vorheriger Artikel
Schnüffelbremse
System fest im Griff
Nächster Artikel
System fest im Griff
Mehr Lesetipps

... VPN-Verbindungen basieren sie auf Peer-to-Peer-Verbindungen, die ohne zentrale Server auskommen. Das erschwert Angreifern und Behörden den Zugriff auf die Nutzerdaten erheblich. Lediglich das Tor-Netzwerk macht hier eine Ausnahme und schirmt seine Anwender durch eine Zwiebelstruktur von Zugriffen Dritter ab, indem es Daten über mehrere sogenannte Relays leitet.

Alle Netze bauen zudem getunnelte und verschlüsselte Verbindungen zwischen den einzelnen Teilnehmern auf, sodass typische Szenarien zum Kompromittieren eines Netzes wie Man-in-the- Middle-Angriffe erfolglos bleiben. Dabei bauen die Anonymisierungslösungen ein beidseitig punktfixiertes überlagerndes Netz auf, über das die Teilnehmer Daten miteinander austauschen. Dazu unterstützen sie gängige Transportprotokolle wie UDP oder TCP, IPv4 und IPv6. Teilweise kommen auch Bittorrent- und Blockchain-Technologien zum Einsatz, um Daten blockweise verteilen zu können.

■ Hide.me

legt größten Wert auf Sicherheitsfunktionen. So betreibt das Unternehmen eigene DNS-Server, sodass die sonst gelegentlich anzutreffenden DNS- Leaks vermieden werden. Das Unternehmen unterwirft sich zudem einer strikten No-Log-Policy und protokolliert nach eigener Aussage keinerlei Nutzerdaten. Zudem hat der Anbieter Sicherheits-Audits durch unabhängige Drittanbieter vornehmen lassen . Unter Linux verwendet Hide.me voreingestellt das moderne Wireguard-Protokoll in Verbindung mit der schnellen ChaCha20-Poly1305- Verschlüsselung. Darüber hinaus steht der Quellcode als freie Software auf Github zum Download bereit.

Die kostenfreie Variante ist funktionell eingeschränkt: So stehen lediglich fünf Server-Standorte zur Auswahl, und das Datenvolumen ist auf monatlich 10 GByte beschränkt. Außerdem erlaubt das kostenlose Konto nur eine einzelne VPN-Verbindung. Diese Beschränkungen entfallen mit den kostenpflichtigen Tarifen für verschiedene Nutzungsdauern. Zudem unterstützt das kostenpflichtige Angebot Streaming-Dienste wie Netflix und etabliert auf Wunsch eine statische IP-Adresse. Neben den Grundfunktionen stehen unter Linux ein Kill-Switch und Split Tunneling zur Verfügung, was bei Bedarf einen Zugang ins Internet jenseits des VPN-Tunnels ermöglicht.

Installation

Um die Linux-App zu installieren, laden Sie das für Ihre Hardwarearchitektur vorgesehene TAR.XZ-Archiv von der Github- Seite des Projekts herunter. Neben Clients für 32- und 64-Bit-PCs stehen auch Pakete für ARM-basierte Systeme zur Verfügung. Anschließend entpacken Sie das heruntergeladene Archiv und installieren den Client mit Administratorrechten über den Befehl ./ im Terminal 1.

Während der Einrichtung fragt die Routine Ihre Registrierungsdaten ab, Sie müssen sich also bereits vorher beim Anbieter angemeldet haben. Nach der Installation starten Sie das VPN manuell, indem Sie es mit den Befehlen aus Listing 1 als Systemd- Service einrichten. Statt des Platzhalters Server geben Sie einen Standort wie amsterdam‐1 oder ein Länder-Suffix wie nl an. Danach legt den Tunnel an, und Sie können das Internet via VPN nutzen.

Durch die Integration des Diensts in Systemd wird das VPN bei jedem Neustart des Computers automatisch aktiviert. Mithilfe der Systemctl-Parameter stop und disable deaktivieren Sie den VPN-Tunnel bei Bedarf wieder.

