Fragen zur Sicherheit des Tor-Netzwerkes

Aus DVB-Koordinator

Wechseln zu: Navigation, Suche

Im Zusammenhang einer Diskussion um den Grad einer möglichen Unterwanderung des Tor-Netzwerkes durch Geheimdienste kam der Einwand auf, die Anzahl der Tor-relays würden zu ca. 60% von Geheimdiensten kontrolliert, sodass ein zweckdienlicher Einsatz von Tor bez. Anonymisierung an der HU-Berlin nur dann gegeben sei, wenn sich eine Kompromittierung des Tor-Netwerkes ausschließen lässt. Beratungen von Roland Hummel (Mit-Initiator "Jahr 1 nach Snowden") mit dem FifF ergaben, dass die aktuelle Informationslage keinen Schluss zulässt, das Tor-Netzwerk sei in einem Maße kompromittiert, der es überflüssig mache.

Gegen die These, Tor sei über einen kritischen Punkt hinaus unterwandert, sprechen die folgenden Punkte.

Deanonymisierung des Tor-Netzwerkes als Ziel (nicht Ergebnis) der NSA

Noch im Jahre 2012 war Tor auf der "most wanted list" der NSA (zusammen mit Tails und Truecrypt), weil die NSA es nicht kontrollieren konnte:
„Snowden docs show Tor, TrueCrypt, Tails topped NSA's 'most wanted' list in '12“

NSA kann Tor-Nutzer nicht flächendeckend deanonymisieren

Die folgende Aussage der NSA verdeutlicht, dass eine Überwachung aller Tor-User nicht möglich sei. Die Aussage ist zwar älter (2007), dafür aber auch absolut formuliert: „We will never be able to de-anonymize all Tor users all the time' but 'with manual analysis we can de-anonymize a very small fraction of Tor users“
Quelle: 'Tor Stinks' presentation – read the full document

Ähnliche Aussagen des GCHQ

Auch das GCHQ sagt diesbezüglich in einer geleakten, internen Präsentation: "Near impossible to figure out who is talking to who" („Summary“, Folie 25)

Zwischenbilanz

Aus diesen Punkten lässt sich ableiten, dass das Tor-Netzwerk seinem Anliegen nach wie vor gerecht wird.

Unter Berücksichtigung der Funktionsweise des Tor-Netzwerkes könnte ein Angreifer mit dem Ziel, die Mehrheit des Netzwerkes zu kontrollieren, keine genügend hohe Anzahl an kompromittierten Exit-relays bereitstellen, ohne das Tor-Netzwerk dadurch nicht auch massiv (entgegen der Angriffsabsicht) zu unterstützen. Exit-relays werden je öfter von Clients gewählt, desto stabiler und desto höher die Bandbreite ist, die sie zur Verfügung stellen. Dadurch würden sich aber Korrelationsangriffe, also die Deanonymisierung eines Users durch den zeitlichen Abgleich von Datenpaketen überwachter Tor-Clients und Tor-Exits (dazu unten ausführlicher), nur erschweren, bedenkt man ca. 2 Millionen aktive Tor User und allein 1000 Exit-relays hinter einer Vielzahl verschiedener Provider, die man zwecks „Uhrenabgleich“ für den Korrelationsangriff unmöglich (im Sinne der oben aufgeführten Geheimdienstaussagen) alle gleichzeitig überwachen könnte.

Lediglich bei gezielt anvisierten Usern gelänge dies, sofern man eine hinreichend hohe Zahl des Netzwerkes kontrolliert, wodurch dieses aber dann alle anderen Tor-Clients auch massiv Bandbreite bereitstellt und die Stabilität des Netzwerkes erhöht.

Dennoch: Ein "60%-Gedankenspiel"

Angenommen, die NSA hätte 60% der Knotenpunkte, wobei sie dann genauer gesagt 60% der Exit-relays (und Guards) unter ihrer Kontrolle haben müsste (normale Relays wissen nicht, was für Datenpakete und wohin und von wem sie diese transportieren), dann gäbe es dafür nach aktuellem Stand 2 nutzbare Angriffsszenarien:

60%-Szenario 1: Geheimdienste Deanonymisieren User, indem sie die Mehrheit der Exitknoten kontrolliert und Daten dort im Klartext abgreift.

