AA_unsichtbar_22447994_123rf_Oleg_Belov.jpg

© Oleg Belov, 123RF

Unsichtbar

Whonix: Anonym surfen via Tor

19.08.2014
Whonix ermöglicht in virtuellen Maschinen anonymes Surfen im Internet bei größtmöglicher Sicherheit und vollem Schutz der Privatsphäre.

Heutzutage wollen Unternehmen, Regierungen und Kriminelle gleichermaßen an unsere privaten Daten. Der im Grundgesetz verankerte Schutz der Privatsphäre verkommt zunehmend zur hohlen Floskel. Dem setzen die Whonix-Entwickler ein Betriebssystem entgegen [1], das Anonymität und Sicherheit mit den Mitteln des Tor-Netzwerks und der Aufteilung und Isolation des Systems erreicht. Der GPL-3-lizenzierte Quellcode steht auf GitHub [2] zur Durchsicht bereit.

Whonix verwendet als Grundlage Debian "Stable" und setzt sich aus zwei unabhängigen Teilen zusammen: Der Gateway kümmert sich um den Datenaustausch mit der Außenwelt über das Tor-Netzwerk [3], die Workstation dient als Benutzerinterface. Sowohl Workstation als auch Gateway installieren Sie in Virtualbox [4] in zwei getrennte virtuelle Maschinen.

Somit ist es sammelwütigen Unternehmen und Regierungsstellen weder möglich, an die IP-Adresse des Nutzers zu gelangen, noch zu erfahren, welche Seiten er besucht. DNS- und IP-Leaks [5] gehören der Vergangenheit an, und die Stream-Isolation [6] verhindert, dass mehrere Datenströme gleichzeitig über die gleichen Tor-Knoten laufen. Auch der Internet-Provider erfährt also nichts darüber, was in den Gast-VMs passiert.

Die umfangreiche Dokumentation zu Whonix liegt fast ausschließlich in Englisch vor und wirkt teilweise etwas unstrukturiert. Trotzdem empfiehlt sich ein genaues Studium, vor allem für jene, die sich mit Verschlüsselung und Anonymisierung noch nicht so gut auskennen. Als Einstiegspunkt dient die Seite, die erklärt, was Whonix leistet und was nicht [7].

Grenzen der Sicherheit

Die Entwickler weisen auf der Projektwebseite ebenfalls auf die Grenzen dieser Sicherheit hin. Ein Teil der Sicherheit muss immer auch der Anwender selbst leisten – so auch beim Tor-Netzwerk. Das versteckt den Datenverkehr des Einzelnen in dem vieler anderer Anwender und leitet ihn über drei zufällige Server, sogenannte Nodes, die Mitglieder der Community weltweit betreiben.

Das größte Problem in diesem Konstrukt stellt der letzte dieser drei Knoten dar, sogenannte Exit Nodes. Er stellt die Verbindung zum eigentlichen Ziel her, wie etwa zu einer aufgerufenen Webseite. Geheimdienste stehen im Verdacht, solche Exit Nodes zu betreiben, um an die Daten der Nutzer beziehungsweise deren Identität zu gelangen. Darüber hinaus ist der Exit-Node-Betreiber mit einfachsten Mitteln in der Lage, den Datenstrom abzuhören. Hier hilft nur eine Ende-zu-Ende-Verschlüsselung, die auch nach dem Exit-Knoten Ihre Daten uneinsehbar weitertransportiert.

Whonix besteht aus zwei Teilen, die mit dem Ziel zusammenarbeiten, die Daten des Anwenders bestmöglich zu schützen. Im Whonix-Gateway läuft eine Tor-Instanz, die anhand von Firewall-Anweisungen sowohl auf der Workstation als auch im Gateway sämtlichen Datenverkehr in das Tor-Netzwerk zwingt. Zudem konfiguriert das Projekt viele der Programme auf der Workstation bereits im Hinblick auf größtmögliche Sicherheit. Dabei schützt Whonix aber nur den Gast in der Virtualbox, nicht den Wirt, auf dem Virtualbox läuft. Kompromittiert beispielsweise Malware diesen, sind auch die VMs nicht mehr sicher.

Whonix aufsetzen

Whonix startet wahlweise in einer virtuellen Maschine oder als dediziertes System, das Sie etwa auf einer externen Festplatte installieren, die Sie bei Nichtverwenden sicher verwahren.

Workstation und Gateway laufen bei Bedarf auch auf verschiedenen Rechnern, ebenso ist der Betrieb mehrerer Gateways möglich. Der Artikel beschreibt die einfachste Variante, die Installation in Virtualbox auf einem Linux-Host. Die weiteren Möglichkeiten erläutert eine ausführliche Dokumentation [7], die sich auf das Vorbereiten der Installation bezieht.

