Anonimiteit op Internet (on)mogelijk?
18-09-2006,10:43 door
Hoe werkt Tor?
Om te illustreren hoe Tor werkt en wat er zoal lokaal op de computer gebeurt, gebruiken we een voorbeeld. Anita heeft de benodigde software gedownload vanaf de website. De installatieprocedure stelt geen configuratievragen, en plaatst de applicatie en de documentatie op de aangegeven plek.
Zodra Anita de applicatie opstart gebeurt het navolgende:
De Tor applicatie op Anita’s computer opent controle poort 9051. Daarnaast wordt de SOCKS-proxy gestart op poort 9050. Indien tevens Privoxy is geïnstalleerd, zal deze applicatie zichzelf als HTTP-proxy hechten aan poort 8118. Elk programma dat SOCKS ondersteunt, kan gebruik maken van Tor. Via Privoxy is het ook mogelijk om programma’s die enkel HTTP-proxies ondersteunen te koppelen aan Tor. Een bijkomend voordeel bij het gebruik van Privoxy is de mogelijkheid om ongewenste Java of Active-X componenten tegen te houden. Deze zouden immers de anonimiteit kunnen compromitteren.
De volgende stap in het proces is het benaderen van de directorieserver. Deze server voorziet Tor van het meest recente overzicht van Tor-nodes. Met de lijst van actieve nodes bepaalt Tor vervolgens dynamisch het netwerkpad dat gevolgd zal worden voor het benaderen van de website van Johnny.
Het verzoek dat Anita wil doorgeven aan Johnny, wordt drie keer versleuteld. Alleen Anita, de laatste Tor-server en Johnny kunnen dit verzoek ongeëncrypt lezen. De eerste Tor-node ontvangt enkel het geëncrypte verzoek van Anita. Het uitpakken van dit verzoek resulteert in een nieuw geëncrypt verzoek én het IP-adres van node 2. Op het moment dat de tweede node zijn geëncrypte verzoek ontvangt en uitpakt, is hij enkel in het bezit van de identiteit van node 1, node 3 en een voor hem onleesbaar verzoek dat enkel door node 3 is te ontsleutelen. Node 3 geeft na het ontsleutelen het weer leesbare verzoek door aan Johnny, maar heeft geen idee wie de bron van het verzoek is. Zijn enkele instructie is om het antwoord in te pakken en aan te leveren aan node 2 (waarna het antwoord zijn weg op de zelfde wijze terugvindt naar Anita).
Verzoeken die binnen een minuut na elkaar zijn opgezet, hergebruiken het initieel opgezette TOR-pad. Na het verstrijken van deze minuut wordt elk verzoek via een nieuw circuit opgezet om zo te voorkomen dat er verbanden kunnen worden gelegd die mogelijk de privacy van de gebruiker kunnen schaden.
Om te kunnen communiceren maakt Tor hoofdzakelijk gebruik van de poorten 80, 443, 9001 en 9030. Binnen gefirewallde omgevingen is het ook mogelijk alleen de standaardpoorten 80 en 443 te gebruiken. Tor past zichzelf hier automatisch op aan.
De standaard Tor configuratie zal bij het opzetten van verbindingen via het Tor-netwerk, standaard gebruik blijven maken van de lokale DNS-omgeving. Hierdoor blijft het mogelijk om aan de hand van de DNS-verzoeken te zien dat Anita wil communiceren met Johnny. Vanzelfsprekend is dit geen gewenste situatie. Door TorDNS in te zetten is het mogelijk tevens dit onderdeel van de communicatie te anonimiseren.
Bij de anonimiteit die het Tor netwerk een gebruiker biedt, speelt ook het aantal Tor-gebruikers en nodes een belangrijke rol. Als er slechts één gebruiker is die het netwerk inzet voor zijn verbindingen, is het door het op grote schaal onderscheppen van internetverkeer nog steeds mogelijk om het pad van de gebruiker door het Tor netwerk te volgen. Er is immers slechts één pakket dat zijn weg zoekt van een verzender naar een ontvanger en dat maakt het eenvoudig om vast te stellen dat deze twee partijen met elkaar communiceren. Als er enkele gebruikers het Tor netwerk inzetten voor hun communicatie, wordt het volgen van pakketten moeilijker. Maar aangezien een gebruiker bij het opzetten van een verbinding snel antwoord verwacht, blijft het mogelijk om aan de hand van de tijdstempels die bij de verschillende netwerkpakketten horen, redelijk nauwkeurig te schatten welk pakket bij welke gebruiker hoort. Dit wordt moeilijker zodra er veel Tor-gebruikers zijn. De tijdstempels van de verschillende pakketten komen op dat moment zo dicht bij elkaar te liggen, dat er bij het de-anonimiseren een steeds grotere onzekerheid zal ontstaan. Om Tor echt tot een succes te maken is de groei van het netwerk dus essentieel.
