Die Geschichte von Tor: Wie ein US-Navy-Projekt zum Anonymitätsnetzwerk des Internets wurde
Vom US-Militär gebaut, um Spione zu verbergen: Die geheime Geschichte von Tor und Onion Routing
Das meistgenutzte Anonymitätsnetzwerk der Welt wurde nicht von Datenschutzaktivisten entwickelt. Es wurde vom Militär der Vereinigten Staaten geschaffen – genauer gesagt von Mathematikern und Informatikern des U.S. Naval Research Laboratory, die einen Weg brauchten, damit Geheimdienstmitarbeiter das offene Internet nutzen konnten, ohne preiszugeben, dass sie für die Regierung arbeiteten. Die Technologie, die sie erfanden, heißt Onion Routing, und die daraus hervorgegangene Software trägt den Namen Tor.
Doch hier liegt das Paradox, das alles darüber erklärt, wie Tor funktioniert und warum es in seiner heutigen Form existiert: Ein geheimes Kommunikationswerkzeug, das ausschließlich von Spionen genutzt wird, ist wertlos, denn jeder, der das Netzwerk beobachtet, erkennt, dass alle darin Spione sind. Um die eigenen Nutzer zu verbergen, musste die Navy ihr Anonymitätssystem an Journalisten, Aktivisten, Kriminelle, Forscher und ganz gewöhnliche Menschen auf der ganzen Welt weitergeben. Dieser Artikel zeichnet diese Geschichte präzise nach – wer es gebaut hat, wann und warum – und tut dann das, wovor sich die meisten "Tor vs. VPN"-Artikel drücken: ehrlich zu erklären, was jedes der beiden tatsächlich verbirgt.
Ein Spionagenetzwerk mit einem fatalen Schwachpunkt
Stellen Sie sich vor, ein Geheimdienst baut ein privates, verschlüsseltes Netzwerk und lässt ausschließlich seine eigenen Außendienstoffiziere darin arbeiten. Die Verschlüsselung ist makellos; niemand kann die Nachrichten lesen. Trotzdem bleibt ein katastrophales Problem. Jeder, der den Internetverkehr beobachten kann – etwa der Telekommunikationsanbieter eines feindlichen Staates – kann erkennen, wer sich mit diesem Netzwerk verbindet. Die Verschlüsselung muss er dafür gar nicht knacken. Schon die bloße Tatsache, dass ein Rechner in einer fremden Hauptstadt mit dem "Anonymitätssystem der US-Regierung" kommuniziert, ist das gesamte Geheimnis – und es liegt offen.
Das ist die zentrale Erkenntnis im Herzen von Tors Design. Anonymität ist keine Eigenschaft einer einzelnen Person; sie ist eine Eigenschaft der Masse. Man kann sich nicht in einer Gruppe von einer Person verstecken. Der Fachbegriff dafür lautet Anonymitätsmenge (anonymity set): Je größer und vielfältiger die Nutzerschaft, desto schwerer lässt sich eine einzelne Person darin herausfiltern. Ein Geheimdienstoffizier, der im Netz surft, ist nur dann unsichtbar, wenn gleichzeitig ein Student in Brasilien, eine Journalistin in der Türkei und ein Datenschutz-Hobbyist in Deutschland exakt dasselbe Netzwerk im selben Moment nutzen – ununterscheidbar voneinander.
Ein privates Netzwerk, das nur Spione nutzen, ist eine Leuchtreklame mit der Aufschrift "Hier ist ein Spion". Der einzige Weg, den Datenverkehr der Regierung zu verbergen, bestand darin, ihn im Verkehr aller anderen zu vergraben.
Tors eigene Schöpfer formulierten diesen Gedanken später ausdrücklich in einem Aufsatz mit dem einprägsamen Titel "Anonymity Loves Company". Die Benutzerfreundlichkeit eines Anonymitätssystems und seine Sicherheit sind keine getrennten Anliegen – sie sind ein und dasselbe Anliegen. Ein Werkzeug, das niemand sonst nutzt, kann niemanden schützen, auch nicht diejenigen, die es gebaut haben. Genau deshalb konnte die Navy Onion Routing nicht als Verschlusssache wegsperren. Um die anvisierten Nutzer zu schützen, musste sie es der Welt schenken.