CLI oder Webbrowser

Während es für andere Betriebssysteme einen grafischen Client gibt, muss man sich unter Linux mit einem Kommandozeilen-Client begnügen. Das erschwert die Bedienung unnötig, denn der bequeme Wechsel des Servers mittels des grafischen Frontends klappt damit nicht. Auch andere Komfortfunktionen fehlen dem Linux-Client, der sich noch im Beta- Stadium befindet. Das generiert zusätzlich die privaten und öffentlichen Schlüssel und verwaltet den Schlüsseltausch mithilfe von HTTPS. Daher lässt sich mit dem Hide. me-VPN ausschließlich der vom Hersteller angebotene Client nutzen.

Immerhin unterstützt auch den Einsatz in Webbrowsern wie Firefox, Chrome und deren Derivaten. Die entsprechenden Erweiterungen erhalten Sie in den jeweiligen Addon-Stores. Der Nachteil dieser Lösung: Zwar werden dann alle Aktivitäten im Webbrowser durch den VPN-Tunnel abgesichert, nicht jedoch Datentransfers, die von anderen Applikationen ausgehen wie beispielsweise E-Mail-Clients oder Messengern.

Die Browser-Erweiterung erzeugt ein Icon in der Symbolleiste des Browsers.

Listing 1: einrichten

# systemctl enable hide.me@Server # systemctl start hide.me@Server

Ein Linksklick darauf öffnet ein Konfigurationsfenster, mit dessen Hilfe Sie den Status der Verbindung einsehen und den VPN-Proxy ein- oder ausschalten. Im ausgeschalteten Zustand können Sie außerdem den Server-Standort wechseln, wofür in der kostenlosen Variante jedoch lediglich drei Standorte zur Verfügung stehen. Die Option Automatic 2 wählt automatisch einen davon aus.

Über das Zahnradsymbol oben rechts im Addon-Fenster rufen Sie einen Einstellungsdialog auf, in dem Sie einige Grundeinstellungen vornehmen. Durch Aktivieren der Option Always Enable Proxy können Sie das VPN im Browser permanent einschalten. Die einzelnen Optionen lassen sich jedoch nur dann verändern, wenn der Proxy ausgeschaltet ist.

■ I2P

Das I2P-Netz (Invisible Internet Project) verbindet Computer nach dem Peer-to- Peer-Konzept miteinander . Dabei werden innerhalb des Internets einseitig gerichtete, getunnelte Overlay-Verbindungen hergestellt. Der Transport der Datenpakete zwischen den Client-Computern erfolgt über Router (sogenannte Knoten), wobei jeder Client eine eigene kryptografische Kennung besitzt. Das I2P-Netz nutzt einen eigenen DNS-Server, um Inhalte im Netz verbreiten zu können. Die einzelnen Verbindungen sind dabei Ende-zu-Ende-verschlüsselt, was Dritten die Einsicht in die Daten verwehrt.

Der Datenverkehr ins reguläre Internet erfolgt über Proxy-Server, die Freiwillige betreiben. Diese Proxys stellen die einzigen zentralisierten Komponenten im I2P- Netz dar. Alle Router besitzen eine eigene kryptografische Identität. Sie gewährleisten das Verteilen von Routing- und Kontaktinformationen mithilfe einer eigenen Netzwerkdatenbank, die gesonderte Router (sogenannte Floodfill-Router) im Netz verteilen. Das I2P-Netz ist also in sich geschlossen und dient nicht wie beispielsweise das Tor-Netz zum Durchleiten von Datenpaketen von und zu öffentlichen Servern.

Für den Betrieb innerhalb des Netzes gibt es Anwendungen wie den Bittorrent-Client I2PSnark oder den Messenger I2P-Messenger, die ebenfalls ohne Server auskommen. Mithilfe einer eingebetteten Applikation lassen sich auch herkömmliche TCP/​IP-Anwendungen wie SSH oder IRC über I2P tunneln.

Installation

Um einen Client in das I2P-Netz zu integrieren, installieren Sie den I2P-Router, der als Proxy zwischen Applikationen und dem I2P-Netz fungiert. Die Java-Anwendung setzt eine entsprechende Laufzeitumgebung auf dem System voraus, wobei sie auch mit der freien Java-Implementation OpenJDK harmoniert.

