Das Tor-Netzwerk steht nie still. Während Angreifer immer ausgeklügeltere Methoden entwickeln um Nutzer zu deanonymisieren arbeiten die Entwickler an Gegenmaßnahmen die das Netzwerk widerstandsfähiger machen.
Ich hab mich die letzten Wochen durch aktuelle Tor Proposals gewühlt, durch akademische Paper zu Angriffen und Verteidigungen, und durch die Diskussionen der Entwickler. Was ich gefunden habe ist ein faszinierendes Katz-und-Maus-Spiel zwischen Angreifern und Verteidigern. Und ein Netzwerk das sich auf eine Zukunft vorbereitet in der Quantencomputer die heutige Kryptographie brechen könnten.
---
Die Zwiebel verstehen
Bevor wir über Angriffe und Verteidigungen reden müssen wir verstehen wie Tor überhaupt funktioniert. Das Konzept ist elegant in seiner Einfachheit.
Stell dir vor du willst eine Nachricht verschicken ohne dass jemand weiss woher sie kommt und wohin sie geht. Du packst sie in drei Umschläge. Der äusserste Umschlag ist an Person A adressiert. Darin liegt ein Umschlag für Person B. Darin einer für Person C. Jeder öffnet seinen Umschlag, sieht nur den nächsten Empfänger und leitet weiter. Niemand kennt den kompletten Pfad.
Das ist Tor. Drei Hops, drei Verschlüsselungsschichten, drei Relays die jeweils nur ihren Vorgänger und Nachfolger kennen.
Dein Client verschlüsselt die Anfrage dreifach. Erst für den Exit Node, dann für den Middle Node, dann für den Guard Node. Das Paket geht an den Guard. Der entfernt seine Schicht und sieht verschlüsselten Kauderwelsch der für den Middle bestimmt ist. Der Middle entfernt seine Schicht und sieht Daten für den Exit. Der Exit entfernt die letzte Schicht und sieht deine ursprüngliche Anfrage. Er schickt sie ins offene Internet.
Der Guard kennt deine IP aber nicht dein Ziel. Der Exit kennt dein Ziel aber nicht deine IP. Der Middle kennt weder noch. Das ist die Magie der drei Hops.
---
Die verborgene Welt der Onion Services
Bei normalem Tor-Traffic verlässt deine Anfrage irgendwann das Netzwerk durch einen Exit Node. Aber es gibt eine andere Welt, eine in der der Traffic nie das Netzwerk verlässt. Die Welt der Onion Services.
Wenn du eine .onion-Adresse aufrufst gibt es keinen Exit Node. Client und Server treffen sich innerhalb des Netzwerks an einem Rendezvous Point. Das bedeutet Ende-zu-Ende-Verschlüsselung ohne Ausnahme, bidirektionale Anonymität, und als Bonus NAT-Punching. Der Server braucht keine offenen Ports.
Der Verbindungsaufbau ist ein choreographiertes Ballett. Der Hidden Service hat Introduction Points gewählt, normale Tor-Relays die als toter Briefkasten fungieren. Er hält dauerhafte Circuits zu ihnen offen und hat seinen Deskriptor auf die HSDirs hochgeladen, die als verteiltes Telefonbuch funktionieren.
Du tippst die .onion-Adresse ein. Dein Client berechnet wo im Hashring der Deskriptor liegt und lädt ihn herunter. Jetzt kennt er die Introduction Points. Du wählst einen zufälligen Relay als Rendezvous Point und sagst ihm ein Cookie. Dann schickst du über einen Introduction Point eine verschlüsselte Nachricht an den Service: Triff mich am Rendezvous Point X, hier ist das Cookie.
Der Service baut seinen eigenen Circuit zum Rendezvous Point. Der verbindet die beiden Tunnels. Sechs Hops total, drei von dir, drei vom Service. Der Rendezvous Point sieht nur verschlüsselten Traffic der von links nach rechts fliesst. Er weiss nicht wer du bist und nicht wer der Service ist.
---
Das Guard-Problem
Hier kommt der Teil der mich nachts wach gehalten hat. Der Guard Node ist dein Einstiegspunkt ins Tor-Netzwerk. Er kennt deine echte IP-Adresse. Wenn ein Angreifer deinen Guard identifizieren kann ist das der erste Schritt zur Deanonymisierung.
Die Tor-Entwickler wussten das von Anfang an. Deshalb wechselt dein Guard nicht ständig. Du behältst denselben Guard für Monate. Das klingt kontraintuitiv aber es hat einen Grund. Wenn du bei jeder Verbindung einen neuen Guard wählst erhöhst du die Wahrscheinlichkeit dass du irgendwann einen bösartigen erwischst. Ein langlebiger Guard bedeutet dass du entweder Pech hattest und von Anfang an kompromittiert bist, oder dass du sicher bist.