Geboren im Naval Research Laboratory
Onion Routing wurde Mitte der 1990er-Jahre am U.S. Naval Research Laboratory (NRL) in Washington, D.C. ersonnen. Als Erfinder gelten drei Forscher: der Mathematiker Paul Syverson sowie die Informatiker David Goldschlag und Michael Reed. Ihr Ziel war konkret und unspektakulär: US-Geheimdienstkommunikation über öffentliche Netze hinweg so zu schützen, dass ein Beobachter Ursprung und Ziel sensibler Daten nicht rekonstruieren konnte.
Die erste öffentliche Beschreibung der Arbeit erschien 1996 in einem Aufsatz mit dem Titel "Hiding Routing Information", vorgestellt auf einem Workshop zum Thema Information Hiding. Das Team meldete zudem ein Patent an; das US-Patent 6.266.704, "Onion routing network for securely moving data through communication networks", wurde der U.S. Navy zugewiesen und 2001 erteilt. Der frühe Prototyp – manchmal als Onion Routing der Generation Null bezeichnet – ließ seinen Machbarkeitsnachweis sogar auf einer einzigen Maschine laufen, eher eine Forschungsdemonstration als ein globales Netzwerk.
Der Name ist eine wörtliche Beschreibung der Technik. Eine Nachricht wird in aufeinanderfolgende Verschlüsselungsschichten gehüllt, wie die Schalen einer Zwiebel, und jedes Relais, das sie durchläuft, schält genau eine Schicht ab – es erfährt gerade so viel, um die Nachricht an die nächste Station weiterzureichen, und nicht mehr. Kein einzelnes Relais sieht jemals zugleich, wer Sie sind und was Sie tun.
Onion Routing in einfachen Worten
Folgendes geschieht tatsächlich, wenn Sie eine Seite über Tor laden. Ihre Client-Software baut einen Pfad – Circuit genannt – durch drei freiwillig betriebene Relais quer über die Welt verteilt auf. Ihr Datenverkehr wird in drei ineinander verschachtelten Schichten verschlüsselt, noch bevor er Ihren Rechner verlässt.
Das Eingangs- (oder Guard-) Relais sieht Ihre echte IP-Adresse – es weiß, wer Sie sind –, hat aber wegen der geschichteten Verschlüsselung keine Ahnung, welche Seite Sie besuchen oder was Sie senden.
Das mittlere Relais sieht keines der beiden Enden. Es weiß nur, dass es Daten vom Guard erhalten hat und sie an den Exit weiterreichen muss. Es ist ein Bote mit verbundenen Augen, der ein versiegeltes Paket übergibt.
Das Exit-Relais schält die letzte Schicht ab und sendet Ihre Anfrage an die Zielwebsite. Es sieht, was Sie tun – das Ziel und jegliche unverschlüsselten Inhalte –, aber es sieht die Adresse des mittleren Relais, nicht Ihre. Es hat keine Ahnung, wer Sie sind.
Die Sicherheit des Systems entspringt dieser Trennung des Wissens. Der Teil, der Ihre Identität kennt (der Guard), ist blind für Ihre Aktivität. Der Teil, der Ihre Aktivität kennt (der Exit), ist blind für Ihre Identität. Um Sie zu enttarnen, müsste ein Angreifer in der Regel sowohl den Eingang als auch den Ausgang Ihres Circuits kontrollieren oder beobachten und das Timing des Datenverkehrs korrelieren – ein realer, aber schwieriger Angriff. Standardmäßig wechselt Tor zudem im Lauf der Zeit zu neuen Circuits, sodass Sie nicht an einen einzigen Pfad gebunden sind.
Das ist der strukturelle Unterschied, der am meisten zählt, wenn wir Tor später mit einem VPN vergleichen: Das Vertrauen bei Tor ist auf drei unabhängige Parteien verteilt, von denen keine Sie allein deanonymisieren kann. Kein einzelner Betreiber besitzt das vollständige Bild.