Unter Ubuntu, Debian und deren Derivaten installieren Sie I2P direkt aus den Repositories, wobei gleich ein Skript für den automatischen Start von I2P beim Hochfahren des Systems aktiviert wird. Zusätzlich können Sie ein eigenes Repo ins System integrieren, aus dem dann später Updates automatisch erfolgen. Die genaue Vorgehensweise dazu erläutern die Entwickler auf der Projektseite.

Dort finden Sie zudem ein Java-Paket mit einer Installationsroutine für andere Distributionen. Es lässt sich auch in Umgebungen ohne grafische Desktop-Umgebung integrieren, wo I2P dann headless läuft, also ohne grafisches Interface. Diese Option eignet sich besonders für Server. Für Container-Umgebungen fin-det sich auf Docker Hub zudem ein Docker-Paket. Die einzelnen Packages führen Sie dabei in wenigen Schritten durch den Installations- und Konfigurationsprozess. Der I2P-Quellcode steht auf der Webseite zum Herunterladen bereit.

Inbetriebnahme

Um den Rechner in das I2P-Netz einzubinden, geben Sie nach der Installation am Prompt den Befehl i2prouter start ein. Das klappt auch ohne administrative Rechte. Die Routine startet nun einen Webbrowser und öffnet darin die Konfigurationsoberfläche des I2P-Routers. Dort nehmen Sie zunächst einige Anpassungen vor, danach startet die eigentliche Konsole 3.

Sie weist drei Segmente auf: Ganz links finden Sie einige statistische Daten zum Status des Netzzugangs, der vorhandenen Bandbreite und zum etablierten Tunnel. Rechts unten stehen eine Aufzählung der verschiedenen Applikationen innerhalb des I2P-Netzes sowie eine Liste diverser Community-Seiten, die auch teils Support leisten. Oben rechts nennt ein Info-Segment die weiteren Schritte zur Anpassung des Routers. Im Hintergrund lokalisiert das System bereits weitere I2P-Router.

Es empfiehlt sich, zunächst die vorhandene Bandbreite anzupassen, da diese voreingestellt sehr niedrig ausfällt. Dazu klicken Sie oben im Info-Bereich den Link Einstellungsseite an. Sie gelangen nun auf eine Seite mit zahlreichen Optionen in Gestalt vieler Links im rechten Fensterbereich, wo der Dialog Bandbreite bereits geöffnet ist. Dort ermitteln Sie durch Anklicken des Links Bandbreiten-Testdie Bandbreite der Internet-Verbindung, um dann die für I2P optimal einzustellen 4. Haben Sie die Bandbreite angepasst und durch einen Klick auf Änderungen speichern unten rechts gesichert, werden die vorgenommenen Änderungen oben im Fenster angezeigt.

In der Leiste ganz links erscheinen nun auch detailliertere Links, mit deren Hilfe Sie verschiedene zusätzliche Optionen anpassen. Über Mehrere Clients in der Kategorie Lokale Tunnel erhalten Sie zum Beispiel detaillierte Angaben zu den kontaktierten Floodfill-Routern und zu den Teilnehmertunneln, die das System aufgebaut hat. Auch die Bandbreitenklassen gibt I2P nun bei jeder Verbindung mit an.

Über die Kategorie I2P-Dienste rufen Sie die direkt über das I2P-Netz abgewickelten Dienste auf. Dazu gehört neben Bittorrent auch der integrierte Webserver, mit dessen Hilfe Sie bei Bedarf anonymisierte Webseiten anlegen und verteilen.

Problemfall E-Mail

Zwar gibt es in Form von Susimail und I2P-Bote zwei E-Mail-Clients, die den Austausch von anonymisierten E-Mails im I2P-Netz zulassen. Allerdings führen die entsprechenden Links in der Router-Konsole – wie auch Links zur Suche nach verfügbaren Zusatzprogrammen – lediglich zu Fehlermeldungen. Sie müssen den I2P-Bote-Client deshalb manuell installieren.

