News Datenschutz und Sicherheit: Tor Browser 11.5 mit vielen Neuerungen veröffentlicht

SVΞN

Redakteur a.D.
Registriert
Juni 2007
Beiträge
22.984
  • Gefällt mir
Reaktionen: bierbuddha, Henge, Skidrow und 8 andere
"Insbesondere der Verbindungsassistent sowie die Eingangspunkte, die sogenannten Tor-Brücken, erhalten weitere Verbesserungen um die Anonymität im Netz zu stärken"
BKA, Verfassungsschutz und "Hass"Meldeportale hassen diesen Trick.
XD
 
  • Gefällt mir
Reaktionen: FLCL, electronish, Protogonos und 11 andere
Was ist hier mit Tails gemeint, ich dachte das wäre ein eigenes OS. Ist der Browser in einer VM eingebettet?
 
Ich verstehe den Satz auch nicht, das klingt, als wollte man unbedingt Tails noch irgendwie unter bringen
 
da fehlt ein Komma, dann ist es verständlich. Weiss aber auch nicht was der Halbsatz soll
 
Beatmaster A.C. schrieb:
"Insbesondere der Verbindungsassistent sowie die Eingangspunkte, die sogenannten Tor-Brücken, erhalten weitere Verbesserungen um die Anonymität im Netz zu stärken"
BKA, Verfassungsschutz und "Hass"Meldeportale hassen diesen Trick.
XD

Mach dir keine Sorgen, auch Tor wird Hintertürchen frei halten müssen..
 
  • Gefällt mir
Reaktionen: icetom
TOR bietet zwar in gewissen Ländern wie DE eine gewisse Anonymität und Sicherheit, dieser Schutz reicht aber in Länder wie China, Russland, Türkei usw. nicht mehr aus.
Und da auch in DE und generell Europa die Überwachung und Zensur auch weiter zunimmt, müssen verglichen zum TOR-Netzwerk noch anonymere, dezentralere und verbesserte Netzwerke herhalten.


Ich persönlich sehe, was die Anonymität und die Zensurresistenz betrifft, I2P zukünftig im Verteil gegenüber dem TOR-Netzwerk, auch wenn I2P dabei andere Ziele verfolgt.

Beide Netzwerke ermöglichen den anonymen Zugriff auf Online-Inhalte, beide Netzwerke nutzen eine Peer-to-Peer-ähnliche Routing-Struktur und beide arbeiten mit mehrschichtiger Verschlüsselung.

I2P wurde jedoch von Grund auf so konzipiert, dass es andere Vorteile bietet.

- Bei TOR besteht der Anwendungsfall darin, den anonymen Zugriff auf das öffentliche Internet mit versteckten Diensten als Nebennutzen zu ermöglichen. I2P hingegen wurde direkt zu beginn als echtes „Darknet“ konzipiert.

- Die Hauptfunktion von I2P besteht darin, ein ,,Netzwerk innerhalb des Internets“ zu sein, wobei der Datenverkehr innerhalb seiner Grenzen bleibt. Im I2P-Netzwerk gibt es nur sehr wenige ausgehende Relais (Verbindungen) und die wenigen, die es gibt, sind nur sehr selten verwendbar.

  • Wie bereits oben erwähnt, leitet I2P den Datenverkehr anders als Tor. Im Kern führt I2P paketbasiertes Routing durch, im Gegensatz zu Tors leitungsbasiertem Routing.
  • Dies hat den Vorteil, dass I2P ähnlich wie beim IP-Routing des Internets Staus und Dienstunterbrechungen dynamisch umgehen kann. Dies bietet dem I2P Netzwerk selbst ein höheres Maß an Zuverlässigkeit und Redundanz.

- Darüber hinaus verlässt sich I2P nicht auf einen vertrauenswürdigen Verzeichnisdienst, um Routeninformationen zu erhalten. Stattdessen werden Netzwerkrouten gebildet und ständig dynamisch aktualisiert, wobei jeder Router ständig andere Router auswertet und teilt, was er findet. Schließlich richtet I2P zwei unabhängige Simplex-Tunnel für den Datenverkehr ein, um das Netzwerk zu und von jedem Host zu durchqueren, im Gegensatz zur Bildung einer einzelnen Duplex-Verbindung durch Tor.

