JonDonym
Die Tor-Alternative, Interview mit den Betreibern
Anonym im Web surfen: immer notwendiger wird die Möglichkeit, sich überwachungsfrei im Netz zu bewegen. Populärster Dienst ist aktuell TOR, der "Onion Router" der Electronic Frontier Foundation. Aus dem Forschungsprojekt AN.ON/JAP der TU Dresden ging der Anonymisierer JonDonym hervor, der gegenüber TOR einige Vorteile verspricht. gulli.com sprach mit Rolf Wendolsky von JonDos.
Wie auch TOR routet ex JAP JonDonym den Webtraffic über drei Nodes, bevor er an der Zielseite ankommt, Die Routen dabei werden - anders wie bei TOR - nicht bei jedem Seitenaufruf neu generiert, weiter arbeitet der Service mit einer geringeren Anzahl an Nodes als TOR. Dennoch sind einige interessante Features implementiert, und auch das Mitmachen ist - wie auch bei TOR - möglich. Vor kurzem brachte Betreiberfirma JonDos einen Anon-USB-Stick heraus, mit dem sich JonDonym einfach nutzen läßt und dessen Software die gängigsten Privacy-Stolpersteine wie Cookies und Java bereits deaktiviert hat.
(Funktionsweise von JonDonym, Grafik: JonDos)
Korrupt: Rolf, kannst du dich kurz vorstellen und erzählen, was genau deine Funktion bei JonDos ist?
Rolf: Bei der Firma JonDos bin ich einer der beiden Geschäftsführer, und bin für die technische Entwicklung, den Support und für Public Relations zuständig. Bis 2006 arbeitete ich am Lehrstuhl Sicherheitsmanagement an der Universität Regensburg als wissenschaftlicher Mitarbeiter. Wir stehen immer noch in engem Kontakt mit Forschern der TU Dresden, der Uni Regensburg und der RWTH Aachen, und natürlich mit den beiden Betreuern meiner Promotion (die läuft auch noch) Prof. Dr. Hannes Federrath und Prof. Dr. Andreas Pfitzmann.
Zusammen mit Vollzeit-Entwicklern und freien Mitarbeitern kümmere ich mich darum, dass das JonDonym-System stabil und sicher läuft und laufend weiter entwickelt wird.
Korrupt: Grob über den Daumen: wieviele Nodes hat das Jondonym-Netz und wo stehen sie? Wieviele (oder wieviel Bandbreite) sind für den kostenlosen Dienst nutzbar und wieviele für den Paid-Service?
Rolf: Momentan gibt es 21 Produktivmixe und einen Testmix. Davon stehen 15 Mixe in insgesamt 5 Mixkaskaden im kommerziellen System. 6 Mixe sind kostenlos nutzbar, wobei 3 davon in einer Kaskade aufgereiht sind, und 3 jeweils allein stehen. Der Testmix ist ebenfalls kostenlos nutzbar, die Zahl der gleichzeitig angemeldeten Nutzer ist aber beschränkt auf unter 100.
Die Server selbst stehen momentan in Deutschland, Tschechien und Dänemark. Wir bekommen in den nächsten Wochen vermutlich noch Server in Österreich und/oder der Schweiz. Die Betreiber dieser Server kommen aktuell aus Deutschland, Thailand und England. Demnächst kommen Betreiber aus Syrien und Österreich dazu. Wie man sieht, ist hier grundsätzlich zwischen dem Land des Betreibers und den Standorten der Mix-Server zu unterscheiden. Wir sehen Kaskaden nur dann als international an, wenn sich jeweils Betreiber- und Serverstandort von dem der anderen Mixe/Betreiber in der Kaskade unterscheiden.
