Kloiber: Was steckt hinter dieser Idee, Peter Welchering?
Welchering: Remailernetze, die sollen Kommunikation verschleiern, und davon gibt es ja einige. Von Tor, über Pemar bis Mixminion, das sind so die am meisten genutzten. Und die sollen eben sichere Kommunikation im Zeitalter von BKA und Vorratsdatenspeicherung garantieren. Und das hat zwei Voraussetzungen. Die eine Voraussetzung ist: Der Inhalt der Mail muss verschlüsselt sein, und zwar mit einem so langen Schlüssel, dass die Entschlüsselung möglichst viel Rechenzeit in Anspruch nimmt und dass die deshalb möglichst überhaupt nicht mehr pragmatisch zu leisten ist. Die zweite Voraussetzung für sichere Kommunikation, das ist eben die Anonymisierung von Absender und Empfänger, damit nicht zusammengebracht werden kann, wer hat da mit wem kommuniziert und etwas ausgetauscht. Und genau für diese Anonymisierung, dafür sollen eigentlich Remailernetze sorgen. Sie bieten aber einige Angriffspunkte. Ein Problem beispielsweise ist, dass die Sender- und Empfängerdaten und die IP-Adresse im sogenannten Kopf der Datenpäckchen stehen, die übers Internet verschickt werden, und diese Adressen können eben nicht verschlüsselt werden kann, weil das Mailprotokoll diese Angaben ja braucht, damit die Mail zugestellt werden kann. Also muss anonymisiert werden. Das machen Remailernetze, indem die Datenpäckchen über eine ganze Kette von Remailerservern weiterversandt werden, so dass zwischen Absender- und Empfänger-IP-Adresse die Remailer-IP-Adressen stehen, also die Absender-IP und die Empfänger-IP-Adresse können nicht mehr direkt aufeinanderbezogen werden. Aber gleichzeitig haben eben Angriffe auf das Tor-Netzwerk auch gezeigt, dass diese IP-Adressen mit viel Aufwand rekonstruiert werden können. Der zweite Angriffspunkt liegt in der sogenannten ersten Meile, also der Weg meiner Mail von meinem PC ins Remailer-Netzwerk.
Kloiber: Und wie wollen die ungarischen Computerwissenschaftler hier sichere Kommunikation herstellen?
Welchering: Im wesentlichen durch eine ganz geschickte Kombination von schon bekannten Sicherheitsfunktionen. Sie schlagen vor, dass für die Mail-Übermittlung ganz strikt das sogenannte Onion-Routing angewendet werden kann. Bei diesem Onion-Routing wird die Mail quasi mit mehreren Zwiebelschichten überzogen. Hinzu kommt eine Mehrfachverschlüsselung mit verschiedenen öffentlichen Schlüsseln. Und es müssen unterschiedliche Remailer eingesetzt werden. Auch das ist ganz wichtig. Das klingt ein bisschen kompliziert. Im Prinzip kann man sich das so vorstellen, dass man die Mail als eine Postkarte in einen Briefumschlag steckt, also verschlüsselt. Auf dem Briefumschlag steht dann ein Absender, das ist aber schon ein anderer Absender, als der auf der Postkarte, und beide Absender möchten unerkannt bleiben. Also steckt man diesen Briefumschlag in einen größeren Briefumschlag, der eine andere Absenderadresse enthält. Und den Briefumschlag wiederum in einen noch größeren Briefumschlag, und so weiter. Und erst der letzte Remailer packt alle diese Briefumschläge wieder aus und erfährt dann die Empfängeradresse. Dabei hat dieser letzte Remailer als Absenderadresse aber nur die Adresse des letzten Briefumschlags, also des Remailer-Servers, der die Mail als letzte eben verschlüsselt hat.
Kloiber: Wenn aber ein Angreifer mit solch großem Aufwand den Weg einer solchen mehrfach verschlüsselten Mail über die verschiedenen Server nachverfolgt, kann er doch Empfänger und Absender feststellen.
