Aus LinuxUser 09/2014

Whonix: Anonym surfen via Tor

© Oleg Belov, 123RF

Unsichtbar

Whonix ermöglicht in virtuellen Maschinen anonymes Surfen im Internet bei größtmöglicher Sicherheit und vollem Schutz der Privatsphäre.

Heutzutage wollen Unternehmen, Regierungen und Kriminelle gleichermaßen an unsere privaten Daten. Der im Grundgesetz verankerte Schutz der Privatsphäre verkommt zunehmend zur hohlen Floskel. Dem setzen die Whonix-Entwickler ein Betriebssystem entgegen [1], das Anonymität und Sicherheit mit den Mitteln des Tor-Netzwerks und der Aufteilung und Isolation des Systems erreicht. Der GPL-3-lizenzierte Quellcode steht auf GitHub [2] zur Durchsicht bereit.

Whonix verwendet als Grundlage Debian „Stable“ und setzt sich aus zwei unabhängigen Teilen zusammen: Der Gateway kümmert sich um den Datenaustausch mit der Außenwelt über das Tor-Netzwerk [3], die Workstation dient als Benutzerinterface. Sowohl Workstation als auch Gateway installieren Sie in Virtualbox [4] in zwei getrennte virtuelle Maschinen.

Somit ist es sammelwütigen Unternehmen und Regierungsstellen weder möglich, an die IP-Adresse des Nutzers zu gelangen, noch zu erfahren, welche Seiten er besucht. DNS- und IP-Leaks [5] gehören der Vergangenheit an, und die Stream-Isolation [6] verhindert, dass mehrere Datenströme gleichzeitig über die gleichen Tor-Knoten laufen. Auch der Internet-Provider erfährt also nichts darüber, was in den Gast-VMs passiert.

Die umfangreiche Dokumentation zu Whonix liegt fast ausschließlich in Englisch vor und wirkt teilweise etwas unstrukturiert. Trotzdem empfiehlt sich ein genaues Studium, vor allem für jene, die sich mit Verschlüsselung und Anonymisierung noch nicht so gut auskennen. Als Einstiegspunkt dient die Seite, die erklärt, was Whonix leistet und was nicht [7].

Grenzen der Sicherheit

Die Entwickler weisen auf der Projektwebseite ebenfalls auf die Grenzen dieser Sicherheit hin. Ein Teil der Sicherheit muss immer auch der Anwender selbst leisten – so auch beim Tor-Netzwerk. Das versteckt den Datenverkehr des Einzelnen in dem vieler anderer Anwender und leitet ihn über drei zufällige Server, sogenannte Nodes, die Mitglieder der Community weltweit betreiben.

Das größte Problem in diesem Konstrukt stellt der letzte dieser drei Knoten dar, sogenannte Exit Nodes. Er stellt die Verbindung zum eigentlichen Ziel her, wie etwa zu einer aufgerufenen Webseite. Geheimdienste stehen im Verdacht, solche Exit Nodes zu betreiben, um an die Daten der Nutzer beziehungsweise deren Identität zu gelangen. Darüber hinaus ist der Exit-Node-Betreiber mit einfachsten Mitteln in der Lage, den Datenstrom abzuhören. Hier hilft nur eine Ende-zu-Ende-Verschlüsselung, die auch nach dem Exit-Knoten Ihre Daten uneinsehbar weitertransportiert.

Whonix besteht aus zwei Teilen, die mit dem Ziel zusammenarbeiten, die Daten des Anwenders bestmöglich zu schützen. Im Whonix-Gateway läuft eine Tor-Instanz, die anhand von Firewall-Anweisungen sowohl auf der Workstation als auch im Gateway sämtlichen Datenverkehr in das Tor-Netzwerk zwingt. Zudem konfiguriert das Projekt viele der Programme auf der Workstation bereits im Hinblick auf größtmögliche Sicherheit. Dabei schützt Whonix aber nur den Gast in der Virtualbox, nicht den Wirt, auf dem Virtualbox läuft. Kompromittiert beispielsweise Malware diesen, sind auch die VMs nicht mehr sicher.