Hinsichtlich Bandbreite kann auch ich nur schätzen. Unsere Betriebsrichtlinien fordern für den kommerziellen Betrieb eine dedizierte Bandbreite von 100 MBit/s je Server, mindestens jedoch 20 MBit/s. In der Praxis liegen die Werte dazwischen. Auf den kostenlosen Kaskaden können wir den Betreibern solche Mindestgeschwindigkeiten nicht zumuten, deshalb liegt die nutzbare Übertragunsgeschwindigkeit meist darunter. Auch die Verzögerungszeit (Zeit, bis die erste Antwort vom Server kommt) spielt eine Rolle, gerade bei längeren Serverketten und einer hohen Auslastung mit vielen Benutzern auf den Servern. Wir möchten im kostenpflichtigen System immer eine Latenz von wenigen Sekunden und Übertragungsraten von mindestens ISDN-Geschwindigkeit (64-128 kBit/s) sicherstellen. Die aktuellen Geschwindigkeiten liegen aufgrund der großen Kapazitätsreserven freilich noch deutlich darüber, während die kostenlosen Dienste meist langsamer arbeiten.
Korrupt: Jondonym ging bekanntlich aus JAP/AN.ON hervor. Ich meine mich zu erinnern, dass JAP nur sehr wenige Nodes betrieben hat und daher mit den Strafermittlern in Sachen KiPo nicht nur kooperieren musste, sondern auch konnte. Wie sieht das bei Jondonym aus?
Rolf: Im Rahmen des kostenlosen System war (und ist es) fast unmöglich, neue Betreiber zu finden. Die hohen Kosten (80-300 Euro im Monat je Server) sind einfach abschreckend. Und der Betrieb auf normalen DSL-Anschlüssen ist nicht sinnvoll, weil die erforderliche Servicequalität dort nicht gewährleistet wäre. In Zukunft können wir freie Betreiber durch Spenden unterstützten, setzten aber ein immer noch ein erhebliches Eigen-Engagement voraus. Wir möchten verständlicherweise keine Abhängigkeiten dieser Betreiber zu JonDos schaffen.
Das kommerzielle System gibt uns nun die Möglichkeit, sowohl die Betreiber als auch uns selbst bezahlen zu können. Vielen Betreibern genügt bereits eine Kostendeckung, die bei den meisten schon im Oktober erreicht war. Wir hoffen natürlich auf steigende Einnahmen in den nächsten Monaten, so dass auch Betreiber mit teureren Servern "auf ihre Kosten kommen". Durch die neue Möglichkeit zur Bezahlung erhielten wir gerade in den letzten Monaten viele Anfragen am Mixbetrieb interessierter Personen und Organisationen.
Dadurch steht unseren Nutzern nun eine recht große Zahl teils internationaler Mixkaskaden zur Verfügung, die unabhängig von JonDos betrieben werden. Die Mixbetreiber sind an keine Weisungen von uns gebunden und selbständige Dienstleister im Rahmen von JonDonym. Überwachungsbeschlüsse können also nicht an uns gerichtet werden (können schon, aber bringt nichts), sondern müssen an die Betreiber selbst ergehen. Nur wenn alle Betreiber in jeweils einer Kaskade einen solchen gleichlautenden Beschluss erhalten, liefert eine angeordnete Überwachung brauchbare Daten. Gleichzeitig handelt jeder dieser Betreiber rechtskonform, auch wenn der Bedarfsträger letztendlich keine für ihn nützlichen Daten erhalten sollte.
Wahrscheinlich gab es aufgrund dieses deutlich höheren Aufwands im Jahr 2007 bisher keinen Überwachungsbeschluss, zumindest keinen, von dem wir wissen. Und da unsere neuen Betreiber noch nicht wissen, was in diesem Fall zu tun ist, würden wir es erfahren
Kritisch sind jedoch nach wie vor die Einzelmixe: ULD, CookieCooker, Dresden und der Testmix werden von jeweils einem Betreiber kontrolliert. Denn es ist deutlich einfacher, einen Beschluss für einen einzelnen (nationalen) Betreiber zu erwirken, als für mehrere Betreiber, vielleicht sogar international verteilt. Und außerdem kann der Betreiber selbst oder ein Hacker des Servers Nutzer beobachten, wenn er es möchte. Wir warnen unsere Nutzer mittlerweile direkt im JonDo-Client vor diesem Problem (Statuszeile), so dass sie die Möglichkeit haben, auf sicherere, verteilte Mixkaskaden umzuschalten. Im Rahmen des kommerziellen Systems sind einzelne Mixe sogar verboten. Für das kostenlose System bemühen wir uns ebenfalls um neue Betreiber, aber das ist, wie gesagt, schwierig.