Vom Navy-Projekt zur gemeinnützigen Organisation: die Geburt des Tor Project
Die Version der Technologie, die die meisten Menschen heute nutzen – "Tor", ursprünglich ein Akronym für The Onion Router –, ist eine Neukonzeption der zweiten Generation. Um 2002 schloss sich Paul Syverson vom NRL mit zwei externen Entwicklern zusammen, Roger Dingledine und Nick Mathewson, um Onion Routing zu etwas Praxistauglichem, Einsatzfähigem und Globalem umzubauen. Die ersten Relais des Tor-Netzwerks gingen im Oktober 2002 in Betrieb, und das grundlegende Design-Papier "Tor: The Second-Generation Onion Router" wurde 2004 auf dem USENIX Security Symposium veröffentlicht.
Entscheidend war: Das Projekt wurde Open Source. Die Navy gab den Tor-Code unter einer freien und offenen Lizenz frei, was bedeutete, dass jeder ihn lesen, prüfen, ein Relais betreiben und bestätigen konnte, dass keine versteckte Hintertür existierte – eine wesentliche Eigenschaft für ein Werkzeug, dessen gesamter Wert davon abhängt, dass die Nutzer ihm vertrauen. 2004 sprang die Electronic Frontier Foundation (EFF) ein, um die weitere Entwicklung zu finanzieren, und half so, Tor aus einer rein militärischen Herkunft heraus und in die Welt der Bürgerrechte hineinzuführen.
Im Dezember 2006 gründeten die Entwickler The Tor Project, Inc. als gemeinnützige Forschungs- und Bildungsorganisation nach Paragraph 501(c)(3), mit Dingledine, Mathewson und Syverson unter den Gründern. Das Tor Project wird seither aus einer Mischung von Quellen finanziert, darunter Zuschüsse der US-Regierung (die National Science Foundation, die Internetfreiheits-Programme des Außenministeriums und die heutige U.S. Agency for Global Media), private Stiftungen und Einzelspenden. Die Darstellung des Projekts zu seiner Mission und Software können Sie bei the Tor Project nachlesen.
Tor vs. VPN: zwei verschiedene Arten von Vertrauen
Die meisten "Tor vs. VPN"-Vergleiche stellen die Frage so, als ginge es darum, welches der beiden "privater" sei – als wäre Privatsphäre ein einzelner Regler. Diese Sichtweise ist falsch. Der ehrliche Unterschied lautet: Wem müssen Sie vertrauen, und was kann diese Partei sehen?
Wenn Sie ein kommerzielles VPN nutzen, wird Ihr Datenverkehr von Ihrem Gerät bis zum Server des VPN-Anbieters verschlüsselt, der ihn anschließend mit der IP-Adresse des Anbieters ins weitere Internet weiterleitet. Das verbirgt Ihre Aktivität vor Ihrem Internetanbieter und vor den Websites, die Sie besuchen (sie sehen die IP des VPN, nicht Ihre). Doch beachten Sie, was es nicht tut: Der VPN-Anbieter selbst sitzt in der Mitte und kann sowohl Ihre echte IP-Adresse als auch jedes Ziel sehen, mit dem Sie sich verbinden. Sie haben den einzigen Vertrauenspunkt nicht beseitigt – Sie haben ihn von Ihrem Internetanbieter zu Ihrer VPN-Firma verschoben. Alles hängt an der Ehrlichkeit dieses einen Anbieters, an seiner Protokollierungsrichtlinie und an seiner Widerstandsfähigkeit gegen rechtlichen Druck.
Tor wurde gezielt dafür entworfen, diese eine vertrauenswürdige Partei zu beseitigen. Seine Drei-Relais-Struktur bedeutet, dass keine einzelne Instanz – weder der Guard noch der Exit noch die Website – zugleich weiß, wer Sie sind und was Sie tun. Das ist der Kompromiss, den Tor eingeht:
VPN = Vertrauen in einen einzigen Anbieter. Ein Unternehmen sieht Ihre Identität und Ihre Ziele. Schnell, einfach, gut geeignet, um Datenverkehr vor Ihrem Internetanbieter und vor Websites zu verbergen – aber nur so vertrauenswürdig wie dieses eine Unternehmen.