Welchering: Ja, das ist der Angriffspunkt, und dieser Angriffspunkt ist in der Vergangenheit einige Male ausgenutzt wurden. Und das ist bei immer mehr Remailer-Netzen mit einiger Zuverlässigkeit dummerweise auch gelungen. Aber das kann aber vermieden werden, indem die Remailerknotenrechner den Weg der Mail eben nicht mehr mit echten Angaben dokumentieren. Bisher setzt bei normaler Mail ja jeder Knotenrechner seinen digitalen Eingangsstempel in den Mail-Header und dokumentiert, von welchem Knotenrechner er die Mail bekommen hat, wohin er sie geschickt hat und wann das ganze stattgefunden hat. Genau diese Dokumentation unterbleibt bei Konzepten des virtuellen Remailing oder es wird mit falschen Daten gearbeitet, wenn so eine Angabe aus protokolltechnischen Gründen erforderlich ist, damit das Mailprotokoll diese Mail einfach weiterleiten und zustellen kann. Und um Angreifern die Identifikation von Absender und Empfänger noch weiter zu erschweren, wird bei diesem virtuellen Remailing mit dem Einstreuen von sogenannten Dummy-Mails oder Dummy-Nachrichten gearbeitet. Also der Mailverkehr wird künstlich nach oben getrieben mit Leermails, die kaum zurückzuverfolgen sind, um das Überwachungs- und Entschlüsselungsaufkommen zu erhöhen.
Kloiber: Damit ist aber bei wirklich großen Aufwand die Rekonstruktion von Absender- und Empfängeradresse immer noch prinzipiell möglich?
Welchering: Ja, aber die Wahrscheinlichkeit, dass solch eine Rekonstruktion gelingt, wird immer geringer. Und um diese Wahrscheinlichkeit weiter abzusenken, werden alle Protokolldaten auf den Remailerservern sofort verschlüsselt und wirklich nachhaltig gelöscht. Außerdem soll bei diesem Remailingkonzept teilweise mit untertunnelten Verbindungen gearbeitet werden, also sehr gesicherten virtuellen privaten Netzwerken. Und zwar nicht nur bei der Kommunikation von meinem PC ins Remailernetz, sondern auch unter den Remailerservern untereinander. Und dabei weiß man dann nie, welche Untertunnelung gerade stattfindet. Das macht dann eine Entschlüsselung zusätzlich schwierig, und auch die Identifikation von Absender und Empfänger.
Welchering: Remailernetze, die sollen Kommunikation verschleiern, und davon gibt es ja einige. Von Tor, über Pemar bis Mixminion, das sind so die am meisten genutzten. Und die sollen eben sichere Kommunikation im Zeitalter von BKA und Vorratsdatenspeicherung garantieren. Und das hat zwei Voraussetzungen. Die eine Voraussetzung ist: Der Inhalt der Mail muss verschlüsselt sein, und zwar mit einem so langen Schlüssel, dass die Entschlüsselung möglichst viel Rechenzeit in Anspruch nimmt und dass die deshalb möglichst überhaupt nicht mehr pragmatisch zu leisten ist. Die zweite Voraussetzung für sichere Kommunikation, das ist eben die Anonymisierung von Absender und Empfänger, damit nicht zusammengebracht werden kann, wer hat da mit wem kommuniziert und etwas ausgetauscht. Und genau für diese Anonymisierung, dafür sollen eigentlich Remailernetze sorgen. Sie bieten aber einige Angriffspunkte. Ein Problem beispielsweise ist, dass die Sender- und Empfängerdaten und die IP-Adresse im sogenannten Kopf der Datenpäckchen stehen, die übers Internet verschickt werden, und diese Adressen können eben nicht verschlüsselt werden kann, weil das Mailprotokoll diese Angaben ja braucht, damit die Mail zugestellt werden kann. Also muss anonymisiert werden. Das machen Remailernetze, indem die Datenpäckchen über eine ganze Kette von Remailerservern weiterversandt werden, so dass zwischen Absender- und Empfänger-IP-Adresse die Remailer-IP-Adressen stehen, also die Absender-IP und die Empfänger-IP-Adresse können nicht mehr direkt aufeinanderbezogen werden. Aber gleichzeitig haben eben Angriffe auf das Tor-Netzwerk auch gezeigt, dass diese IP-Adressen mit viel Aufwand rekonstruiert werden können. Der zweite Angriffspunkt liegt in der sogenannten ersten Meile, also der Weg meiner Mail von meinem PC ins Remailer-Netzwerk.