Korrupt: Der JonDoFox als Firefox-Derivat ist Open Source, wie verhält es sich mit den anderen Client- oder Serverprogrammen von Jondonym?
Rolf: Wir stellen unseren Nutzern und Betreibern ausschließlich Open-Source-Software zur Verfügung. Jeder darf den Code weitergeben oder verändern. Close-Source ist einzig und allein ein Teil der Serverumgebung unserer Bezahlinstanz, die für die zentrale Abrechnung von JonDonym zuständig ist. Diese läuft nur auf unseren eigenen Servern und muss deshalb nicht veröffentlicht werden.
Korrupt: Ihr habt eine automatische Update-Routine eures Java-Clients. Nach den jüngsten Vorfällen bei Hushmail, die offenbar manipulierte .jar-Files an User auslieferten, gegen die ermittelt wurde, kriegt man da natürlich Bauchschmerzen. Wie schützt ihr euch und eure User vor sowas, bzw. gibt es eine Möglichkeit für den User festzustellen, wenn auf diese Weise gegen ihn vorgegangen würde?
Rolf: Hushmail ist ein Sonderfall, da die dortige Verschlüsselungsroutine mittels eines Java-Applets direkt im Browser ausgeführt wurde. Es gibt auch einen vergleichbaren Dienst, der eine verschlüsselte Passwortdatenbank über JavaScript realisiert. Solche Techniken sind prinzipiell unsicher, weil der Betreiber des Dienstes den Code innerhalb von Sekunden ändern kann, ohne dass jemand dies merkt oder überprüfen kann. Und er kann sich gezielt einzelne Nutzer des Dienstes herauspicken und nur diesen den veränderten Code schicken.
Unsere "hauseigene" Updateroutine ist prinzipiell nicht unsicherer als die Updateroutinen anderer Hersteller (eher im Gegenteil, da wir hier wie immer auf digitale Signaturen setzen). Dennoch will ich uns ungern als (theoretischen) Angreifer ausnehmen (Hacking, Erpressung,...) - wie also können sich Nutzer vor einem "bösartigen" JonDo-Update schützen?
Man muss zunächst einmal unterscheiden, was der Angreifer will. Bei Hushmail etwa ist es klar: er möchte die Kommunikation eines bestimmten Teilnehmers belauschen. Bei JonDonym muss er vielleicht erst herausfinden, wer denn der Teilnehmer ist, der ihn interessiert. D.h. er kann "bösartigen" Code nicht für einen bestimmten Teilnehmer einspielen, sondern müsste dafür sorgen, dass alle Teilnehmer diesen Code erhalten.
Die andere Möglichkeit ist, dass der Angreifer einen bestimmten Nutzer (IP) bereits kennt, und nun sein Kommunikationsverhalten ausspähen will. Die einfachste Möglichkeit, sich dagegen zu schützen ist, Updates nur über eine anonyme Verbindung zuzulassen. Eine entsprechende Funktion findet man im Update-Panel von JonDo. Oder der Nutzer lädt jeweils die neueste Version anonymisiert und direkt von unseren Webseiten herunter. Ein Update über die automatische Funktion ist nämlich nicht verpflichtend, und kann vom Nutzer abgelehnt oder grundsätzlich ausgeblendet werden. Dann ist es einem Angreifer nicht möglich, Updates gezielt an einzelne Nutzer zu senden, denn es werden keinerlei IDs beim Update übertragen.