Dazu laden Sie im ersten Schritt das Zertifikat von .​ debian.org/~mhatta/​ mhatta_at_mail.i2p.crt herunter und kopieren es ins Verzeichnis /usr/ share/i2p/certificates/plugin/. Anschließend laden Sie das eigentliche Plugin herunter, indem Sie die URL https://people.debian.​ org/~mhatta/i2pbote.​ su3 im Browser eingeben. Danach wechseln Sie in die Router-Konsole und klicken im Hauptfenster oben rechts auf den Schalter Zusatzprogramme. Im sich daraufhin öffnenden Einstellungsfenster klicken Sie unten in der Gruppe Aus Datei installieren auf Durchsuchen und wählen im sich öffnenden Dateimanager die heruntergeladene Plugin-Datei. Anschließend klicken Sie rechts auf die Schaltfläche Zusatzprogramm aus Datei installieren.

I2P-Bote wird nun in das System eingebunden, und Sie können die Oberfläche durch einen Klick auf den Link Sichere. Mail links in der vertikalen Optionsleiste in der Gruppe I2P-Dienste in einem neuen Browser-Tab starten.

Webbrowser

Damit Ihr Webbrowser mit dem I2P-Netz harmoniert, ändern Sie dessen Proxy-Einstellungen. Dazu passen Sie im Einstellungsdialog von Firefox den HTTP-Proxy an 5 . Zusätzlich ändern Sie in den erweiterten Einstellungen, die Sie über die URL about:config erreichen, den Wert für von false auf true. Eine detaillierte Anleitung zur Modifikation der Einstellungen für Firefox und andere Webbrowser finden Sie auf der I2P-Projektseite.

■ IPFS

Das Interplanetary File System (IPFS) dient vornehmlich dem dezentralen Speichern von Dateien und Webseiten . Das seit 2015 etablierte Dateisystem arbeitet nach dem Peer-to-Peer-Prinzip und ist freie Software. Zentralisierte Dienste wie DNS oder einzelne Webserver gibt es nicht, und DDoS-Angriffe darauf sind deshalb in einem IPFS-Netz unmöglich.

IPFS speichert Dateien und Webseiten dezentral blockweise auf zahlreichen einzelnen Knoten (sogenannten Nodes), was die Informationen vor Zensur und Löschversuchen schützt. Dabei werden die Daten über einen Hash benannt, der sich beim Modifizieren einer Datei ebenfalls ändert. Sie nutzen IPFS entweder mithilfe von Softwarepaketen, die Ihren Rechner in das IPFS-Netz einbinden, oder mithilfe eines Webbrowser-Addons, das IPFS-Daten verfügbar macht. Die Browser-Erweiterung fungiert lediglich als Gateway, ohne dabei die volle Funktionalität des Overlay-Netzes zu bieten.

Installation

Einige Linux-Distributionen führen bereits IPFS-Binärpakete in ihren Repositories, sodass sich das Dateisystem oft bequem mithilfe der jeweiligen Paketverwaltung installieren lässt. Stattdessen können Sie auch ein entsprechendes vorkompiliertes Binärpaket des IPFS- Desktops von der Github-Projektseite beziehen. Neben RPM- und DEB-Paketen finden sich dort auch Appimage- und Snap-Archive zum Herunterladen. Da diese Pakete sehr aktiv weiterentwickelt werden, empfiehlt es sich, stets das neueste Paket zu laden.

Nach der Installation finden Sie in der Menüstruktur Ihrer Arbeitsumgebung einen Starter für den IPFS-Desktop. Ein Klick darauf öffnet ein natives grafisches Frontend zum Verwalten der eigenen IPFS-Instanz und stellt gleichzeitig beim Start automatisch einen Zugang zum IPFS-Netz her. Die grafische Oberfläche 6im modernen Design zeigt im Hauptbereich des Fensters statistische Daten zum eigenen IPFS-Knoten an. In der Leiste ganz links finden Sie diverse Optionen zum Anpassen des Knotens.