- Aus Sicht der Anwendungsebene gibt es auch einen grundlegenden Unterschied zwischen den I2P- und Tor-Netzwerken. Tor funktioniert, indem es einen Proxy auf deinem lokalen Rechner bereitstellt, den man für die Verwendung einer Anwendung konfigurieren muss (um speziell konfigurierte Anwendungspakete herunterzuladen).
Im Gegensatz dazu wird I2P im Allgemeinen von Anwendungen verwendet, die speziell für die Ausführung im I2P-Netzwerk geschrieben wurden. Dazu gehören unter anderem Sofortnachrichten, Dateifreigabe, E-Mail und verteilte Speicheranwendungen (ja, man kann cloud-ähnlich wie bei Freenet verschlüsselte Daten verteilt im I2P-Netzwerk speichern).

Vorteile von I2P gegenüber Tor:​

  • Entwickelt und optimiert für versteckte Dienste, die viel schneller sind als in Tor
  • Vollkommen verteilt und selbst-organisierend
  • Im Gegensatz von Proxy-Diensten wie Tor, JAP oder Psiphon ist bei I2P nicht nur die Kontaktaufnahme mit Webservern auf HTTP-Basis anonymisiert, sondern die komplette Kommunikation zwischen allen Beteiligten.
  • So können auf dem Internet aufgesetzte Anwendungen wie Chat, Mail oder Filesharing anonym betrieben werden.
  • Peers werden mittels fortlaufender Profilbildung und Performanzeinstufung ausgewählt, anstatt der von ihnen selbst angegebenen Kapazität zu vertrauen
  • Floodfill-Peers („Verzeichnisserver“) sind variabel und nicht vertrauenswürdig, statt hart kodiert
  • I2P ist für Peer-to-Peer geeignet und optimiert.
  • Paket-basiert statt Verbindungs-basiert
  • Impliziter transparenter Lastausgleich von Nachrichten über mehrere Peers, statt über einen einzigen Pfad
  • Ausfallsicherheit durch parallelen Betrieb mehrerer Tunnel und rotierende Tunnel
  • Skalierung der Verbindungen jedes Clients mit O(1) statt O(N) (Alice hat z. B. 2 eingehende Tunnel, die von allen Peers, mit denen sie spricht, genutzt werden, statt eine Leitung für jeden)
  • Unidirektionale Tunnel statt bidirektionaler Schaltungen, was die Anzahl der zu kompromittierenden Stellen verdoppelt um an dieselbe Information zu gelangen. Gegenargumente und weitere Erörterung hier.
  • Schutz vor der Entdeckung von Client-Aktivitäten, selbst wenn ein Angreifer am Tunnel teilnimmt, da Tunnel für mehr als nur die Weiterleitung von Ende-zu-Ende-Nachrichten verwendet werden (z.B. netDb, Tunnelmanagement, Tunneltests)
  • Tunnel in I2P sind kurzlebig, was die Anzahl der Proben verringert, die ein Angreifer für einen aktiven Angriff nutzen kann, im Gegensatz zu den Schaltkreisen in Tor, die typischerweise langlebig sind.
  • Die I2P APIs sind speziell für Anonymität und Sicherheit entwickelt worden, während SOCKS auf Funktionalität ausgelegt ist.
  • Im Prinzip sind alle Peers daran beteiligt, für andere zu routen
  • Der Bandbreiten-Overhead eines vollständigen Peers ist gering, während bei Tor die Client-Knoten zwar nicht viel Bandbreite benötigen, aber auch nicht vollständig am Mixnet teilnehmen.
  • Integrierter automatischer Aktualisierungsmechanismus
  • Sowohl TCP- als auch UDP-Transpor
  • I2P gibt für Java auch als C++ als i2pd
In Russland wird Telegram über I2P benutzt und es scheinen auch eine Menge der chinesischen Bevölkerung I2P zu verwenden. TOR ist bereits in China effektiv gesperrt.

https://geti2p.net/de/
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: stalagg, FLCL, electronish und 27 andere
dohderbert schrieb:
Mach dir keine Sorgen, auch Tor wird Hintertürchen frei halten müssen..

Das ist nicht bei Tor nicht möglich.
Unsere Poliker und die USA haben zwar Macht, aber diese Macht ist auch begrenzt.
Tausende Forscher und Entwickler die auf der ganzen Welt verteilt sind haben zugriff auf dem Quellcode.
Eine Hintertür im Quellcode würde sofort auffallen.
 
rpsch1955 schrieb:
Also doch möglich

Hintertür im Code gefunden!! Das ging schnell. :)

Selbst wenn es gelingen würde ein paar Leute mit Reputationen beim Torproject einzuschleusen, schauen sich hundert andere jede wesentliche Änderung genau an.

