AA_4408996_123rf_Richard_Nelson.jpg

© Richard Nelson, 123RF

Whonix: Anonym surfen via Tor

Under cover

Whonix ermöglicht in virtuellen Maschinen anonymes Surfen im Internet bei größtmöglicher Sicherheit und vollem Schutz der Privatsphäre.

Heute wollen Unternehmen, Regierungen und Kriminelle gleichermaßen an unsere privaten Daten. Der im Grundgesetz verankerte Schutz der Privatsphäre verkommt zunehmend zur hohlen Floskel. Dem setzen die Whonix-Entwickler ein Betriebssystem [1] entgegen, das Anonymität und Sicherheit mit den Mitteln des Tor-Netzwerks und der Aufteilung und Isolation des Systems erreicht. Der GPLv3-lizenzierte Quellcode steht auf Github [2] zur Durchsicht bereit.

Whonix verwendet als Grundlage Debian 8 "Jessie" und setzt sich aus zwei unabhängigen Teilen zusammen: Der Gateway kümmert sich um den Datenaustausch mit der Außenwelt über das Tor-Netzwerk [3], die Workstation dient als Benutzerinterface. Sowohl Workstation als auch Gateway installieren Sie in Virtualbox [4] in zwei getrennte virtuelle Maschinen. Darüber hinaus bietet das Projekt auch fertige Maschinen für KVM zum Download an.

Somit ist es sammelwütigen Unternehmen und Regierungsstellen weder möglich, an die IP-Adresse des Nutzers zu gelangen, noch können Sie erfahren, welche Seiten er besucht. DNS- und IP-Leaks [5] gehören der Vergangenheit an, und die Stream Isolation [6] verhindert, dass mehrere Datenströme gleichzeitig über die gleichen Tor-Knoten laufen. Auch der Internet-Provider erfährt also nichts darüber, was in den Gast-VMs passiert.

Die umfangreiche Dokumentation zu Whonix liegt fast ausschließlich in Englisch vor und wirkt teilweise etwas unstrukturiert. Trotzdem empfiehlt sich ein genaues Studium – vor allem für jene, die sich mit Verschlüsselung und Anonymisierung noch nicht so gut auskennen. Als Einstiegspunkt dient eine Seite, die erklärt, was Whonix leistet und was nicht [7].

Grenzen der Sicherheit

Auch die Entwickler weisen auf der Projektwebseite auf die Grenzen dieser Sicherheit hin. Einen Beitrag muss immer auch der Anwender selbst leisten – da macht das Tor-Netzwerk keine Ausnahme. Es mischt den Datenverkehr des Einzelnen unter den vieler anderer Anwender und leitet ihn über drei zufällige Server, sogenannte Nodes, die Mitglieder der Community weltweit betreiben.

Das größte Problem in diesem Konstrukt stellt der letzte dieser drei Knoten dar, der sogenannte Exit Node. Er stellt die Verbindung zum eigentlichen Ziel her, wie etwa zu einer aufgerufenen Webseite. Geheimdienste stehen im Verdacht, solche Exit Nodes zu betreiben, um an die Daten der Nutzer beziehungsweise deren Identität zu gelangen. Darüber hinaus kann ein böswilliger Exit-Node-Betreiber mit einfachsten Mitteln den Datenstrom abhören. Hier hilft nur eine Ende-zu-Ende-Verschlüsselung via SSL respektive HTTPS, die auch nach dem Exit-Knoten die Daten uneinsehbar weitertransportiert.

Whonix besteht aus zwei Teilen, die mit dem Ziel zusammenarbeiten, die Daten des Anwenders bestmöglich zu schützen. Im Whonix-Gateway läuft eine Tor-Instanz, die anhand von Firewall-Anweisungen sowohl auf der Workstation als auch im Gateway sämtlichen Datenverkehr in das Tor-Netzwerk zwingt. Zudem konfiguriert das Projekt viele der Programme auf der Workstation bereits im Hinblick auf größtmögliche Sicherheit. Dabei schützt Whonix aber nur den Gast in der Virtualbox, nicht den Wirt, auf dem Virtualbox läuft. Kompromittiert beispielsweise Malware diesen, betrifft das auch die VMs.