Ein Angreifer müsste also, um ganz sicher zu gehen, die Clients sämtlicher Nutzer "patchen", was zu einer Veränderung des Downloadlinks für alle Nutzer äquivalent wäre. Er kann auch nicht wissen, wann der eigentliche "Zielnutzer" sein Update macht. Das Risiko, dass jemand den Code dekompiliert (bei Java ist das nicht allzu schwierig) oder den "Patch" anderweitig entdeckt, bevor die Zielperson beobachtet werden könnte, wäre für einen Angreifer also relativ hoch. Kennt er die zu beobachtende Person bereits, wird er deshalb - wenn er denn schon so geschickt ist, sich auf unsere Server einzuhacken, oder so stark, uns zu bedrohen - zu einfacheren Angriffen greifen - nämlich irgend eine andere Anwendung des Nutzers "patchen", die z.B. keine signierten Updates einsetzt, oder ganz einfach Überwachungsgeräte in der Wohnung des Nutzers platzieren.
Im Übrigen gibt es in Deutschland kein Gesetz, das JonDos verpflichten könnte, eine solche Überwachungsfunktion direkt in den JonDo-Client einzubauen. Dies wäre nur auf kriminelle Weise (mit Waffengewalt oder über illegales Hacking) möglich. Wir versuchen zumindest Hacking so weit wie möglich zu erschweren. Eine persönliche Schutztruppe können wir momentan leider noch nicht finanzieren.
Korrupt: Ab 2009 müssen auch ISPs Verbindungsdaten speichern, wenn das Gesetz nicht vom BVG oder dem EuGH gekippt wird. Was werdet ihr im Fall der Fälle tun? Wärt ihr zur Speicherung verpflichtet, und wie würdet ihr das technisch umsetzen? Was ist mit euren Nodes im (EU-)Ausland?
Rolf: Deutsche Betreiber bzw. Mixe in Deutschland müssen dann eine VDS durchführen. Wir selber betreiben außer dem Testmix und einem kommerziellen "Springer"-Mix keinen Anonymisierungsserver selbst, müssen aber Betreibern, die unter diese Gesetzgebung fallen, einen rechtskonformen Betrieb ermöglichen, und gleichzeitig für eine maximale technische Sicherheit von JonDonym sorgen.
Ab Januar werden wir uns daran machen, eine Option zur sicheren, performanten und rechtskonformen Vorratsdatenspeicherung in den Mix-Code zu integrieren. Diese wird so gestaltet, dass die Einzelmixe jeweils individuelle und zufällige interne Kanalnummern bei jedem neuen Nutzer-Request erzeugen. Dadurch ergibt sich bei einer Kaskade aus drei Mixen etwa folgendes Bild für einen Request:
IP - ID1 (Mix 1)
ID1 - ID2 (Mix 2)
ID2 - IP-Exit (Mix 3)
Nur wenn alle Logs zusammengeführt werden, ergibt sich ein vollständiges Bild, und die Anonymität einzelner Nutzer kann aufgehoben werden. Loggt auch nur ein einziger Mix in der Kette nicht, oder sind die Daten eines diese Mixe aus einem anderen Grund nicht greifbar, so bleibt die Anonymität erhalten.
Die praktische Implementierung ist leider recht aufwendig und wird uns einige Monate Arbeit kosten, die wir lieber in neue Sicherheitsfunktionen stecken würden.
Korrupt: TOR ist dezentral und offen - das bringt Vor- und Nachteile. In Bezug auf letztere machten in der Vergangenheit oft Exit-Nodes von sich reden, deren Betreiber die übertragenen Daten analysierten und beispielsweise Logins ausschnüffelten. Wie geht Jondonym mit diesem Problem um?
Rolf: Wir können den Datenmissbrauch beim Senden unverschlüsselter Informationen (beispielsweise Login-Daten über HTTP) technisch nicht ausschließen, aber machen ihn bereits organisatorisch so schwer wie möglich. Um bei uns Mixbetreiber zu werden, muss man sich zunächst einer längeren Identitäts- und Seriösitätsprüfung unterziehen. Normalerweise treffen wir jeden Betreiber mindestens ein Mal persönlich, wir stellen viele Fragen über E-Mail, Chat und Telefon. Auch eine postalische Adressverifikation, Handelsregisterauszüge, Personalausweise etc. sind uns wichtig. Unsere Verträge schreiben bei Missbrauch seiner Position außerdem die direkte Haftung des Betreibers vor.
