Onion-Routing

Onion-Routing (englisch onionZwiebel“) ist eine Technik zum Erreichen von Anonymität im Internet. Hierbei werden die Webinhalte über ständig wechselnde Routen mehrerer Mixe geleitet, welche in diesem Zusammenhang auch Knoten genannt werden. Diese stellen jeweils eine Art verschlüsselnder Proxyserver dar. Dadurch bleibt die wahre Identität desjenigen, der die Daten angefordert hat, für den Webserver auf der anderen Seite anonym, und nicht einmal die Betreiber der Knoten selbst können eine Zuordnung zwischen dem Nutzer und seinen angeforderten Webinhalten herstellen, es sei denn, alle Knoten der jeweiligen Route arbeiten zusammen.

Verschlüsselungsschema

[Bearbeiten | Quelltext bearbeiten]
Grafische Darstellung des Prinzips

Der Begriff Onion bzw. Zwiebel leitet sich vom verwendeten Verschlüsselungsschema ab. Die zu übertragenden Daten werden dabei mehrmals verschlüsselt. Innerhalb jedes Knotens wird auf die Daten entweder ein Ent- bzw. Verschlüsselungsschritt angewendet, je nachdem ob die Daten gesendet („upstream“) oder empfangen („downstream“) werden. Der Client verschlüsselt jedes zu sendende und entschlüsselt jedes empfangene Paket demzufolge mehrfach entsprechend der Anzahl der Knoten innerhalb der Route. Dieses stufenweise Verschlüsselungsschema hat die Form einer Zwiebel mit ihren Schalen, daher der Name. Es garantiert, dass nur der letzte Knoten die zu sendenden Daten im Klartext sehen kann (wobei diese ggf. noch einer Ende-zu-Ende-Verschlüsselung unterliegen können). Auch ein Verfolgen („tracking“) der Daten über einen Knoten hinweg ist nicht möglich, da jeder Knoten einen nur für ihn und den Client nachvollziehbaren Ver- bzw. Entschlüsselungsschritt durchführt, die Daten also am Eingang des Knotens anders als am Ausgang des Knotens aussehen.

Im Gegensatz zu Diensten, die auf festen Mix-Kaskaden basieren, d. h., die stets eine für alle Nutzer gleiche Route zwischen den Mixen verwenden, wird beim Onion-Routing die Auswahl und Reihenfolge der benutzten Knoten immer wieder individuell durch jeden Nutzer geändert. Somit scheint auch ein späterer erneuter Zugriff auf einen Server aus Sicht dieses Servers von einem neuen Benutzer zu kommen, da sich die IP-Adresse zwischenzeitlich ebenso geändert hat. Dies gilt allerdings nur, falls nicht anhand der übertragenen Inhaltsdaten eine weitere Identifikation möglich ist, z. B. wegen Cookies oder personalisierten Links.

Konzeptvergleich zu Mix-Kaskaden

[Bearbeiten | Quelltext bearbeiten]

Der Hauptunterschied zwischen dem Konzept von festen Mix-Kaskaden und freiem Routing liegt in der Übertragungskapazität und der Anzahl der benötigten Knoten. Während bei festen Mix-Kaskaden alle Nutzer dieselben Mixe verwenden, diese also entsprechend große Kapazitäten zur Verfügung stellen müssen, eine geringe Anzahl aber ausreicht, sind beim Onion-Routing-Konzept sehr viele Knoten nötig, die aber geringere Bandbreiten benötigen, da der einzelne Knoten jeweils nur durch wenige Nutzer in Anspruch genommen wird. Dadurch kann Onion-Routing innerhalb eines Graswurzelansatzes verwirklicht werden, da Nutzer mit einem Breitbandzugang (mit ausreichender Senderate) oftmals selbst einen Knoten betreiben können. Andererseits ist eine niedrige Beteiligungsschwelle und damit die fehlende Zentralkontrolle auch das größte Risiko: Ein solcher Dienst kann mit verhältnismäßig wenig Aufwand zu großen Teilen unterwandert und kontrolliert werden, indem einzelne Personen unter vielen Pseudonymen Knoten betreiben. Auch wenn immer noch ausreichend „gute“ Knoten im Netzwerk sind, so ergibt sich eine entsprechend erhöhte Wahrscheinlichkeit, dass ein Nutzer eine Route ausschließlich aus der Menge der kontrollierten Knoten zusammenstellt und damit seine Aktionen für den Betreiber dieser Knoten nachvollziehbar werden. Begünstigt wird dies sogar noch durch die ständig neu stattfindende Routenwahl. Damit ist zwar die Wahrscheinlichkeit geringer, dass alle Aktionen des Nutzers kontrolliert werden können, da er ständig neue Knoten wählt, allerdings steigt die Wahrscheinlichkeit, dass zumindest einzelne seiner Aktionen deanonymisierbar sind.

Ein bekanntes und verbreitetes Programm zur Nutzung von Onion-Routing ist der Anonymisierungsdienst Tor (The Onion Router). Dagegen ist der in Deutschland entwickelte JonDo ein auf festen Mix-Kaskaden basierender Dienst.