Kloiber: Und wie wollen die ungarischen Computerwissenschaftler hier sichere Kommunikation herstellen?
Welchering: Im wesentlichen durch eine ganz geschickte Kombination von schon bekannten Sicherheitsfunktionen. Sie schlagen vor, dass für die Mail-Übermittlung ganz strikt das sogenannte Onion-Routing angewendet werden kann. Bei diesem Onion-Routing wird die Mail quasi mit mehreren Zwiebelschichten überzogen. Hinzu kommt eine Mehrfachverschlüsselung mit verschiedenen öffentlichen Schlüsseln. Und es müssen unterschiedliche Remailer eingesetzt werden. Auch das ist ganz wichtig. Das klingt ein bisschen kompliziert. Im Prinzip kann man sich das so vorstellen, dass man die Mail als eine Postkarte in einen Briefumschlag steckt, also verschlüsselt. Auf dem Briefumschlag steht dann ein Absender, das ist aber schon ein anderer Absender, als der auf der Postkarte, und beide Absender möchten unerkannt bleiben. Also steckt man diesen Briefumschlag in einen größeren Briefumschlag, der eine andere Absenderadresse enthält. Und den Briefumschlag wiederum in einen noch größeren Briefumschlag, und so weiter. Und erst der letzte Remailer packt alle diese Briefumschläge wieder aus und erfährt dann die Empfängeradresse. Dabei hat dieser letzte Remailer als Absenderadresse aber nur die Adresse des letzten Briefumschlags, also des Remailer-Servers, der die Mail als letzte eben verschlüsselt hat.
Kloiber: Wenn aber ein Angreifer mit solch großem Aufwand den Weg einer solchen mehrfach verschlüsselten Mail über die verschiedenen Server nachverfolgt, kann er doch Empfänger und Absender feststellen.
Welchering: Ja, das ist der Angriffspunkt, und dieser Angriffspunkt ist in der Vergangenheit einige Male ausgenutzt wurden. Und das ist bei immer mehr Remailer-Netzen mit einiger Zuverlässigkeit dummerweise auch gelungen. Aber das kann aber vermieden werden, indem die Remailerknotenrechner den Weg der Mail eben nicht mehr mit echten Angaben dokumentieren. Bisher setzt bei normaler Mail ja jeder Knotenrechner seinen digitalen Eingangsstempel in den Mail-Header und dokumentiert, von welchem Knotenrechner er die Mail bekommen hat, wohin er sie geschickt hat und wann das ganze stattgefunden hat. Genau diese Dokumentation unterbleibt bei Konzepten des virtuellen Remailing oder es wird mit falschen Daten gearbeitet, wenn so eine Angabe aus protokolltechnischen Gründen erforderlich ist, damit das Mailprotokoll diese Mail einfach weiterleiten und zustellen kann. Und um Angreifern die Identifikation von Absender und Empfänger noch weiter zu erschweren, wird bei diesem virtuellen Remailing mit dem Einstreuen von sogenannten Dummy-Mails oder Dummy-Nachrichten gearbeitet. Also der Mailverkehr wird künstlich nach oben getrieben mit Leermails, die kaum zurückzuverfolgen sind, um das Überwachungs- und Entschlüsselungsaufkommen zu erhöhen.
Kloiber: Damit ist aber bei wirklich großen Aufwand die Rekonstruktion von Absender- und Empfängeradresse immer noch prinzipiell möglich?
Welchering: Ja, aber die Wahrscheinlichkeit, dass solch eine Rekonstruktion gelingt, wird immer geringer. Und um diese Wahrscheinlichkeit weiter abzusenken, werden alle Protokolldaten auf den Remailerservern sofort verschlüsselt und wirklich nachhaltig gelöscht. Außerdem soll bei diesem Remailingkonzept teilweise mit untertunnelten Verbindungen gearbeitet werden, also sehr gesicherten virtuellen privaten Netzwerken. Und zwar nicht nur bei der Kommunikation von meinem PC ins Remailernetz, sondern auch unter den Remailerservern untereinander. Und dabei weiß man dann nie, welche Untertunnelung gerade stattfindet. Das macht dann eine Entschlüsselung zusätzlich schwierig, und auch die Identifikation von Absender und Empfänger.