Wer das TorBrowserBundle nutzt und Schnüffler (Honeypots) nicht mag sollte Tor nach dieser Anleitung konfigurieren. https://www.privacy-handbuch.de/handbuch_24n.htm#150722
 
  • Gefällt mir
Reaktionen: drmaniac
sightseeer schrieb:
Naja. C ist jetzt nicht gerade dafür bekannt, das sich damit ultrasichere Software schreiben lässt. Man muss schon aufpassen. Java hat da grundsätzlich erst mal weniger Stolperfallen. Aber natürlich hat auch Java ein paar Nachteile.

Insgesamt ist es ungünstig, wenn man einfach pauschal irgendwo draufhaut ohne irgendeine Begründung. Das wirkt immer ein bisschen so, als hätte derjenige keine Ahnung, wovon er spricht.
Aber gut. Ist natürlich jedem selbst überlassen, welchen Eindruck er hinterlassen mag. ;-)

ZuseZ3 schrieb:
Hier ist übrigends die website zum offiziellen Tor client nachfolger in Rust
Ja. Interessant ist ja die Begründung dazu. Das denen halt auch klar ist das die Programmiersprache C suboptimal ist, um bugfreie Software zu schreiben.

Zac4 schrieb:
Selbst wenn es gelingen würde ein paar Leute mit Reputationen beim Torproject einzuschleusen, schauen sich hundert andere jede wesentliche Änderung genau an.
Naja. Wenn das genauso gut funktioniert wie bei anderen Open-Source-Projekten, dann würde ich da nicht zu viel Hoffnung reinsetzen.
Man erinnere sich nur mal an die OpenSSL-Geschichte (auch ne sicherheitskritische Komponente). Da blieb die Heartbleed-Lücke (trotz Open Source) auch jahrelang unentdeckt.

Fun-Fact am Rande: Tor benutzt OpenSSL für TLS und war damit potentiell auch davon betroffen. Was dann gleich noch auf eine andere Problematik hinweist: Selbst wenn man den eigenen Code sauber hält, kann man sich durch Abhängigkeiten dann doch wiederum Security-Probleme reinziehen.

Ganz so simpel wie hier manchmal dargestellt, ist die Realität dann halt doch nicht.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: stalagg, Khalinor und jotecklen
sightseeer schrieb:

Vergessen zu erwähnen, I2P gibt es für Java und auch für C++ als i2pd.
Habe es in den Vorteilen gegenüber TOR noch hinzugefügt.

i2pd (I2P Daemon) is a full-featured C++ implementation of I2P client

I2P (Invisible Internet Protocol) is a universal anonymous network layer. All communications over I2P are anonymous and end-to-end encrypted, participants don't reveal their real IP addresses.

I2P client is a software used for building and using anonymous I2P networks. Such networks are commonly used for anonymous peer-to-peer applications (filesharing, cryptocurrencies) and anonymous client-server applications (websites, instant messengers, chat-servers).
I2P allows people from all around the world to communicate and share information without restrictions.
https://i2pd.website/

  • Bei i2p gibt es auch keine Exit Nodes, so wie es bei TOR der Fall ist. Somit kann man auch nicht als Störer durch die Störerhaftung in Deutschland belangt werden.
  • Deshalb gibt es bei I2P auch kein zentrales Directory, nur lokal. Die Webseiten (eepsites) sind in I2P nicht lokalisierbar bzw. unauffindbar.
Indexes gibt es (auch im Clearweb) mal mehr mal weniger aktuell, was gleichermaßen gut und schlecht für/gegen Honeypots ist, abhängig davon, was man mit I2P vorhat.
- Es gibt in I2P noch die Option, sich mit IP-Adressen aus dem eignen Land nicht zu verbinden. Dies ist gerade in Ländern wichtig, die versuchen I2P zu sperren oder die I2P Anwender zu strafrechtlich zu verfolgen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: peru3232 und sightseeer
Artikel-Update: Tor Browser 11.5.1 wechselt auf Firefox 91.12.0 ESR
Die Entwickler von The Tor Project haben den Tor Browser 11.5.1 und damit das erste Point Release der neuesten Version veröffentlicht. Der zu Gunsten einer höheren Anonymität ausschließlich über das Tor-Netzwerk kommunizierende Browser setzt in der Basis jetzt auf den Firefox 91.12.0 ESR und erhält zudem insgesamt sieben Fehlerkorrekturen.

