I2P

Der Permalink zu diesem Text lautet permalink.de/tino/i2p1

Gedanken zu I2P

Die Entwicklung von I2P geschieht inzwischen auf der Basis von anonymen Protokollen. Da kann man jetzt versuchen, abzuschalten, soviel man will, man kannst es weder verhindern, einstampfen, verbieten, unterdrücken noch kontrollieren ohne offen zuzugeben, dass man fundamentale Menschenrechte unterdrückt.

China ist da noch fein raus, die akzeptieren unsere Denkweise von Menschenrechten nicht, aber selbst in China werden sie mit I2P (oder ähnlichen Verfahren) massiv Probleme bekommen.

I2P ist nicht mehr aufzuhalten

Derartige P2P-Techniken kann man nicht mehr aufhalten, so lange es ausreichend Leute wie mich gibt, die I2P- oder Freenet-Knoten laufen lassen. Und wenn man es (dafür gibt es hierzulande keinerlei rechtliche Grundlage, es müsste erst EU-Recht verändert werden) kriminalisiert, wird sich das ganze schneller weiterentwickeln als man reagieren kann. So wird schnell eine Lücke im Gesetz gefunden, durch die es tunnelt. So Dicht kann man Gesetze nicht machen, ausser man stellt hinter jede Person einen Aufpasser und hinter jeden Aufpasser zwei weitere Aufpasser, die diese Aufpasser kontrollieren damit sie mit den Überwachten nicht fraternisieren usw.

Es ist eindeutig zu spät es zu verhindern. Die Entwicklung von I2P geschieht inzwischen über eepsites.

Das Forum von I2P ist über I2P wie folgt zu erreichen (in die hosts.txt von I2P eintragen):

Also, viel Spass beim Abschalten!

Szenario

Es werden Killer angeheuert, die den Betreiber von I2P.net samt seiner bekannten killen. Ausserdem sprent ein Sprengkommando den ISP von I2P.net in die Luft, zusammen mit all seinen Housing-Centern. Ausserdem werden alle Geheimdienste und Behörden dieses Planeten angewiesen, nicht einzuschreiten.

Angenommen, dadurch erwischt man alles: Sowohl die I2P-Entwickler und alle Rechner, die für I2P wichtige Infrastruktur betreiben.

Empörung

Es dauert keinen Tag dann "rekonfiguriert" sich das Netzwerk. Zahlreiche I2P-Proxies poppen im Internet weltweit hoch, weil die Leute dort, so Leute wie ich, höchst sauer sind. Bei mir sind das ungefähr 8 Kisten an 5 Standorten auf denen ich in diesem Moment I2P starten werde.

Einer der überlebenden postet in einem freien Forum, z. B. Slashdot oder Heise, den neuen I2P-Schlüssel eines temporären neuen Forums. Andere Leute starten einen Anon-Chat, weitere aktivieren eepsites, es entsteht instant ein Netzwerk, das um Größenordnungen größer ist als jenes, das zerstört wurde.

1. Fazit:

Es gibt nur eine Chance, I2P zu vernichten: Macht es überflüssig.

Sorgt für sinnvolle Gesetze, in denen das Individuum von Repressalien durch Firmen freigestellt wird. Warte nicht. Mach es sofort. Noch bis zur Sommerpause 2005! Macht das weltweit, sonst ist es zu spät!

Wenn wir es jetzt nicht tun, damit meine ich sofort, spätestens bis Herbst 2005, dann sind wir raus aus der Kontrolle!

Nächstes Jahr sieht zwar die Welt nicht anders aus, aber nächstes Jahr ist sie ein wesentliches Stück friedlicher. Dann werde ich übrigens anfangen, meine Webseiten auf I2P zu portieren. Nicht weil es so "leet" ist, sondern weil es echte handfeste technische Probleme löst die ich mit HTTP habe.

I2P löst technische Probleme

Ich habe vor Jahren schon einmal geschrieben, dass es ja wohl nicht möglich sein kann, dass ein "pickliger 16 jähriger" eine Firma wie Yahoo mit einem DDoS-Angriff in die Knie zwingt. Ich meinte nicht damit, dass der Junge einen Fehler gemacht hat, sondern Yahoo. Yahoo verwendet ein Protokoll, das für diesen Zweck vollkommen unbrauchbar konstruiert wurde: HTTP.

HTTP ist ein Protokoll, das nur im Rahmen eines kontrollierten Intranets geeignet ist, aber nicht für freie Wildbahn, eben weil man so leicht DDoS-Attacken dagegen "mounten" kann.

Ein DDoS ist mit eepsites aufgrund der Natur von I2P nicht mehr möglich. Wäre Yahoo eine eepsite, niemand wäre in der Lage, einen DDoS gegen sie zu starten, einfach weil niemand weiss, wo Yahoo sich im Netzwerk befindet!

DDoS muss in I2P unmöglich sein

Stimmt, noch ist I2P nicht so weit, einen DDoS im I2P-Netzwerk aufzufangen. Aber das ist die Stärke eines solchen Systems. Sobald jemand einen Angriff erfindet, der einem DDoS gleichkommt, hat er die Sicherheit des Systems kompromittiert. Also muss dieser Fehler im Netzwerk abgefangen werden.

Wieso ist es ein Fehler des Netzwerks wenn ein DDoS auf einen Teilnehmer durchschlägt? Die Antwort ist sehr einfach: Wenn ich es schaffe, einen Teilnehmer zu terminieren, indem ich einen DDoS gegen ihn mounte, kann ich anhand der Reaktion des Netzes den Teilnehmer evtl. isolieren. Dies bedeutet, ich kann ihn identifizieren.

Das Netz muss davor schützen, indem die negative Reaktion eben nicht beim Teilnehmer eintritt, sondern irgendwo beliebig im Netzwerk, am sinnvollsten fällt das Problem auf die Knoten zurückfällt, die den DDoS ausführen.

2. Fazit:

Aufgrund seiner Natur löst I2P (oder ein würdiger Nachfolger) genau die Probleme, die HTTP hat. Somit ist der Schritt der Portierung von Webseiten auf I2P richtig.

Portierung von Webseiten nach I2P

Die Webseiten bleiben dabei übrigens ganz normal verfügbar. Also nach Aufruf von valentin.hilbig.de/ kommt weiterhin meine normale Seite. Allerdings befindet sich die Seite nicht auf der Maschine, die man unter dem URL ansprichst, sie leitet nur per I2P auf die eepsite weiter.

Das löst noch ein Problem. Die der Intrusion-Detection. Die Maschine, die die eepsite betreibt, braucht nicht an I2P teilzunehmen. Sie verwendet den ersten Hop I2P-Knoten lediglich als Forwarder. Damit kann sie sich hinter einem Firewall befinden, der ihr lediglich die Kommunikation mit diesen zwei Knoten erlaubt!

Schaffe ich es, einen Trojaner auf die Maschine zu schleusen, der die Maschine von innen her aufbricht, kann dieser Trojaner immer noch nichts anstellen. Er hat nur Zugriff auf just die verwendeten Forwarder, kann also nur über I2P kommunizieren und muss einen Tunnel über diese aufbauen.

Ich kann die Maschine also defacen, ich kann sie über das I2P-Net fernkontrollieren, aber ich kann sie nicht zu einem Bot umbauen, der andere Rechner im Internet direkt angreift. Das geht dann eben nur über I2P.

I2P löst legale Probleme

Auf den ersten Blick scheint dadurch nix gewonnen. Aber das ist nicht richtig: Wir gewinnen Anonymität. Und dadurch Frieden.

Ich denke hier in erster Linie an die ISPs, die mit so trotteligen Anfragen zu tun haben, wie die der Leute, die einen simplen ICMP PING bzw. die UDP-Pakete vom Traceroute in Log ihres Personal Firewalls als Angriff werten, und sich entsprechend heftig beschweren.

Und in zweiter Linie an die armen Admins, deren Wohnung plötzlich vom Sonderkommando gestürmt wird, weil irgendwelche Waffenhänder ihren Server übernommen haben, ohne dass sie es mitbekamen. Da man in Zukunft nicht mehr herausfinden kann, wem welcher Server gehört, bedeutet das, die Behörden müssen zuerst einmal versuchen, den Admin Zeit zu geben, das Problem selber zu beseitigen, anstatt es ihm gleich mit der groben Kelle zu geben.

I2P ist kein rechtsfreier Raum

Jetzt kommt sicher das Totschlagargument von Terrorismus, Kinderpornographie und Mördern. Glaubt mir, beim BKA und der Staatsanwaltschaft sitzen eine ganze Menge heller Köpfe, die sich sicherlich lieber um wirklich grausame Fälle kümmern würden, als irgendwelchen hirnrissigen Sperrverfügungen nachgehen zu müssen, die sie selber an sich für ungerechtfertigt halten. Genau das wird dann passieren: Weil man eben nicht mehr jedem klein-Scheiss nachjagen kann weil es der Aufwand nicht mehr rechtfertigt, konzentriert man sich endlich wieder auf das Wesentliche, eben nur die schlimmen Fälle.

Und mit guter alter Ermittlungsarbeit, Profiling, und hinreichend Grips kommt man den Übeltätern auch im I2P-Netz schon auf die Schliche, ausreichend Fingerspitzengefühl vorausgesetzt. Ich glaube unerschütterlich an die Selbstreinigungskraft des Netzes, man muss ihm nur den frieden gönnen, dass es sich darauf besinnen kann, anstatt sich irgendwelcher dümmlichen Abmahnungen wegen Markenrecht erwehren zu müssen.

-Tino