Dat de makers hierin slagen is te zien in de grafiek, waar de groei van het aantal nodes is weergeven. In april 2006 krijgen deze nodes ongeveer 50MB per seconde te verwerken en is de capaciteit aanwezig om ruim het dubbele te verwerken. Alleen al in de eerste 4 maanden van dit jaar heeft Tor de omvang van zijn OR-netwerk weten te verdubbelen dankzij een brede groep gebruikers die in het concept geloven.
De makers van Tor geven op hun website aan dat de gebruikerspopulatie inmiddels zeer veelzijdig is. Journalisten gebruiken het platform om op een veilige manier contact te onderhouden met klokkenluiders, onderdelen van diverse Amerikaanse overheidsinstanties zetten Tor in om op een anonieme manier gegevens te verzamelen en bedrijven met internationale vestiging in risicolanden zorgen er middels het programma voor dat communicatie vertrouwelijk en anoniem het land verlaat.
In de inleiding van dit artikel vroegen we ons af hoe effectief de bewaarplicht van verkeersgegevens zal zijn. We concludeerden dat de verkeersgegevens succesvol kunnen worden ingezet voor opsporingsdoeleinden op het moment dat internetgebruikers niet kunnen verbergen met welke partij ze kunnen communiceren. Tor zorgt ervoor dat anonieme internetcommunicatie net zo eenvoudig wordt als het installeren van een computerspelletje. Dit maakt het programma een zeer waardevolle aanwinst voor partijen die willen voorkomen dat Internet Service Providers of overheden kun internetgebruik volgen. Helaas bevat deze doelgroep naast journalisten, overheden en gebruikers die prijs stellen op hun privacy uiteraard ook de partijen waarvoor de EU de bewaarplicht van verkeersgegevens in de wet heeft vastgelegd. De kans is daardoor zeer groot dat een duur datawarehouse met verkeersgegevens hierdoor voor het opsporingsapparaat hoofdzakelijk waarde heeft voor recherchewerk die betrekking heeft op slecht georganiseerde groepen of individuen zonder enige kennis van de mogelijkheden die internet biedt. Uiteraard is dit niet de doelgroep waarvoor de wetgeving wordt aangepast.
Om te illustreren hoe Tor werkt en wat er zoal lokaal op de computer gebeurt, gebruiken we een voorbeeld. Anita heeft de benodigde software gedownload vanaf de website. De installatieprocedure stelt geen configuratievragen, en plaatst de applicatie en de documentatie op de aangegeven plek.
Zodra Anita de applicatie opstart gebeurt het navolgende:
De Tor applicatie op Anita’s computer opent controle poort 9051. Daarnaast wordt de SOCKS-proxy gestart op poort 9050. Indien tevens Privoxy is geïnstalleerd, zal deze applicatie zichzelf als HTTP-proxy hechten aan poort 8118. Elk programma dat SOCKS ondersteunt, kan gebruik maken van Tor. Via Privoxy is het ook mogelijk om programma’s die enkel HTTP-proxies ondersteunen te koppelen aan Tor. Een bijkomend voordeel bij het gebruik van Privoxy is de mogelijkheid om ongewenste Java of Active-X componenten tegen te houden. Deze zouden immers de anonimiteit kunnen compromitteren.
De volgende stap in het proces is het benaderen van de directorieserver. Deze server voorziet Tor van het meest recente overzicht van Tor-nodes. Met de lijst van actieve nodes bepaalt Tor vervolgens dynamisch het netwerkpad dat gevolgd zal worden voor het benaderen van de website van Johnny.
Het verzoek dat Anita wil doorgeven aan Johnny, wordt drie keer versleuteld. Alleen Anita, de laatste Tor-server en Johnny kunnen dit verzoek ongeëncrypt lezen. De eerste Tor-node ontvangt enkel het geëncrypte verzoek van Anita. Het uitpakken van dit verzoek resulteert in een nieuw geëncrypt verzoek én het IP-adres van node 2. Op het moment dat de tweede node zijn geëncrypte verzoek ontvangt en uitpakt, is hij enkel in het bezit van de identiteit van node 1, node 3 en een voor hem onleesbaar verzoek dat enkel door node 3 is te ontsleutelen. Node 3 geeft na het ontsleutelen het weer leesbare verzoek door aan Johnny, maar heeft geen idee wie de bron van het verzoek is. Zijn enkele instructie is om het antwoord in te pakken en aan te leveren aan node 2 (waarna het antwoord zijn weg op de zelfde wijze terugvindt naar Anita).