Tor Browser 11.5.1 - July 26 2022
  • Updates
    • Update Firefox to 91.12.0esr
    • Update Go to 1.17.12
  • Bugfixes
    • Bug 41049: QR codes in connection settings aren't recognized by some readers in dark theme [tor-browser]
    • Bug 41050: "Continue to HTTP Site" button doesn't work on IP addresses [tor-browser]
    • Bug 41053: remove HTTPS-Everywhere entry from browser.uiCustomization.state pref [tor-browser]
    • Bug 41054: Improve color contrast of purple elements in connection settings in dark theme [tor-browser]
    • Bug 41055: Icon fix from #40834 is missing in 11.5 stable [tor-browser]
    • Bug 41058: Hide currentBridges description when the section itself is hidden [tor-browser]
    • Bug 41059: Bridge cards aren't displaying, and toggle themselves off [tor-browser]
    • Bug 40547: Remove container/remote_* from rbm.conf [tor-browser-build]
    • Bug 40584: Update tor-browser manual to latest [tor-browser-build]
  • Build System
    • Windows + OS X + Linux

Download auf ComputerBase

Der Tor Browser in der Version 11.5.1 kann wie gewohnt direkt unterhalb dieser Meldung aus dem Download-Bereich von ComputerBase heruntergeladen werden.
 
  • Gefällt mir
Reaktionen: Smartbomb und drmaniac
Wo sind die Checksummen? 🧐
 
  • Gefällt mir
Reaktionen: FreedomOfSpeech
Ist TOR überhaupt noch so anonym wie es behauptet wird.
Ist es nicht so, dass der Datenverkehr immer über drei TOR Nodes geleitet wird und diese Nodes dann ja zwingend zumindest einen Teil der Metadaten kennen müssen? Außerdem kann man ja selbst einen Node als expliziten Exit-Node betreiben, der ja dann auch Zugriff auf die Daten hat. Werden genug Exit-Nodes von den Geheimdiensten kontrolliert, dann wird es problematisch.
 
ContractSlayer schrieb:
TOR bietet zwar in gewissen Ländern wie DE eine gewisse Anonymität und Sicherheit, dieser Schutz reicht aber in Länder wie China, Russland, Türkei usw. nicht mehr aus.
Und da auch in DE und generell Europa die Überwachung und Zensur auch weiter zunimmt, müssen verglichen zum TOR-Netzwerk noch anonymere, dezentralere und verbesserte Netzwerke herhalten.


Ich persönlich sehe, was die Anonymität und die Zensurresistenz betrifft, I2P zukünftig im Verteil gegenüber dem TOR-Netzwerk, auch wenn I2P dabei andere Ziele verfolgt.

Beide Netzwerke ermöglichen den anonymen Zugriff auf Online-Inhalte, beide Netzwerke nutzen eine Peer-to-Peer-ähnliche Routing-Struktur und beide arbeiten mit mehrschichtiger Verschlüsselung.

I2P wurde jedoch von Grund auf so konzipiert, dass es andere Vorteile bietet.

- Bei TOR besteht der Anwendungsfall darin, den anonymen Zugriff auf das öffentliche Internet mit versteckten Diensten als Nebennutzen zu ermöglichen. I2P hingegen wurde direkt zu beginn als echtes „Darknet“ konzipiert.

- Die Hauptfunktion von I2P besteht darin, ein ,,Netzwerk innerhalb des Internets“ zu sein, wobei der Datenverkehr innerhalb seiner Grenzen bleibt. Im I2P-Netzwerk gibt es nur sehr wenige ausgehende Relais (Verbindungen) und die wenigen, die es gibt, sind nur sehr selten verwendbar.

  • Wie bereits oben erwähnt, leitet I2P den Datenverkehr anders als Tor. Im Kern führt I2P paketbasiertes Routing durch, im Gegensatz zu Tors leitungsbasiertem Routing.
  • Dies hat den Vorteil, dass I2P ähnlich wie beim IP-Routing des Internets Staus und Dienstunterbrechungen dynamisch umgehen kann. Dies bietet dem I2P Netzwerk selbst ein höheres Maß an Zuverlässigkeit und Redundanz.

- Darüber hinaus verlässt sich I2P nicht auf einen vertrauenswürdigen Verzeichnisdienst, um Routeninformationen zu erhalten. Stattdessen werden Netzwerkrouten gebildet und ständig dynamisch aktualisiert, wobei jeder Router ständig andere Router auswertet und teilt, was er findet. Schließlich richtet I2P zwei unabhängige Simplex-Tunnel für den Datenverkehr ein, um das Netzwerk zu und von jedem Host zu durchqueren, im Gegensatz zur Bildung einer einzelnen Duplex-Verbindung durch Tor.