Tor = verteiltes Vertrauen. Drei unabhängige Relais, kein zentraler Betreiber, kein Konto, keine Zahlungsspur. Deutlich stärker gegen Deanonymisierung – aber langsamer und mit einem eigenen, besonderen Schwachpunkt am Exit.
Verschiedene Aufgaben. Ein VPN ist ein Werkzeug für Privatsphäre und Zugang mit einem vertrauenswürdigen Betreiber. Tor ist ein Anonymitätssystem, das darauf ausgelegt ist, die Notwendigkeit zu beseitigen, überhaupt irgendeinem Betreiber zu vertrauen.
Das Exit-Node-Problem, das die Listenartikel auslassen
Hier ist das Detail, das oberflächliche Vergleichsartikel gerne weglassen. Weil das Tor-Exit-Relais die letzte Schicht von Tors Verschlüsselung abschält, um Ihre Anfrage an das Ziel zu übermitteln, kann der Exit-Betreiber alles sehen, was Sie im Klartext senden. Wenn Sie sich über schlichtes, unverschlüsseltes HTTP bei einer Seite anmelden, kann das Exit-Relais Ihren Benutzernamen und Ihr Passwort lesen. Tor verbirgt vor diesem Relais, wer Sie sind, aber es verschlüsselt Ihre Inhalte nicht auf magische Weise Ende-zu-Ende mit der Website.
Das ist nicht bloß Theorie. 2007 richtete der Sicherheitsforscher Dan Egerstad eine Handvoll Tor-Exit-Relais ein und sammelte funktionierende E-Mail-Anmeldedaten für Dutzende Botschaften und Regierungskonten rund um die Welt – nicht indem er Tor knackte, sondern indem er schlicht den unverschlüsselten Datenverkehr mitlas, den sorglose Nutzer durch seine Exit-Nodes schickten. Die Lehre gilt bis heute: Jeder kann sich freiwillig als Betreiber eines Exit-Relais melden, auch ein böswilliger, weshalb Transportverschlüsselung zum Ziel hin (HTTPS) bei der Nutzung von Tor nach wie vor enorm wichtig ist.
Im Gegensatz dazu ist der "Exit" eines VPN der Anbieter, den Sie selbst ausgewählt und (im Idealfall) überprüft haben, kein zufälliger anonymer Freiwilliger. Keines der beiden Modelle ist grundsätzlich sicherer – sie versagen auf unterschiedliche Weise. Ein VPN bündelt das Risiko bei einer bekannten Partei; Tor verteilt es auf unbekannte. Was akzeptabel ist, hängt ganz davon ab, wogegen Sie sich verteidigen.
Wen Tor wirklich schützt – und das Darknet-Problem
Streift man die Mythologie ab, ist Tors reale Nutzerbasis breit und größtenteils alltäglich. Investigativjournalisten nutzen es, um Geschichten zu recherchieren und Quellen zu schützen. Große Nachrichtenredaktionen und Menschenrechtsorganisationen betreiben Tor-basierte Whistleblower-Systeme zur Übermittlung – die Open-Source-Plattform SecureDrop, eingesetzt unter anderem von Zeitungen und Magazinen, stützt sich auf Tors Hidden-Service-Technologie. Aktivisten und gewöhnliche Bürger in Ländern mit starker Zensur nutzen es, um das offene Netz zu erreichen. Polizei- und Geheimdienste verwenden es aus genau dem ursprünglichen NRL-Grund: ihre Arbeit zu erledigen, ohne die IP-Adressen ihrer Organisation preiszugeben. Die 2013 von Edward Snowden geleakten NSA-Unterlagen enthielten sogar eine Folienpräsentation der Behörde mit dem freimütigen Titel "Tor Stinks", in der beklagt wurde, dass das Netzwerk so wirksam sei, dass die NSA nicht zuverlässig alle seine Nutzer auf Verlangen deanonymisieren könne.