Sobald das Status-Fenster die Verbindung zu IPFS bestätigt, können Sie sich in der Gruppe Peersanhand einer Weltkarte ansehen, mit welchen anderen IPFS-Peers wo auf dem Globus Ihr Knoten verbunden ist 7. Die Zahlen und die dazugehörige Tabelle aktualisiert der Client nahezu in Echtzeit, ebenso die Bandbreitenanzeigen auf der Status-Seite.

Veröffentlichen

Zum Bereitstellen eigener Dateien im IPFS-Netz nutzen Sie die Kategorie Dateien links in der vertikalen Leiste. Im sich öffnenden Dialog klicken Sie oben rechts auf Importieren und wählen eine der im Ausklappmenü aufgeführten Optionen. Sie können dabei nicht nur Ordner oder Dateien zu Ihrem IPFS-Knoten hinzufügen, sondern auch Daten aus dem IPFS- Netz einbinden oder einen leeren neuen Ordner anlegen. Zum Hinzufügen von Daten aus dem IPFS-Netz müssen Sie allerdings deren Content Identifier (CID) kennen und angeben. Um Daten durch Spiegeln auf andere Netzknoten permanent verfügbar zu halten, gilt es, sie zusätzlich zu„pinnen“. Dazu klicken Sie in der grafischen Oberfläche rechts neben der jeweiligen Datei auf das Symbol mit den drei Punkten. Im sich nun öffnenden Kontextmenü klicken Sie auf die Option Anheften einstellen. Es öffnet sich ein weiterer, überlappender Dialog, mit dessen Hilfe Sie den Ort definieren, an dem Ihre Datei„angepinnt“ wird.

Um sie auf dem lokalen Massenspeicher anzuheften, setzen Sie ein Häkchen vor der Option Lokaler Knoten und klicken auf Anwenden. Die Datei liegt nun auf dem lokalen Massenspeicher und lässt sich nach einem Herunterfahren und erneuten Starten des Dämons wieder unter dem bekannten CID abrufen. Alternativ halten Sie Daten über Pinning- Dienste wie Eternum und Pinata stets verfügbar. Um Daten im IPFS-Netz zu finden, gibt es spezielle Suchmaschinen. Sie befinden sich noch im Aufbau, liefern jedoch schon brauchbare Ergebnisse. Ihre Bedienung orientiert sich an derjenigen herkömmlicher Suchmaschinen: Sie geben in eine Eingabezeile wahlfrei Begriffe ein, die dann im IPFS-Netz gesucht werden. Zu den gängigsten Suchmaschinen für das IPFS-Netz zählen Almonit, IPFS-Search und IPSE .

■ Retroshare

Das bereits seit mehr als 15 Jahren in Entwicklung befindliche Retroshare dient primär dem dezentralisierten File- Sharing und der verschlüsselten Kommunikation . Dabei fokussiert das Programm außer auf das Teilen von Dateien auf Dienste wie E-Mail, Instant Messaging und Feedreader.

Alle Dienste arbeiten ohne zentrale Server und verwenden eine OpenSSLund eine asymmetrische Verschlüsselung auf Basis von OpenPGP. Durch diese Ende-zu-Ende-Verschlüsselung bleiben die Inhalte der transferierten Daten vor Dritten komplett verborgen. Zusätzlich lässt sich die Anwendung über das Tor- oder das I2P-Netz nutzen, sodass selbst be-nachbarte Knoten Ihre IP-Adresse nicht zu Gesicht bekommen.

Retroshare arbeitet mit sogenannten Freundeslisten. Der lokale Knoten mit dem Benutzerkonto eines Anwenders kann nur dann eine Verbindung zu einem anderen Knoten aufnehmen, wenn der in die Freundesliste eingetragen ist. Verbindungsanfragen von Knoten, die der jeweilige Nutzer nicht manuell in seine Freundesliste aufgenommen hat, lehnt Retroshare ab.

Installation

Arch Linux, Slackware, Solus und Void Linux führen Retroshare bereits in ihren Paketquellen. Auf der Webseite des Projekts finden Sie zusätzlich Anleitungen für die Installation unter zahlreichen weiteren Linux-Derivaten sowie ein distributionsübergreifendes Appimage-Paket. Von Flathub können Sie zudem ein entsprechendes Flatpak beziehen. Überdies läuft Retroshare auch auf dem Raspberry Pi. Sofern Sie die Installation mit einem für die jeweilige Distribution angepassten Binärpaket vornehmen, legt die Routine in der Menüstruktur der Arbeitsumgebung einen entsprechenden Starter an.