Aufgrund des statischen Aufbaus unserer Kaskaden und der Transparenz der Betreiber (jeder kann in JonDo überprüfen, über wen er gerade surft) lässt sich Missbrauch auch deutlich leichter zurückverfolgen als bei den ständig wechselnden Tor-Routen, bei denen das im Nachhinein praktisch unmöglich ist. Für einen "Schnüffler" besteht also nicht nur ein hohes Risiko, entdeckt zu werden, sondern es hängt auch das Damoklesschwert der Haftung über ihm. Noch dazu besteht die Motivation unserer Betreiber nicht - wie etwa bei anonymen Proxies offensichtlich - darin, Nutzerdaten zu sammeln, sondern höchstens Geld durch die von Nutzern übertragene und von uns vergütete Datenmenge einzunehmen.
Einem unserer Betreiber kann man deshalb hinsichtlich Datenmissbrauch mindestens so sehr vertrauen wie dem eigenen ISP.
Korrupt: Gesetzt den Fall, ich hab einen Server in Deutschland herumstehen, der nicht ausgelastet ist. Wenn ich einen Jondonym-Node betreiben möchte: was für Risiken entstehen? Wird analog zu den TOR-Razzien irgendwann die Polizei in meiner Wohnung oder bei meinem Rechenzentrum auftauchen?
Rolf: Ich würde keiner Privatperson oder Personengesellschaft den Betrieb von Ausgangsmixen in Deutschland empfehlen. Das wird gerne vom ULD, Dresden oder uns erledigt. Erste oder mittlere Mixe tauchen in den IP-Logs der Strafverfolger allerdings nicht auf, und deren Betreiber sollten vor solchen Gefahren deshalb ausreichend sicher sein. Wir würden und freuen, wenn jemand einen solchen Mix bereitstellen könnte.
Wer letzte Mixe betreiben will, sollte schon eine Kapitalgesellschaft - am besten im Ausland, und in einem Land ohne Vorratsdatenspeicherung - gründen. Auf diese Weise könnte man sich auch als Deutscher an der VDS "vorbeimogeln", sofern man dann auch Server im Ausland betreibt. Wir prüfen gerade, in welchen Ländern sich eine solche Gründung lohnt.
Korrupt: Wenn ich den Server auch für die Paid-Dienste JonDonyms anbieten will: was muss ich tun, und was kommt dabei für mich rum? Lohnt sich das rechtliche Risiko, krieg ich meine Traffickosten gedeckt?
Rolf: Dann sind neben den Betriebsrichtlinien, die jeder Betreiber anerkennen muss (für die gibt es übrigens bald ein Update wegen VDS und anderen Dingen), noch ein Betreibervertrag, der Vertrag über die Betreiberversammlung und ein Abrechnungsvertrag zu unterzeichnen. Außerdem muss man mindestens als Kaufmann gemeldet sein, denn Betreiber müssen uns Rechnungen stellen können (es handelt sich um Dienstleister). Für den Abrechnungsvertrag muss man sich mit uns vorher noch über einen Preis pro anonymisiertem GB einigen, den man abhängig von seinen Kosten schätzen sollte (muss deutlich unter einem Euro pro aGB liegen).
Die meisten Betreiber befinden sich momentan an der Schwelle zur Deckung, bzw. bekommen ihre Kosten bereits gedeckt. Dabei sind die Kaskaden nicht mal zu 10% ausgelastet, d.h. es gibt noch viel Luft nach oben. Bisher hatten wir monatlich zweistellige Wachstumsraten hinsichtlich des Umsatzes. Das rechtliche Risiko kann man durch die Gründung einer Kapitalgesellschaft und/oder durch den Betrieb lediglich erster und mittlerer Mixe minimal halten. Auch sollte man als Betreiber von letzten Mixen dem Sperrwunsch von Webseitenanbietern immer zeitnah entsprechen, damit keine zivilrechtliche Haftung im Fall von Missbrauch des Dienstes greift.
Korrupt: Rolf, großen Dank für das Interview, diene Zeit und vor allem für dein Engagement fürs Recht auf Anonymität im Netz.