Whonix aufsetzen

Whonix startet wahlweise in einer virtuellen Maschine oder als dediziertes System, das Sie etwa auf einer externen Festplatte installieren, die Sie bei Nichtverwenden sicher verwahren.

Workstation und Gateway laufen bei Bedarf auch auf verschiedenen Rechnern, ebenso ist der Betrieb mehrerer Gateways möglich. Der Artikel beschreibt die einfachste Variante, die Installation in Virtualbox auf einem Linux-Host. Die weiteren Möglichkeiten erläutert eine ausführliche Dokumentation [7], die sich auf das Vorbereiten der Installation bezieht.

Die beiden Whonix-Komponenten laden Sie entweder von der Webseite des Projekts [8] herunter oder nutzen die Images auf dem beiliegenden Datenträger. Zusätzlich laden Sie auch den Signing-Key und die OpenPGP-Signatur zum Verifizieren der Quellen jeweils für Workstation und Gateway herunter und überprüfen damit die Images (siehe Kasten „Download prüfen“).

Download prüfen

Die nachfolgende Beschreibung geht davon aus, dass auf Ihrem Rechner OpenGPG installiert ist. Nach dem Download der Software, der Signatur und der beiden Signaturschlüssel, die alle im gleichen Verzeichnis liegen müssen, öffnen Sie darin als normaler Nutzer eine Konsole. Darin laden Sie den Schlüssel herunter (Listing 1, Zeile 1) und gleichen das Gateway-Image mit der Signatur ab (Zeile 5). Das gleiche Prozedere wiederholen Sie anschließend für die Workstation.

Listing 1

$ cat patrick.asc | gpg --import
gpg: Schlüssel 8D66066A2EEACCDA: Öffentlicher Schlüssel "Patrick Schleizer <adrelanos@riseup.net>" importiert
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg:               importiert: 1 (RSA: 1)
$ gpg --verify Whonix-Gateway-8.2.ova.asc Whonix-Gateway-8.2.ova
gpg: Unterschrift vom So 13 Apr 2014 15:52:55 CEST
gpg:        mittels RSA-Schlüssel CB8D50BB77BB3C48
gpg: Korrekte Unterschrift von "Patrick Schleizer <adrelanos@riseup.net>"

Gateway

Danach öffnen Sie Virtualbox und klicken im Menü auf Datei | Appliance importieren (Abbildung 1). Wählen Sie im Dateimanager zunächst das Gateway-Image aus und importieren es in eine VM. Das Gleiche wiederholen Sie mit dem Image der Workstation. Die virtuellen Maschinen benötigen in der Grundeinstellung jeweils etwa 750 MByte an Hauptspeicher.

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 5 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
KAUFEN
LinuxUser 09/2014 KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS
Deutschland

Hinterlasse einen Kommentar

2 Kommentare auf "Whonix: Anonym surfen via Tor"

  E-Mail Benachrichtigung  
Neuste Älteste Beste Bewertung
Benachrichtige mich zu:

Warum die Dokumentation umfangreich und unstrukturiert wirkt, läßt sich leicht sagen: die Skills des „Entwicklers“ beschränken sich in erster Linie darauf, Dinge aus dem Internet zusammenzukopieren und nicht einmal das Minimum vieler freien Lizenzen (Attribution) einzuhalten. „Entwickler“ unter Anführungszeichen, weil die Konzepte durchwegs geklaut wurden und die Qualität des bisschen Code, das selbst geschrieben wurde, ausgesprochen gering ist. Meine Empfehlung: Finger weg von diesem Projekt, wenn Sicherheit bzw. Anonymität ein Kriterium sind.

Wo wurde Attribution verletzt?