Nutzung

Retroshare kommt mit einer anspruchsvoll gestalteten grafischen Oberfläche und einem Assistenten zur Ersteinrichtung. In Letzterem legen Sie zunächst fest, ob der Rechner als Standardknoten oder als versteckter Knoten über das Tor- Netzwerk innerhalb des Retroshare-Netzes fungiert. Außerdem legen Sie bereits im Eingangsbildschirm ein Benutzerkonto an. Dabei verfolgen Sie den Fortschritt anhand eines Balkens im unteren Bereich des Fensters 8.

Nach einem Klick auf den Schalter Los! startet das eigentliche Programm. Dabei öffnen sich zwei gesonderte Fenster: Neben dem Anwendungsfenster blendet Retroshare ein Informationsfenster ein, das Ihnen in englischer Sprache die ersten Schritte näherbringt. Gleichzeitig erscheint im System-Tray ein Icon mit einem weißen Briefumschlag vor blauem Hintergrund, das einen schnellen Zugriff auf das Retroshare-Fenster per Linksklick ermöglicht.

Die Oberfläche von Retroshare erinnert auf den ersten Blick an ein herkömmliches E-Mail-Programm: Ein kleiner Fensterbereich links oben enthält eine Reihe von Ordnern, darunter gibt es eine Schnellansicht mit unterschiedlichen Attributen zur Kennzeichnung der Eingänge. Rechts erscheinen in zwei großen Fenstersegmenten die eingegangenen Nachrichten, eine Schalterleiste darunter enthält diverse Steuerelemente sowie ein Ansichtsfeld für die Nachrichten. Eine Statusleiste ganz unten erteilt Auskunft über die eingegangenen und die hochgeladenen Daten.

Die volle Funktionalität der Anwendung erschließt die horizontal am oberen Bildschirmrand befindliche Schalterleiste: Mit ihrer Hilfe nutzen Sie die unterschiedlichen Kommunikationsmodule wie Chat, E-Mail, Datenübertragung, Foren und Kontakte. Über den Dialog Einstellungen oben rechts in der Leiste passen Sie sämtliche Module einschließlich der Netzeinstellungen an.

Freundschaftlich

Um Retroshare einzusetzen, müssen Sie Freunde einladen, die ebenfalls Teil des Retroshare-Netzes sind. Dazu tauschen Sie die jeweiligen Retroshare-IDs aus.

Ein Klick auf Home oben links in der Bedienoberfläche fördert die eigene Kennung zutage, darunter integrieren Sie nach einem Klick auf Add friend einen Freund in Ihre Installation. Der muss Ihnen seine Retroshare-ID beispielsweise per E-Mail übermittelt haben, die Sie dann im Add-friend-Dialogin einem gesonderten Fenster übernehmen. Umgekehrt müssen auch Sie ihm Ihre Retroshare-ID übermitteln. Anschließend verbindet ein entsprechender Assistent die beiden Nachbarknoten miteinander. Treten dabei Probleme auf, legt Retroshare einen entsprechenden Protokolleintrag an, den Sie im Verbindungsassistenten einsehen können 9.

Bitte beachten Sie, dass auf den teilnehmenden Knoten jeweils die aktuelle Version 0.6.6 der Software installiert sein sollte. Erst mit diesem Release löst die Retroshare-ID die bisher verwendeten konventionellen Zertifikate ab. Ein Mischbetrieb von alten Zertifikaten und neuen Retroshare-IDs klappt nicht, es erscheint dann lediglich eine Fehlermeldung.