Und dann gibt es noch das Imageproblem. Dieselbe Hidden-Service-Funktion, die es einer Zeitung erlaubt, eine anonyme Hinweis-Hotline zu betreiben, ermöglicht auch illegalen Marktplätzen den Betrieb – am berüchtigtsten der Drogenmarkt Silk Road, der 2013 ausgehoben wurde. Das ist der Ursprung von Tors reißerischem "Darknet"-Image. Doch die Verhältnisse zählen: Die überwältigende Mehrheit des Tor-Verkehrs besteht aus Menschen, die anonym das gewöhnliche Netz durchstöbern. Onion-Dienste (Seiten mit .onion-Adressen, die nur über Tor erreichbar sind) machen einen kleinen Bruchteil der Aktivität aus und reichen von kriminellen Marktplätzen bis zu Spiegelungen etablierter Nachrichtenseiten und großer Plattformen, die solche Dienste gerade deshalb betreiben, um Leser in zensierten Regionen zu erreichen.
Warum Regierungen finanzieren, was sie zugleich zu knacken versuchen
Die merkwürdigste Tatsache in Tors Geschichte ist, dass die US-Regierung es gleichzeitig finanziert und zu überwinden versucht – und beide Verhaltensweisen sind rational. Verschiedene Teile einer Regierung haben verschiedene Aufträge. Programme für Internetfreiheit und Außenpolitik wollen ein starkes, populäres Anonymitätsnetzwerk, weil es Dissidenten und Journalisten unter autoritären Regimen hilft zu kommunizieren – und weil, zurück zum Gründungsparadox, die eigenen Agenten ebendieser Behörden nur dann verborgen sind, wenn Millionen anderer Menschen dasselbe Werkzeug nutzen. Ein schwaches Tor mit wenigen Nutzern schützt niemanden, sie selbst eingeschlossen.
Zugleich haben die Abteilungen für Fernmeldeaufklärung und Strafverfolgung derselben Regierung den Auftrag, bestimmte Ziele zu überwachen, und für sie ist ein starkes Anonymitätsnetzwerk ein Hindernis. Also erforschen sie Angriffe dagegen. Es gibt keinen Widerspruch, sobald man akzeptiert, dass "die Regierung" nicht ein Akteur mit einem Ziel ist. Tors fortbestehende Existenz, teils mit Regierungsgeldern, ist der institutionelle Ausdruck genau jenes Paradoxes, aus dem es geboren wurde: Anonymität für wenige erfordert Anonymität für viele.
Fazit: Entscheiden Sie nach Bedrohungsmodell, nicht nach Hype
Die Frage "Ist Tor oder ein VPN privater?" hat keine Antwort, weil sie die falsche Frage ist. Die richtige Frage lautet: Was verbergen Sie, und vor wem? Entscheiden Sie auf Grundlage Ihres Bedrohungsmodells.
Surfverhalten vor Ihrem Internetanbieter verbergen oder Inhalte entsperren, bei guter Geschwindigkeit und mit einem vertrauenswürdigen Betreiber? Für diese Aufgabe passt ein VPN – vorausgesetzt, Sie vertrauen dem Anbieter tatsächlich, denn er kann alles sehen, was Sie tun.
Identifizierung verhindern, wenn keine einzelne Partei jemals Ihre Identität mit Ihrer Aktivität verknüpfen darf – für einen Journalisten, eine Quelle, einen Dissidenten oder Forscher? Genau dafür wurde Tors Design des verteilten Vertrauens gebaut, im Tausch gegen geringere Geschwindigkeit und die Notwendigkeit von HTTPS zum Schutz vor böswilligen Exit-Relais.
Einem mächtigen Gegner gegenüberstehen, der große Teile des Netzwerks überwachen kann? Machen Sie sich klar, dass kein Verbraucherwerkzeug ein magischer Tarnmantel ist; operative Disziplin (worin Sie sich einloggen, was Sie preisgeben) zählt oft mehr als das Werkzeug selbst.
Die Geschichte von Tor ist letztlich eine Lektion in kontraintuitivem Design. Das mächtigste Datenschutznetzwerk, das wir haben, existiert, weil ein militärisches Geheimdienstlabor verstand, dass Geheimhaltung und Masse keine Gegensätze sind – dass der einzige Weg, einige wenige wichtige Personen zu verbergen, darin bestand, alle zu schützen. Onion Routing ist nicht versehentlich aus der Navy gesickert. Es wurde mit Absicht freigegeben, weil das der einzige Weg war, auf dem es überhaupt funktionieren konnte.
Häufig gestellte Fragen
Wer hat Tor entwickelt?