Verzoeken die binnen een minuut na elkaar zijn opgezet, hergebruiken het initieel opgezette TOR-pad. Na het verstrijken van deze minuut wordt elk verzoek via een nieuw circuit opgezet om zo te voorkomen dat er verbanden kunnen worden gelegd die mogelijk de privacy van de gebruiker kunnen schaden.
Om te kunnen communiceren maakt Tor hoofdzakelijk gebruik van de poorten 80, 443, 9001 en 9030. Binnen gefirewallde omgevingen is het ook mogelijk alleen de standaardpoorten 80 en 443 te gebruiken. Tor past zichzelf hier automatisch op aan.
De standaard Tor configuratie zal bij het opzetten van verbindingen via het Tor-netwerk, standaard gebruik blijven maken van de lokale DNS-omgeving. Hierdoor blijft het mogelijk om aan de hand van de DNS-verzoeken te zien dat Anita wil communiceren met Johnny. Vanzelfsprekend is dit geen gewenste situatie. Door TorDNS in te zetten is het mogelijk tevens dit onderdeel van de communicatie te anonimiseren.
Bij de anonimiteit die het Tor netwerk een gebruiker biedt, speelt ook het aantal Tor-gebruikers en nodes een belangrijke rol. Als er slechts één gebruiker is die het netwerk inzet voor zijn verbindingen, is het door het op grote schaal onderscheppen van internetverkeer nog steeds mogelijk om het pad van de gebruiker door het Tor netwerk te volgen. Er is immers slechts één pakket dat zijn weg zoekt van een verzender naar een ontvanger en dat maakt het eenvoudig om vast te stellen dat deze twee partijen met elkaar communiceren. Als er enkele gebruikers het Tor netwerk inzetten voor hun communicatie, wordt het volgen van pakketten moeilijker. Maar aangezien een gebruiker bij het opzetten van een verbinding snel antwoord verwacht, blijft het mogelijk om aan de hand van de tijdstempels die bij de verschillende netwerkpakketten horen, redelijk nauwkeurig te schatten welk pakket bij welke gebruiker hoort. Dit wordt moeilijker zodra er veel Tor-gebruikers zijn. De tijdstempels van de verschillende pakketten komen op dat moment zo dicht bij elkaar te liggen, dat er bij het de-anonimiseren een steeds grotere onzekerheid zal ontstaan. Om Tor echt tot een succes te maken is de groei van het netwerk dus essentieel.
Dat de makers hierin slagen is te zien in de grafiek, waar de groei van het aantal nodes is weergeven. In april 2006 krijgen deze nodes ongeveer 50MB per seconde te verwerken en is de capaciteit aanwezig om ruim het dubbele te verwerken. Alleen al in de eerste 4 maanden van dit jaar heeft Tor de omvang van zijn OR-netwerk weten te verdubbelen dankzij een brede groep gebruikers die in het concept geloven.
De makers van Tor geven op hun website aan dat de gebruikerspopulatie inmiddels zeer veelzijdig is. Journalisten gebruiken het platform om op een veilige manier contact te onderhouden met klokkenluiders, onderdelen van diverse Amerikaanse overheidsinstanties zetten Tor in om op een anonieme manier gegevens te verzamelen en bedrijven met internationale vestiging in risicolanden zorgen er middels het programma voor dat communicatie vertrouwelijk en anoniem het land verlaat.
In de inleiding van dit artikel vroegen we ons af hoe effectief de bewaarplicht van verkeersgegevens zal zijn. We concludeerden dat de verkeersgegevens succesvol kunnen worden ingezet voor opsporingsdoeleinden op het moment dat internetgebruikers niet kunnen verbergen met welke partij ze kunnen communiceren. Tor zorgt ervoor dat anonieme internetcommunicatie net zo eenvoudig wordt als het installeren van een computerspelletje. Dit maakt het programma een zeer waardevolle aanwinst voor partijen die willen voorkomen dat Internet Service Providers of overheden kun internetgebruik volgen. Helaas bevat deze doelgroep naast journalisten, overheden en gebruikers die prijs stellen op hun privacy uiteraard ook de partijen waarvoor de EU de bewaarplicht van verkeersgegevens in de wet heeft vastgelegd. De kans is daardoor zeer groot dat een duur datawarehouse met verkeersgegevens hierdoor voor het opsporingsapparaat hoofdzakelijk waarde heeft voor recherchewerk die betrekking heeft op slecht georganiseerde groepen of individuen zonder enige kennis van de mogelijkheden die internet biedt. Uiteraard is dit niet de doelgroep waarvoor de wetgeving wordt aangepast.