Nach dem Einbinden Ihrer Freunde in Ihre Retroshare-Instanz bestehen uneingeschränkte Möglichkeiten zur Kommunikation über das System. Die Software übernimmt die angemeldeten Freunde automatisch in die jeweiligen Kontaktlisten. Ein besonderer Vorteil von Retroshare liegt darin, dass Sie bei der Forenfunktion anders als bei webbasierten, zentralisierten Foren Ihre Posts auch offline schreiben können. Diese erscheinen dann nach einem erneuten Einloggen automatisch im Forum.

Die Filesharing-Funktion arbeitet ähnlich wie der Bittorrent-Dienst, wobei Retroshare Dateien über mehrere Knoten hinweg in Blöcken transferiert. Dadurch lassen sich auch sehr große Dateien problemlos teilen, wobei die einzelnen Knoten nicht direkt miteinander in Verbindung stehen müssen. Bei einer Übertragung über mehrere Nodes hinweg müssen diese alle eingeschaltet sein, sonst scheitert der Dateitransfer.

Zur Dateiübertragung können Sie jedoch – sofern es sich um kleinere Datenbestände handelt – auch die Chat- oder die E-Mail-Funktion nutzen. Dabei finden Sie in den jeweiligen Oberflächen ein Büroklammersymbol, über das Sie einen Dateimanager zur Auswahl der anzuhängenden Dateien öffnen. Diese hängt Retroshare dann zum Versand an den jeweiligen Inhalt an.

■ Tor-Netzwerk

Das Tor-Netzwerk ist das bekannteste Netzwerk zur anonymisierten Kommunikation . Seine Ursprünge gehen auf die 1990er-Jahre zurück. Ende *2002 wurde das Tor-Netzwerk dann erstmals zur allgemeinen Nutzung freigeschaltet. Sein inzwischen sehr hoher Bekanntheitsgrad ist nicht zuletzt dem Tor-Browser zu verdanken, der auf Basis von Mozilla Firefox das Tor-Netz beim Surfen im Internet verwendet. Zusätzlich bietet das Tor-Netzwerk Zugang in das Deep Web und damit auch ins Darknet.

Das Tor-Netzwerk arbeitet mit Tausenden von Servern, über die es den kompletten Datenverkehr leitet. Datenpakete nehmen dabei ihren Weg über jeweils drei der Relays genannten Server. Die Relays arbeiten ähnlich wie Proxys, wobei sich die Route der Daten ständig ändert. Dabei kommen keine festen Mix-Kaskaden zum Einsatz, sondern variable Wege. Die Daten sind währenddessen vollständig verschlüsselt.

9 Retroshare meldet, wenn Kontakte nicht erreichbar sind.

Aufgrund des Verschlüsselungsmechanismus, der die Daten mehrfach kryptografisch behandelt, nennt man diese Form des Datentransfers auch Onion-Routing. Die stufenweise Verschlüsselung verhindert ein Tracking der Datenpakete, da jeder Knoten lediglich einen Verschlüsselungsschritt vornimmt. Sofern keine zusätzliche Ende-zu-Ende-Verschlüsselung der Daten aktiviert ist, sieht daher nur der letzte Knoten die transportierten Datenpakete im Klartext .

Der Tor-Browser erhöht die Anonymität des Surfers nochmals, indem er verschiedene Sicherheitsstufen zur Verfügung stellt. Voreingestellt sind zusätzlich die Addons HTTPS Everywhere und No- Script aktiviert. Darüber hinaus isoliert der Tor-Browser jede besuchte Webseite und blockiert zudem das Flash-Videoformat, das ein Sicherheitsrisiko darstellt. Außerdem können Sie im Tor-Browser per Mausklick die Routen für den Datentransfer wechseln, was zusätzlich für Sicherheit sorgt. Obwohl der Tor-Browser auf Firefox ESR basiert und zu diesem kompatibel ist, raten die Entwickler von der Integration weiterer Plugins in den Browser ab, da diese Sicherheitslücken enthalten können.

Installation

Der Tor-Browser umfasst die gesamte nötige Client-Infrastruktur für die Anbin-dung an das Tor-Netzwerk. Sie finden ihn in unzähligen Sprachvarianten auf der Webseite des Projekts. Dabei steht für alle einzelnen Varianten sowohl eine 32- als auch eine 64-Bit-Version bereit.