Die beiden Whonix-Komponenten laden Sie entweder von der Webseite des Projekts [8] herunter oder nutzen die Images auf dem beiliegenden Datenträger. Zusätzlich laden Sie auch den Signing-Key und die OpenPGP-Signatur zum Verifizieren der Quellen jeweils für Workstation und Gateway herunter und überprüfen damit die Images (siehe Kasten "Download prüfen").

Download prüfen

Die nachfolgende Beschreibung geht davon aus, dass auf Ihrem Rechner OpenGPG installiert ist. Nach dem Download der Software, der Signatur und der beiden Signaturschlüssel, die alle im gleichen Verzeichnis liegen müssen, öffnen Sie darin als normaler Nutzer eine Konsole. Darin laden Sie den Schlüssel herunter (Listing 1, Zeile 1) und gleichen das Gateway-Image mit der Signatur ab (Zeile 5). Das gleiche Prozedere wiederholen Sie anschließend für die Workstation.

Listing 1

$ cat patrick.asc | gpg --import
gpg: Schlüssel 8D66066A2EEACCDA: Öffentlicher Schlüssel "Patrick Schleizer <adrelanos@riseup.net>" importiert
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg:               importiert: 1 (RSA: 1)
$ gpg --verify Whonix-Gateway-8.2.ova.asc Whonix-Gateway-8.2.ova
gpg: Unterschrift vom So 13 Apr 2014 15:52:55 CEST
gpg:        mittels RSA-Schlüssel CB8D50BB77BB3C48
gpg: Korrekte Unterschrift von "Patrick Schleizer <adrelanos@riseup.net>"

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • Distribution Whonix sucht Entwickler

    Whonix, eine Debian-basierte Linux-Distribution zur anonymisierten Internetnutzung, sucht ehrenamtliche Mitarbeiter.
  • Neues auf den Heft-DVDs
    Jeden Monat erscheinen neue, spannende Distributionen. Auf den Datenträgern zu dieser Ausgabe finden Sie eine Auswahl, die die Artikel im Heft optimal ergänzt und Ihnen so einen zeitraubenden Download erspart.
Kommentare
Finger weg
Hans Wurst (unangemeldet), Mittwoch, 20. August 2014 11:47:18
Ein/Ausklappen

Warum die Dokumentation umfangreich und unstrukturiert wirkt, läßt sich leicht sagen: die Skills des "Entwicklers" beschränken sich in erster Linie darauf, Dinge aus dem Internet zusammenzukopieren und nicht einmal das Minimum vieler freien Lizenzen (Attribution) einzuhalten. "Entwickler" unter Anführungszeichen, weil die Konzepte durchwegs geklaut wurden und die Qualität des bisschen Code, das selbst geschrieben wurde, ausgesprochen gering ist. Meine Empfehlung: Finger weg von diesem Projekt, wenn Sicherheit bzw. Anonymität ein Kriterium sind.


Bewertung: 187 Punkte bei 35 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Finger weg
@Hans Wurst? (unangemeldet), Donnerstag, 18. September 2014 06:11:46
Ein/Ausklappen

Wo wurde Attribution verletzt?


Bewertung: 148 Punkte bei 24 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Infos zur Publikation

LU 01/2015: E-Books im Griff

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 0 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

PCLinuxOS Version 2014.08 "FullMonty" Umstellung auf deutsch
Karl-Heinz Welz, 19.12.2014 09:55, 3 Antworten
Hallo, liebe Community, ich bin 63 Jahre alt und möchte jetzt nach Jahrzehnten Windows zu Linux...
ICEauthority
Thomas Mann, 17.12.2014 14:49, 2 Antworten
Fehlermeldung beim Start von Linux Mint: Could not update ICEauthority file / home/user/.ICEauth...
Linux einrichten
Sigrid Bölke, 10.12.2014 10:46, 5 Antworten
Hallo, liebe Community, bin hier ganz neu,also entschuldigt,wenn ich hier falsch bin. Mein Prob...
Externe USB-Festplatte mit Ext4 formatiert, USB-Stick wird nicht mehr eingebunden
Wimpy *, 02.12.2014 16:31, 0 Antworten
Hallo, ich habe die externe USB-FP, die nur für Daten-Backup benutzt wird, mit dem YaST-Partition...
Steuern mit Linux
Siegfried Markner, 01.12.2014 11:56, 2 Antworten
Welches Linux eignet sich am besten für Steuerungen.