Aber für Onion Services ist das komplizierter. Ein Angreifer der einen Middle Node kontrolliert kann beobachten welcher Guard verwendet wird. Über Zeit kann er durch statistische Analyse den Guard des Services identifizieren. Und dann kann er den ISP des Guards fragen wer da Verbindungen aufbaut.
Die Lösung heisst Vanguards Lite. Zwischen deinem Guard und dem Middle wird eine zusätzliche Schicht eingefügt. Diese Layer-2-Vanguards werden häufig gewechselt, etwa einmal pro Woche. Ein Angreifer sieht jetzt nur den Vanguard, nicht den echten Guard. Um den Guard zu finden müsste er über längere Zeit den Vanguard beobachten und die Rotation aussitzen. Das macht den Angriff teurer und langsamer.
Frühere Entwürfe hatten sogar drei Schichten. Aber mehr Schichten bedeuten mehr Latenz. Vanguards Lite ist der Kompromiss zwischen Sicherheit und Usability. Ein zusätzlicher Hop der die meisten Angriffe blockiert ohne das Netzwerk unbenutzbar zu machen.
---
Die Quanten-Bedrohung
Jetzt kommen wir zu dem Teil der mich am meisten fasziniert hat. Die Tor-Entwickler bereiten sich auf eine Zukunft vor in der es Quantencomputer gibt die heutige Verschlüsselung brechen können.
Das klingt nach Science Fiction aber es ist ein reales Problem. Wenn jemand heute deinen verschlüsselten Traffic aufzeichnet und in zehn Jahren einen Quantencomputer hat kann er ihn dann entschlüsseln. Das nennt man Harvest Now Decrypt Later. Für Geheimdienste die langfristig denken ist das eine attraktive Strategie.
Tor nutzt aktuell X25519 für den Schlüsselaustausch. Das ist eine elliptische Kurve die klassische Computer nicht knacken können. Quantencomputer könnten das mit Shors Algorithmus in polynomieller Zeit.
Die Lösung ist Post-Quanten-Kryptographie. Algorithmen die auch Quantencomputer nicht effizient lösen können. Das NIST hat 2024 die ersten Standards veröffentlicht. ML-KEM, früher Kyber genannt, ist einer davon.
Der Haken ist dass niemand sicher weiss ob diese neuen Algorithmen wirklich sicher sind. Sie basieren auf mathematischen Problemen die wir noch nicht so lange studieren wie RSA oder elliptische Kurven. Vielleicht findet jemand morgen einen klassischen Angriff.
Deshalb geht Tor den hybriden Weg. Der neue Handshake kombiniert X25519 mit ML-KEM-768. Der Client sendet beides, der Relay antwortet mit beidem, der finale Schlüssel wird aus beiden abgeleitet. Wenn ML-KEM gebrochen wird schützt X25519 immer noch gegen klassische Angreifer. Wenn ein Quantencomputer X25519 bricht schützt ML-KEM. Defense in Depth.
Der Preis ist Overhead. ML-KEM-768 hat Public Keys von 1184 Bytes, X25519 nur 32. Der hybride Handshake ist etwa 1.28x langsamer als der klassische. Aber das passiert nur einmal pro Circuit. Danach fliesst der Traffic mit normaler Geschwindigkeit.
---
Was das für die Zukunft bedeutet
Die Tor-Entwickler arbeiten an mehr als nur Quanten-Resistenz. Congestion Control soll das Netzwerk besser mit Überlastung umgehen lassen. Proof-of-Work für Onion Services soll DoS-Angriffe teurer machen. Walking Onions soll den Directory-Overhead reduzieren.
Das Katz-und-Maus-Spiel wird nie enden. Angreifer werden neue Methoden finden. Verteidiger werden neue Gegenmaßnahmen entwickeln. Aber mit jedem Update wird die Zwiebel ein Stück widerstandsfähiger.
Was mich an der ganzen Sache am meisten beeindruckt ist die Transparenz. Die Tor Specifications sind öffentlich. Die Proposals werden offen diskutiert. Jeder kann den Code lesen. Das ist das Gegenteil von Security by Obscurity. Das ist Kerckhoffs Prinzip in Aktion. Ein System das auch dann sicher ist wenn der Angreifer alles darüber weiss ausser dem Schlüssel.
Die Zwiebel hat viele Schichten. Und sie wächst weiter.
---
*Dieser Beitrag basiert auf den aktuellen Tor Specifications, Forschungspapieren zu Post-Quanten-Migration und den öffentlichen Diskussionen der Tor-Community. Die Erklärungen sind vereinfacht aber technisch korrekt.*