Den heruntergeladenen Tarball entpacken Sie an einer beliebigen Stelle im Dateisystem und finden dort im neu angelegten Ordner tor‐browser_de/ (für die deutsche Sprachvariante) den Starter Tor Browser. Ein Doppelklick darauf öffnet den Webbrowser und zeigt einen Verbindungsdialog an. Darin klicken Sie auf den Schalter Verbinden, um sich ins Tor-Netz einzuwählen. Durch Setzen eines Häkchens vor der Option Immer automatisch verbinden lässt sich die Verbin-dungsaufnahme für die zukünftige Nutzung des Tor-Browsers automatisieren.

Weitere Infos und interessante Links

Dateien zum Artikel herunterladen unter

Der Browser öffnet als Startseite die Suchmaschine DuckDuckGo. Sie können nun mit dem Tor-Browser arbeiten wie mit jedem herkömmlichen Webbrowser. Die jeweilige Route, die die im Browser geöffneten Webseiten nehmen, können Sie sehen, indem Sie in der URL-Zeile links auf das Icon mit dem Vorhängeschloss klicken. Sie sehen sodann in einem überlappenden kleinen Fenster die drei Knoten, über die die Daten laufen 10, wobei der Einstiegsserver als sogenannter Wächter – gekennzeichnet ist. Dieser Server bleibt für einige Monate gleich, während die anderen beiden Relays mit jeder neu aufgerufenen Webseite wechseln. Bei Bedarf wechseln Sie jedoch durch einen Mausklick auf die Schaltfläche Neuen Kanal für diese Seite auch während des laufenden Betriebs für jede geöffnete Webseite jederzeit die beiden letzten Relays.

Onion-Dienste

Der Tor-Browser gewährt auch Zugang zu im Tor-Netz gehostetem Content. Diese im sogenannten Deep Web verfügbaren Inhalte sind für herkömmliche Firefox-Varianten und auch für andere Webbrowser nicht zugänglich. Das Deep Web beinhaltet ausschließlich nicht indexierte Webseiten, die konventionelle Suchmaschinen nicht listen.

Beim oft zitierten Darknet handelt es sich um einen kleinen Bestandteil des Deep Webs, der sich von diesem durch die Anwendung spezieller zusätzlicher kryptografischer Mechanismen unterscheidet. Dabei erfolgt die Übertragung der gehosteten Daten verschlüsselt, und die beteiligten Kanäle zur Kommunikation werden über verschiedene Server des Tor-Netzes mithilfe von Hash-Werten etabliert. Auf diese Weise bleiben die einzelnen an der Kommunikation beteiligten Rechner völlig anonym.

Um Deep-Web-Seiten im Tor-Netz auffinden zu können, gibt es diverse Suchmaschinen wie beispielsweise Torch oder Candle . In der Voreinstellung nutzt der Tor-Browser aber das ebenfalls Deep-Web-fähige DuckDuckGo.

Fazit

Overlay-Netze im Internet tragen wesentlich zu anonymer Kommunikation bei. Dabei zielen die einzelnen Lösungen auf verschiedene Anwendergruppen ab. Während es in den klassischen Peer-to- Peer-Netzen lediglich um die möglichst anonymisierte Übertragung von individuellen Dateien geht, fokussieren andere auf ein anonymisiertes Surfen im herkömmlichen Internet. Wieder andere haben sich die wirklich anonyme Kommunikation mithilfe konventioneller Technologien wie E-Mail, Chat oder IRC auf die Fahnen geschrieben.

Alle hier vorgestellten Lösungen haben gemeinsam, dass sie durch freie Lizenzen und die dadurch bedingte offene Verfügbarkeit des Quellcodes tatsächlich auch in den einzelnen Applikationen das Einschleusen von Schad- oder Spionagecode erschweren. Als Anwender sollten Sie sich jedoch insbesondere bei Nutzung des Darknets vorab detailliert informieren, um dann durch eine Kombination unterschiedlicher Sicherheitsmechanismen eine wirklich gegen verschiedenste Angriffsszenarien gehärtete Kommunikationslösung zu erhalten.

(jlu)