Onion Routing, die Technologie, auf der Tor aufbaut, wurde Mitte der 1990er-Jahre von Paul Syverson, David Goldschlag und Michael Reed am U.S. Naval Research Laboratory erfunden. Die moderne Tor-Software wurde anschließend ab etwa 2002 von Syverson gemeinsam mit Roger Dingledine und Nick Mathewson entwickelt, die später im Dezember 2006 das gemeinnützige Tor Project mitgründeten.
Hat die US-Regierung Tor und das Onion Routing am Naval Research Lab wirklich gebaut?
Ja. Onion Routing war ein Projekt des U.S. Naval Research Laboratory, finanziert von der Navy und später der DARPA, ursprünglich zum Schutz von Regierungs- und Geheimdienstkommunikation im Internet. Der Code wurde bewusst als Open Source freigegeben, und das Tor Project erhält einen Teil seiner Finanzierung bis heute aus US-Regierungsprogrammen für Internetfreiheit, neben Stiftungen und Spendern.
Warum wurde Tor öffentlich gemacht, wenn es für Spione gebaut wurde?
Weil Anonymität eine Masse braucht. Ein Netzwerk, das nur von Regierungsagenten genutzt würde, würde jeden darin sofort als Regierungsagenten ausweisen. Um die anvisierten Nutzer zu verbergen, musste das Werkzeug für Journalisten, Aktivisten und gewöhnliche Menschen geöffnet werden, damit kein einzelner Nutzer innerhalb einer großen, vielfältigen Bevölkerung heraussticht.
Was ist der Unterschied zwischen Tor und einem VPN in Bezug auf Geschichte und Design?
Tor entstand aus einem militärischen Forschungsprojekt und wuchs zu einem gemeinnützigen Anonymitätsnetzwerk, das Vertrauen auf drei unabhängige Relais verteilt, sodass keine einzelne Partei zugleich weiß, wer Sie sind und was Sie tun. Ein VPN ist ein kommerzieller Dienst, bei dem ein einziger Anbieter Ihren Verkehr leitet und sowohl Ihre Identität als auch Ihre Ziele sehen kann. Tor beseitigt die einzelne vertrauenswürdige Partei; ein VPN bündelt das Vertrauen in einem Unternehmen, das Sie überprüfen müssen.
Ist Tor dasselbe wie das Darknet?
Nein. Tor ist ein Anonymitätsnetzwerk für die private Nutzung des regulären Internets, und die überwältigende Mehrheit seines Verkehrs ist gewöhnliches Surfen. Der Begriff "Darknet" bezieht sich auf .onion-Hidden-Services, die nur über Tor erreichbar sind und einen kleinen Teil der Aktivität ausmachen – sie reichen von kriminellen Marktplätzen bis zu legitimen Whistleblower-Systemen und Nachrichten-Spiegelungen für zensierte Regionen.
Ist Tor sicher in der Nutzung, und worin besteht das Exit-Node-Risiko?
Tor schützt Ihre Identität sehr stark, doch das letzte Relais – der Exit-Node – kann jeden Datenverkehr lesen, den Sie unverschlüsselt senden, weil es Tors letzte Schicht abschält, um das Ziel zu erreichen. Jeder kann ein Exit-Relais betreiben, auch ein böswilliges; 2007 fing ein Forscher auf diese Weise Anmeldedaten von Botschaften ab. Die Nutzung von HTTPS-Seiten mildert dies, da Ihre Inhalte selbst am Exit zum Ziel hin verschlüsselt bleiben.
Sollte ich Tor oder ein VPN wählen?
Entscheiden Sie nach Bedrohungsmodell, nicht danach, was als "privater" gilt. Ein VPN eignet sich, um Datenverkehr vor Ihrem Internetanbieter zu verbergen oder Inhalte zu entsperren, mit einem vertrauenswürdigen Betreiber und guter Geschwindigkeit. Tor eignet sich für Situationen, in denen keine einzelne Partei jemals Ihre Identität mit Ihrer Aktivität verknüpfen darf, etwa im Journalismus, beim Quellenschutz oder zum Umgehen von Zensur – auf Kosten der Geschwindigkeit.
