Wie Tor Knoten vor physischer Beschlagnahme schützt: Die neue serverlose Architektur
Das Tor-Netzwerk setzt eine Technologie ein, die Server für Angreifer bei physischer Beschlagnahme unbrauchbar macht. Die Kernidee besteht darin, Knoten ausschließlich im RAM zu betreiben, ohne Daten auf der Festplatte zu speichern. Nach einem Neustart werden alle Informationen gelöscht, einschließlich Protokolle und kryptografischer Schlüssel. Dies reduziert Risiken für Betreiber und Nutzer, schafft aber neue technische Herausforderungen.
Das Problem der physischen Knotenbeschlagnahme
Betreiber von Tor-Knoten stehen unter Druck von Strafverfolgungsbehörden und Angreifern. Server wurden in Österreich, Deutschland, den USA und Russland beschlagnahmt. Wenn Geräte in die falschen Hände geraten, können die darauf befindlichen Daten zur Deanonymisierung von Nutzern verwendet werden. Selbst bei einer Architektur, bei der kein einzelner Knoten die gesamte Verbindungskette kennt, stellt das Vorhandensein von Protokollen oder Schlüsseln eine Verwundbarkeit dar.
Wie festplattenlose Systeme funktionieren
Ein festplattenloser Server bootet von einem unveränderlichen Image und läuft vollständig im RAM. Beim Ausschalten verschwinden alle Daten. Der Ansatz ähnelt dem Tails-System, ist aber für Tor-Knoten an deren Besonderheiten angepasst. Das Tor-ramdisk-Projekt existierte bereits 2015, doch die Technologie wird nun verfeinert.
Vorteile:
- Keine Daten für Analysen nach Beschlagnahme verfügbar.
- Unveränderliche Konfiguration bei jedem Bootvorgang.
- Unfähigkeit von Schadsoftware, nach einem Neustart zu persistieren.
Das Problem der Aufrechterhaltung der Knotenreputation
Tor-Knoten sammeln Reputation an, die an einen kryptografischen Schlüssel gebunden ist. Der Verlust des Schlüssels bedeutet, wieder bei Null anzufangen. Die Lösung ist die Verwendung eines TPM (Trusted Platform Module), das Schlüssel speichert und nicht an das Betriebssystem weitergibt. Das TPM bindet den Schlüssel an einen bestimmten Systemzustand und blockiert den Zugriff, wenn Änderungen auftreten.
TPM-Einschränkungen:
- Einige Tor-Schlüssel werden nicht direkt unterstützt und verschlüsselt gespeichert.
- Updates erfordern eine erneute Bindung der Schlüssel, was schwer zu automatisieren ist.
Technische und praktische Herausforderungen
Der Betrieb im RAM erfordert eine sorgfältige Speicherverwaltung. Unzureichende Ressourcen führen zur Beendigung von Prozessen. Entwickler konnten den Speicherverbrauch reduzieren, aber das Problem ist nicht vollständig gelöst. Häufige Neustarts verschlechtern die Knotenreputation und verringern den Durchsatz.
Vorhandene Ansätze:
- Manuelle Schlüsselübertragung beim Start.
- Festplattenlose virtuelle Maschinen mit separater Hauptschlüsselspeicherung.
- Laden verifizierter Images mit Schlüsseln in das TPM.
Zukünftige Richtungen
Ungelöste Aufgaben umfassen automatische Updates ohne Zustandsverlust und ferngesteuerte Überprüfung der Softwareintegrität. Geplant ist die Implementierung offener Protokolle zur Überprüfung des Knotenbetriebs. Ziel ist es, eine Infrastruktur zu schaffen, bei der Vertrauen nicht von der physischen Sicherheit der Server abhängt.
Wichtige Erkenntnisse
- Festplattenlose Tor-Knoten zerstören Daten beim Neustart und schützen so vor physischer Beschlagnahme.
- TPM bewahrt kryptografische Schlüssel und gewährleistet so die Kontinuität der Reputation.
- Die Technologie reduziert Risiken für Betreiber, erfordert jedoch die Lösung von Speicher- und Update-Problemen.
- Die Entwicklung zielt darauf ab, das Vertrauen in das Tor-Netzwerk bei Journalisten und Aktivisten zu erhöhen.
— Editorial Team
Noch keine Kommentare.