Deanonymisierung von Tor-Usern durch Timing-Analyse

In dem Artikel wird beschrieben dass der deutschen Polizei/Staatsanwaltschaft die Deanonymisierung von Tor-Nutzern gelungen ist.

Die Beschreibung wirft jedoch ein paar Fragen auf, inwieweit die Deanonymisierung wirklich reverse erfolgte (oder warum wurde nur Telefonica angefragt, welche Kunden sich mit dem Knoten verbunden haben)

Unabhängig von der tatsächlichen Durchführung bleibt es denke ich, eine Warnung, dass man nie komplett 100%ig und für immer anonym ist.

1 „Gefällt mir“

Danke für den Link. Zum Thema: Dem Tor Netzwerk stehe ich schon seit langem kritisch gegenüber. Das Potential ist so eklatant, da können die Behörden nicht untätig bleiben. Ich befürchte schon lange eine hohe Anzahl von Tor-Knoten die von Institutionen kontrolliert werden, welche die Anonymität der Verbindung zu unterwandern versuchen.

Der Eintrittsknoten im Tor-Netzwerk kennt die ursprüngliche IP-Adresse des Benutzers (sofern er nicht mit vorgeschalteten Anonymisierungsmaßnahmen diese verschleiert, z.B. durch VPN). Ist dieser Knoten nun unter der Kontrolle der Angreifer, kennt er die IP-Adresse und somit den Provider des Benutzers (in diesem Fall wohl Telefonica).

Für einen Timing-Angriff im Tor-Netzwerk benötigt der Angreifer in der Regel Kontrolle über mindestens zwei Punkte im Netzwerk: den Eingangsknoten und den Ausgangsknoten oder die Überwachung des Zielservers (Hier vermutlich der Chat-Server). Wenn der Angreifer den Datenverkehr am Eingangsknoten überwacht, könnte er Muster wie die Anzahl der gesendeten Pakete, ihre Größe und die zeitlichen Abstände zwischen den Paketen analysieren. Diese Muster lassen sich dann mit dem Datenverkehr am Zielserver bzw. Ausgangsknoten vergleichen. Wenn die Muster übereinstimmen, kann der Angreifer potenziell feststellen, welcher Client mit welchem Server kommuniziert.

Tor hat zwar Mechanismen implementiert, um Timing-Angriffe schwieriger zu machen, wie zum Beispiel das zufällige Verzögern und Bündeln von Datenpaketen. Trotzdem bleibt Timing eine potenzielle Schwachstelle, insbesondere bei gezielten, gut koordinierten Angriffen. Der Faktor Zeit bzw. die Menge der gesammelten Daten spielen dabei eine wesentliche Rolle.

Eine 100%ige Anonymität habe ich dem Tor-Netzwerk nie zugetraut, und mittlerweile würde ich den Trust-Level bei etwa 50% ansetzen. Je nach möglichen Konsequenzen bei der Enttarnung meiner Identität ist das ein eher magerer Wert. Tor ist im Prinzip auch nur ein einzelner Baustein der Anonymität.

2 „Gefällt mir“

Offensichtlich weiss der CCC mehr als als Torproject selbst.

Die Angriffe erfolgten mit einer alten Version der schon lange nicht mehr genutzten Anwendung Ricochet, der neue Funktionen fehlten, die das Tor-Projekt seitdem veröffentlicht hat, um die in den Artikeln beschriebene Art der „Timing“-Analyse zu verhindern. Die aktuellsten Versionen von Ricochet-Refresh verfügen über solche Schutzmechanismen.

Ein weiterer wichtiger Punkt ist die Langlebigkeit der Benutzerverbindung, damit eine solche „Timing“-Analyse erfolgreich sein kann. Ein Tor-Browser-Nutzer, der seine Verbindung nicht lange aufrechterhält, ist weniger anfällig für solche Analysen.
https://blog.torproject.org/tor-is-still-safe/