- Aus Sicht der Anwendungsebene gibt es auch einen grundlegenden Unterschied zwischen den I2P- und Tor-Netzwerken. Tor funktioniert, indem es einen Proxy auf deinem lokalen Rechner bereitstellt, den man für die Verwendung einer Anwendung konfigurieren muss (um speziell konfigurierte Anwendungspakete herunterzuladen).
Im Gegensatz dazu wird I2P im Allgemeinen von Anwendungen verwendet, die speziell für die Ausführung im I2P-Netzwerk geschrieben wurden. Dazu gehören unter anderem Sofortnachrichten, Dateifreigabe, E-Mail und verteilte Speicheranwendungen (ja, man kann cloud-ähnlich wie bei Freenet verschlüsselte Daten verteilt im I2P-Netzwerk speichern).

Vorteile von I2P gegenüber Tor:​

  • Entwickelt und optimiert für versteckte Dienste, die viel schneller sind als in Tor
  • Vollkommen verteilt und selbst-organisierend
  • Im Gegensatz von Proxy-Diensten wie Tor, JAP oder Psiphon ist bei I2P nicht nur die Kontaktaufnahme mit Webservern auf HTTP-Basis anonymisiert, sondern die komplette Kommunikation zwischen allen Beteiligten.
  • So können auf dem Internet aufgesetzte Anwendungen wie Chat, Mail oder Filesharing anonym betrieben werden.
  • Peers werden mittels fortlaufender Profilbildung und Performanzeinstufung ausgewählt, anstatt der von ihnen selbst angegebenen Kapazität zu vertrauen
  • Floodfill-Peers („Verzeichnisserver“) sind variabel und nicht vertrauenswürdig, statt hart kodiert
  • I2P ist für Peer-to-Peer geeignet und optimiert.
  • Paket-basiert statt Verbindungs-basiert
  • Impliziter transparenter Lastausgleich von Nachrichten über mehrere Peers, statt über einen einzigen Pfad
  • Ausfallsicherheit durch parallelen Betrieb mehrerer Tunnel und rotierende Tunnel
  • Skalierung der Verbindungen jedes Clients mit O(1) statt O(N) (Alice hat z. B. 2 eingehende Tunnel, die von allen Peers, mit denen sie spricht, genutzt werden, statt eine Leitung für jeden)
  • Unidirektionale Tunnel statt bidirektionaler Schaltungen, was die Anzahl der zu kompromittierenden Stellen verdoppelt um an dieselbe Information zu gelangen. Gegenargumente und weitere Erörterung hier.
  • Schutz vor der Entdeckung von Client-Aktivitäten, selbst wenn ein Angreifer am Tunnel teilnimmt, da Tunnel für mehr als nur die Weiterleitung von Ende-zu-Ende-Nachrichten verwendet werden (z.B. netDb, Tunnelmanagement, Tunneltests)
  • Tunnel in I2P sind kurzlebig, was die Anzahl der Proben verringert, die ein Angreifer für einen aktiven Angriff nutzen kann, im Gegensatz zu den Schaltkreisen in Tor, die typischerweise langlebig sind.
  • Die I2P APIs sind speziell für Anonymität und Sicherheit entwickelt worden, während SOCKS auf Funktionalität ausgelegt ist.
  • Im Prinzip sind alle Peers daran beteiligt, für andere zu routen
  • Der Bandbreiten-Overhead eines vollständigen Peers ist gering, während bei Tor die Client-Knoten zwar nicht viel Bandbreite benötigen, aber auch nicht vollständig am Mixnet teilnehmen.
  • Integrierter automatischer Aktualisierungsmechanismus
  • Sowohl TCP- als auch UDP-Transpor
  • I2P gibt für Java auch als C++ als i2pd
In Russland wird Telegram über I2P benutzt und es scheinen auch eine Menge der chinesischen Bevölkerung I2P zu verwenden. TOR ist bereits in China effektiv gesperrt.

https://geti2p.net/de/
Und die Nachteile? Für einen Vergleich mit seriösem Anspruch scheint das irgendwie zu fehlen. Oder soll es wirklich keine geben?
 
  • Gefällt mir
Reaktionen: M-X
Was hat dein verlinkten Artikel mit der Nutzung von Tor zu tun ?

Ob du deine Bestellung von Chemikalien über Chrome, Tor, Internetexplorer 1.0 oder per Telefon machst,
ändert doch nichts daran das die Daten beim Verkäufer von der Polizei erfasst werden können ?
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Smartbomb, M-X, PegasusHunter und 4 andere
Zurück
Oben