60%-Szenario 2: Geheimdienste rekonstrukieren Tor-Verbindungen, indem sie das gesamte Internet kontrollieren, alle Verbindungsdaten abgreifen und dafür auch die eigenen Knoten verwenden können

60%-Szenario 1

Da Tor die Daten zwischen Exit-relay und Zielserver nicht anonymisieren kann, könnten Geheimdienste durch Kontrolle vieler dieser Exit-relays einigen Verkehr des Tor-Netzwerkes lesen. Dies gelänge jedoch nur, wenn der ins Tor-Netzwerk usprünglich aufgenommene Datenverkehr im Klartext angenommen wurde, was durch zunehmende TLS-Verschlüsselung durch Mailprovider und Seiten mit sicherer Login-Funktion (https, smtps, imaps, pop3s, ftps) bis zur Unmöglichkeit erschwert ist. HTTPS-Everywhere im Tor Browser würde in diesem Zusammenhang zusätzliche Sicherheit bieten. Mit Initiativen wie Let's Encrypt wird auch ein großflächig verschlüsseltes Netz realistisch.

(Der mögliche Einwand, TLS sei durch Austausch der Zertifikate durch Geheimdienste unsicher, ist berechtigt, allerdings wird auch diesem Problem zunehmend durch Certificate pinning und durch das Certificate Transparency Projekt begegnet:

)


Fazit: Die Chance Tor User über das Exit-relay zu deanonymisieren ist also theoretisch gegeben, aber genau betrachtet zu gering, um als ein realistisches Argument gegen Tor zu gelten.

60%-Szenario 2

(Tor-Verbindungen rekonstruieren durch Kontrolle des gesamten Internets:) Es gibt den theoretischen Angriff auf Tor, dass ein mächtiger Angreifer die Metadaten aller normalen Relays wie Exit-relays überwachen könnte und aus den zeitlichen Abläufen der Verbindungen die einzelnen Datenströme korrelieren könnte (ein sog. „traffic confirmation attack“). Somit könnte dann ausgehender Verkehr einem bestimmten Tor-Client zugewiesen werden:

Man möchte also entdecken, dass genau dann, wenn von einem besimmten Absender-Client Daten versendet werden, ein bestimmter Empfänger-Client Daten von einem bestimmten Exitä-relay empfängt (und umgekehrt). Diese Beobachtungen legt dann nahe, dass man eine spezifische Tor-Verbindung gefunden hat und die Serverzugriffe des Exit-relays einem bestimmten Client zuordnen kann. Die Deanonymisierung wäre so möglicherweise erfolgreich.

Der Angriff funktioniert aber nur dann, wenn die globale IP-Adresse ausschließlich zum Tor-Client gehört, also unter der IP nur Clientverkehr gesendet und empfangen wird. Sobald im eigenen Subnetz ein Tor-relay betrieben wird, sieht der Angreifer nur Torverkehr (so wie vorher auch), aber es ist nun nicht mehr klar, ob der aktuell beobachtete Verkehr überhaupt vom anvisierten Client kam oder nur weitergeleitet wurde. Der eigene Verkehr geht somit im restlichen Relay-Verkehr unter.
Weitere Informationen zu diesem Szenario:

Fazit: Dieses Szenario stimmt zwar in der Theorie, wird aber für ein reales Szenario aus bereits oben genannten Gründen als unrealistisch bewertet. Zudem kann diesem Szenario recht einfach dadurch begegnet werden, dass man im gleichen Netzwerk des eigenen Tor-Clients einen oder mehrere eigene Relays oder Exit-relays betreibt. Dann kann die Korrelation nicht mehr funktionieren, weil ständig Tor-Verkehr ein- und ausgeht, nicht nur von den Clients.

Zusammenfassung

Die Sicherheit ist trotz theoretischer Angriffsszenarien aktuell gewährleistet, da die möglichen Angriffsszenarien aufgrund der großflächigen Nutzung von TLS nicht effektiv sind. Die theoretischen Bedenken stützen vielmehr sogar die Idee, das Tor-Netzwerk durch ein eigenes Relay zu bereichern, um theoretische Korrelationsangriffe zu verhindern. Erfolgreiche Angriffe, mit denen einige Tor-user demaskiert wurden, basierten auf Fehlern im Firefox (FoxAcid) oder in Flash, nicht auf Fehlern in Tor.

Weitere Informationen dazu: