I2P

Pamphlete

Folgender Text war mal wieder zu lang für's Heise-Forum, deshalb hier.

Meinung zu Filetopia

Ich habe mir Filetopia mal angesehen und ganz oberflächlich mit I2P verglichen. Zu I2P hier meine FAQ: permalink.de/tino/i2p-faq-de

Sorry, Filetopia erscheint mir vom Standpunkt der Anonymität als sehr schwach.

Richtig, die End2End-Kommunikation ist stark verschlüsselt, aber Verschlüsselung alleine garantiert keine Anonymität. Verschlüsselung wirkt nur gegen Leute, die auf der Leitung lauschen, die MI tut das in der Regel aber nicht. Und ich sehe auf Anhieb folgende Schwachstellen:

  • Der Bouncer ist unzureichend, da angreifbar bzw. missbrauchbar.
  • Die Protokolle scheinen mir nicht gesichert gegen "Man in the Middle" zu sein.
  • Die "Anbieter" (und darum geht es der MI) scheinen weiterhin ausforschbar zu sein, auch mit Bouncer.
Dazu kommen allgemeine Schwächen bei der Teilnahme am Planetopia-Netz (könnte es sein, dass es eine zentrale Instanz hat?).

Der Bouncer erscheint mir eine falsche Lösung für das Problem des Versteckens von IPs zu sein. Im Gegenteil scheinen mir Bouncerbetreiber sogar gefährlich zu leben, da sie wissentlich (Passwort!) Aktionen im Bereich der Illegalität unterstützen. Das ist etwas vollkommen anderes als Aktionen im Bereich der Anonymität zu unterstützen (wie z. B. einen I2P-Router laufen zu lassen).

Die Funktion der Bouncer ist also nur, die Protokollierung der IP auszuhebeln. Das ist zu schwach und wird, dank VDS auf Dauer nicht viel bringen, und vor den Gerichten wird man damit auch kein Lob ernten. Die Bouncer müssten MIXe werden wenn es etwas bringen soll. Genau da fangen aber die anderen Netze überhaupt erst an zu denken, also da, wo Filetopia aufhört!

Beispiel:

1) Die MI betreibt viele Bouncer (sie macht ganz andere Sachen wie z. B. den Betrieb von Eselservern) und protokolliert so mit, wer mit wem über diesen Bouncer. Es reicht die IP, der Inhalt ist vollkommen belanglos!

2) Die MI erfasst zusätzlich auf den freien Kanälen, welche Rechner was anbieten. Irgendwie muss man in Filetopia ja etwas finden können. Damit haben sie die IP von Abietern und die IP derjenigen, die von diesen etwas abrufen.

3) Somit erfasst die MI alles relevante, um hinreichenden Verdacht aufbauen zu können, dass IP A mit IP B (über den Bouncer C von der MI) Daten austauscht, und somit von IP A mit hoher Wahrscheinlichkeit zu IP B "illegale Daten" fließen.

Der Aufwand ist etwas höher, die Bouncer kommen der MI aber wiederum entgegen. Glaub also bitte nicht, dass die über so ein System wie Filetopia nicht lachen.

Andere Systeme wie Freenet oder I2P, ja selbst TOR sind gegen solche Attacken wesentlich resistenter. Der Aufwand den die MI da betreiben muss wäre enorm. Selbst wenn die MI ca. 100 von den ca. 300 Knoten im I2P-Netz kontrollieren würde, hätte sie immer noch keinerlei relevanten Daten erfasst, wer denn wer ist, denn wer ganz paranoid ist hängt sich per Darknet einfach hinter einen Introducer (Restricted Routes sind in I2P V2.0 geplant) dem er vertrauen kann (z. B. Arbeitskollege der nix böses tut). Wenn Du also den Typen tracet findest Du nur einen seiner Introducer, also jemanden wie mich, dem nichts vorzuwerfen ist! Und wenn ich gefragt werde, für wen ich denn Introducer spiele kann ich nur mit den Achseln zucken, da mein Router ein öffentlicher Introducer sein wird (sofern I2P das unterstützt). Da ich es selber nicht weiß kann ich in Deutschland deshalb nicht verklagt werden. Mitstörerhaftung ist IMHO (IANAL) auch nicht möglich, ich tue nichts anderes als jeder ISP auf diesem Planeten.

Erst ausgefuchste Korrelationsalgorithmen (einiges siehe forum.i2p.net/) können die Anonymität natürlich brechen, sofern man Zugang zu der VDS hat. Das sind aber Vorgänge die bereits so abgehoben sind, dass es dank des komplizierten Routings von I2P sehr wahrscheinlich ist, dass von 100 Hausdurchsuchungen 50 zu Unrecht erfolgen! Stell Dir das mal vor, da steht die Polizei vor dem Haus von unbescholtenen Bürgern deren Sohn I2P laufen lässt, nur weil das cool ist, ohne selber irgendwelchen Schmu zu machen. Und das ist dann beileibe kein Einzelfall, das ist dann in jedem 2. Fall bei einer Durchsuchung so!

Wenn das passiert hat die MI bei der Staatsanwaltschaft ausgespielt. Das kann sie sich nur am Anfang leisten danach macht da kein Staatsanwalt mehr mit. Dazu kommt noch, dass einige Methoden eine "Destination" in I2P zu entlaven deutlich über eine DoS-Attacke hinausgehen, also selber schon als illegal angesehen werden können. D. h. das Vorgehen der MI gegen Knoten wird extrem schwierig (das bedeutet nicht, dass es nicht geht, aber "Gelegenheitstauschbörsennutzer" sind dann vor der MI sicher, große Warez-Sites etc. sind eben weiterhin auffindbar, aber die User dieser Sites bleiben sicher).

Hingegen sind die Hinweise bei momentanen Tauschbörsen wie eDonkey oder auch später Filetopia so "erdrückend", dass man davon ausgehen kann, wenn man bei einem geloggten Teilnehmer nix findet dann war da zumindest mal etwas. Bei I2P aber wird das so sein, dass man annehmen muss, da war nix (der Betrieb von I2P per se kann keinen Generalverdacht bedeuten), d. h. die Einschränkung der Grundrechte durch den Duchsuchungsbefehl trifft garantiert haufenweise Unschuldige.

Und das ist erst der Anfang. I2P muss erst einmal die 1.0 erreichen, damit das so ist wie ich hier beschreibe. Mit der 3.0 aber kommen dann noch die MIXe ins Spiel, dann kann man selbst mit einer 100% Netzvollüberwachung inklusive 100% Protokollierung nicht mehr herausfinden, wer mit wem. Das ist heute schon geplant. Das bedeutet, die Entwicklung in dem Netz wird schneller vorangehen als die MI nachrüsten kann. Denn sich mit den Netzen zu aklimatisieren dauert etwas Zeit. Man muss mit den Verfahren erst klarkommen, das ist nichts, was einfach von heute auf gestern geht, sondern das sind wirklich Investitionen die die MI da leisten muss und dauert einige Monate, wenn nicht Jahre, bis die ersten Ergebnisse vorliegen. Zu langsam für ein sich ständig weiterentwickelndes Netzwerk a la I2P.

Denn "irgendwelche Hacker" sind dadurch in der Lage, diese ganzen Investitionen der MI mit einem bereits angekündigten(!) Softwareupdate Makulatur werden zu lassen. Da überlegt sich die MI schon, ob sie in Überwachungstechniken hineininvestieren soll, denn ganz blöde sind die Leute da oben nicht. Sie wollen für ihr Geld schon Resultate sehen (solche wie die Meldung hier), und wenn es klar ist, dass das nix wird, dann agieren sie anders.

Folgendes Ziel wird mit der 3.0 erreicht werden, da bin ich mir sicher:

Mit I2P kannst Du dann in einem vollüberwachten Netz (inklusive Leitungsprotokoll!) frei Deine Daten austauschen (z. B. Deine Meinung, aber auch Dateien) ohne dass jemand auch nur Notiz von der ablaufenden Datenübertragung nehmen kann (das geht per Kanalsättigung, d. h. der Knoten tauscht permanent gleich viel Daten aus). Und der Nachweis einer Aktion per Indizien wenn man keine erdrückende Beweislast findet wird vor Gericht sehr schwierig werden. Sprich, selbst wenn einer 1000 MP3s auf der Platte hat, selbst wenn diese per EEPSITE von I2P verbreitet wurden und selbst wenn man beweisen kann, dass es genau diese Zusammenstellung der Songs in I2P gab, reicht es, dass derjenige einfach schnell einen neuen Key für seeine EEPSITE anlegt, und niemand kann mehr beweisen, dass die EEPSITE die sie gefunden haben die EEPSITE im I2P-Netz war. Es könnte sich einfach nur um eine Kopie der EEPSITE handeln, und niemand kann beweisen, dass von der EEPSITE Daten abgerufen wurden. Stimmt, die Indizienlast ist dann zwar erdrückend, aber es gibt trotzdem keine schlüssige Beweiskette und, wenn sich derjenige nicht ganz blöd anstellt, somit immer ein fragwürdiges Urteil. Dieses lässt sich nur durch einen großen Lauschangriff auf den Computer des I2P-Teilnehmerns aushebeln, was allerdings dann ein noch fragwürdigeres Vorgehen ist (den Besitz von MP3s kann man schlecht mit Mitteln bekämpfen, die gegen die organisierte schwerer Kriminalität oder Terrorismus zielen).

I2P funktioniert deshalb nur in einem freiheitsliebenden System a la unsen westlichen Nationen, so lange diese freiheitsliebend bleiben. In restrikten Regimen (zu denen man in diesem Zusammenhang auch China zählen muss) funktioniert das nicht (in China ist man so lange schuldig bis man seine Unschuld bewiesen hat, sprich, wenn man I2P betreibt muss man beweisen können, dass man nichts illegales macht. Bei uns ist das anders).

Natürlich kann man hierzulande Systeme a la I2P auch verbieten, nur aus welchem Grund? I2P ist nichts anderes als ein anonymer Netzwerk-Stack, das Filesharing usw. ist nur eine Anwendung unter vielen in I2P (ähnlich wie FTP nur eine Anwendung unter vielen unter TCP/IP ist). Es ist eine Grid-Anwendung so wie alle Anwendungen im Grid am Ende aussehen (Du weißt nicht mehr was wo abläuft, aber Du bekommst ein Ergebnis, und zwar schneller als mit Deiner eigenen Hardware möglich). So lange also bei uns die Menschenrechte gelten und das juristische Prinzip erhalten bleibt, dass man bis zum Beweis der Schuld als unschuldig zu gelten hat, gibt es keinen Grund, I2P zu verbieten, da man damit jegliche Weiterentwicklung des Internets gleich mitverbieten muss. Und ein solches Verbot ist gleichzusetzen mit der Abschaltung des Internets, da uns nach letzten RIPE-Schätzungen um 2015 die IPs (v4) ausgehen.

Filetopia ist nicht besonders gegen Überwachungssystemen wie VDS oder MitM, was die MI immer wieder gerne verwendet, gesichert. Somit ist Filetopia eher als schwach zu bezeichnen.

Dass die MI gegen Filetopia-User derzeit nicht vorgeht hat vermutlich einfach damit zu tun, dass sich das noch nicht lohnt. Aber ich bin mir fast sicher, Filetopia wird bereits überwacht, so wie es mit Edonkey usw. ebenfalls gemacht wird.

Bei I2P kannst Du zwar herausfinden, dass jemand I2P betreibt, aber Du weisst nicht, wer etwas abruft. Also selbst wenn Du alle Leute in I2P mit Namen und IP kennst, kannst Du schon heute nicht mehr schlüssig beweisen, wer anbietet, wer nur Durchleitet und wer Abspeichert. Und selbst im schlechtesten Modus (0 HOP Tunnels) ist I2P mindestens so sicher wie Filetopia. Wer aber Anonymität will, wird mindestens 2 HOP Tunnels einstellen (die funktionieren derzeit noch nicht so gut, aber es wird wieder).

Für einen aktuellen Netzwerkstatus von I2P (nur EEPSITES!) kann man in meinen I2PinProxy gucken: i2p.tin0.de/

Seit der 0.6.1.19 (vor ein paar Tagen) ist die Netzstabilität von I2P auch wieder annehmbar (jedenfalls wenn man den History-Graph des InProxys glauben darf (die Gütebewertung ist wie alles ein experimentelles Feature): i2p.tin0.de/graph.php

-Tino