Whonix aufsetzen

Whonix startet wahlweise in einer virtuellen Maschine oder als dediziertes System, das Sie etwa auf einer externen Festplatte installieren, die Sie bei Nichtverwenden sicher verwahren.

Workstation und Gateway laufen bei Bedarf auch auf verschiedenen Rechnern, ebenso ist der Betrieb mehrerer Gateways beziehungsweise Workstation möglich. Dieser Artikel beschreibt die einfachste Variante, die Installation in Virtualbox auf einem Linux-Host. Die weiteren Möglichkeiten erläutert eine ausführliche Dokumentation [7], die sich auf das Vorbereiten der Installation bezieht.

Die beiden Whonix-Komponenten laden Sie entweder von der Webseite des Projekts [8] herunter oder nutzen die Images, die Sie auf Seite B der zweiten Heft-DVD finden. Zusätzlich laden Sie auch den Signing-Key und die OpenPGP-Signatur zum Verifizieren der Quellen jeweils für Workstation und Gateway herunter und überprüfen damit die Images (siehe Kasten "Download prüfen").

Download prüfen

Die nachfolgende Beschreibung geht davon aus, dass auf Ihrem Rechner OpenGPG installiert ist. Nach dem Herunterladen der Software, der Signatur und der beiden Signaturschlüssel, die alle im gleichen Verzeichnis liegen müssen, öffnen Sie darin als normaler Nutzer eine Konsole. Darin laden Sie den Schlüssel herunter (Listing 1, Zeile 1) und gleichen das Gateway-Image mit der Signatur ab (Zeile 5). Das gleiche Prozedere wiederholen Sie anschließend für die Workstation.

Listing 1

$ cat patrick.asc | gpg --import
gpg: Schlüssel 8D66066A2EEACCDA: Öffentlicher Schlüssel "Patrick Schleizer <adrelanos@riseup.net>" importiert
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg:               importiert: 1 (RSA: 1)
$ gpg --verify Whonix-Gateway-12.0.0.3.2.ova.asc Whonix-Gateway-12.0.0.3.2.ova
gpg: Signatur vom Mo 16 Nov 2015 16:36:59 CET
gpg: mittels RSA-Schlüssel ID 77BB3C48
gpg: Korrekte Signatur von "Patrick Schleizer <adrelanos@riseup.net>"

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Unsichtbar
    Whonix ermöglicht in virtuellen Maschinen anonymes Surfen im Internet bei größtmöglicher Sicherheit und vollem Schutz der Privatsphäre.
  • Distribution Whonix sucht Entwickler

    Whonix, eine Debian-basierte Linux-Distribution zur anonymisierten Internetnutzung, sucht ehrenamtliche Mitarbeiter.
  • Mehrfach gesichert
    Subgraph OS will umfassende Sicherheit für nicht technikaffine Anwender realisieren. Schon die jetzt vorliegende Alpha-Version macht neugierig auf mehr.
  • Neues auf den Heft-DVDs
    Jeden Monat erscheinen neue, spannende Distributionen. Auf den Datenträgern zu dieser Ausgabe finden Sie eine Auswahl, die die Artikel im Heft optimal ergänzt und Ihnen so einen zeitraubenden Download erspart.
  • Neues auf den Heft-DVDs
    Nur mit dem optimalen System und der richtigen Software nutzen Sie das volle Potenzial Ihres Rechners. Mit der Heft-DVD erhalten Sie nicht nur topaktuelle Distributionen, sondern auch die passenden Programme zu den Artikeln.
Kommentare

Infos zur Publikation

LU 11/2017: Server für Daheim

Digitale Ausgabe: Preis € 8,50
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 2 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...
Backup mit KUP unter Suse 42.3
Horst Schwarz, 24.09.2017 13:16, 3 Antworten
Ich möchte auch wieder unter Suse 42.3 mit Kup meine Backup durchführen. Eine Installationsmöglic...
kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 5 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...