Whonix ermöglicht in virtuellen Maschinen anonymes Surfen im Internet bei größtmöglicher Sicherheit und vollem Schutz der Privatsphäre.

Heute wollen Unternehmen, Regierungen und Kriminelle gleichermaßen an unsere privaten Daten. Der im Grundgesetz verankerte Schutz der Privatsphäre verkommt zunehmend zur hohlen Floskel. Dem setzen die Whonix-Entwickler ein Betriebssystem [1] entgegen, das Anonymität und Sicherheit mit den Mitteln des Tor-Netzwerks und der Aufteilung und Isolation des Systems erreicht. Der GPLv3-lizenzierte Quellcode steht auf Github [2] zur Durchsicht bereit.

Whonix verwendet als Grundlage Debian 8 “Jessie” und setzt sich aus zwei unabhängigen Teilen zusammen: Der Gateway kümmert sich um den Datenaustausch mit der Außenwelt über das Tor-Netzwerk [3], die Workstation dient als Benutzerinterface. Sowohl Workstation als auch Gateway installieren Sie in Virtualbox [4] in zwei getrennte virtuelle Maschinen. Darüber hinaus bietet das Projekt auch fertige Maschinen für KVM zum Download an.

Somit ist es sammelwütigen Unternehmen und Regierungsstellen weder möglich, an die IP-Adresse des Nutzers zu gelangen, noch können Sie erfahren, welche Seiten er besucht. DNS- und IP-Leaks [5] gehören der Vergangenheit an, und die Stream Isolation [6] verhindert, dass mehrere Datenströme gleichzeitig über die gleichen Tor-Knoten laufen. Auch der Internet-Provider erfährt also nichts darüber, was in den Gast-VMs passiert.

Die umfangreiche Dokumentation zu Whonix liegt fast ausschließlich in Englisch vor und wirkt teilweise etwas unstrukturiert. Trotzdem empfiehlt sich ein genaues Studium – vor allem für jene, die sich mit Verschlüsselung und Anonymisierung noch nicht so gut auskennen. Als Einstiegspunkt dient eine Seite, die erklärt, was Whonix leistet und was nicht [7].

Grenzen der Sicherheit

Auch die Entwickler weisen auf der Projektwebseite auf die Grenzen dieser Sicherheit hin. Einen Beitrag muss immer auch der Anwender selbst leisten – da macht das Tor-Netzwerk keine Ausnahme. Es mischt den Datenverkehr des Einzelnen unter den vieler anderer Anwender und leitet ihn über drei zufällige Server, sogenannte Nodes, die Mitglieder der Community weltweit betreiben.

Das größte Problem in diesem Konstrukt stellt der letzte dieser drei Knoten dar, der sogenannte Exit Node. Er stellt die Verbindung zum eigentlichen Ziel her, wie etwa zu einer aufgerufenen Webseite. Geheimdienste stehen im Verdacht, solche Exit Nodes zu betreiben, um an die Daten der Nutzer beziehungsweise deren Identität zu gelangen. Darüber hinaus kann ein böswilliger Exit-Node-Betreiber mit einfachsten Mitteln den Datenstrom abhören. Hier hilft nur eine Ende-zu-Ende-Verschlüsselung via SSL respektive HTTPS, die auch nach dem Exit-Knoten die Daten uneinsehbar weitertransportiert.

Whonix besteht aus zwei Teilen, die mit dem Ziel zusammenarbeiten, die Daten des Anwenders bestmöglich zu schützen. Im Whonix-Gateway läuft eine Tor-Instanz, die anhand von Firewall-Anweisungen sowohl auf der Workstation als auch im Gateway sämtlichen Datenverkehr in das Tor-Netzwerk zwingt. Zudem konfiguriert das Projekt viele der Programme auf der Workstation bereits im Hinblick auf größtmögliche Sicherheit. Dabei schützt Whonix aber nur den Gast in der Virtualbox, nicht den Wirt, auf dem Virtualbox läuft. Kompromittiert beispielsweise Malware diesen, betrifft das auch die VMs.

Whonix aufsetzen

Whonix startet wahlweise in einer virtuellen Maschine oder als dediziertes System, das Sie etwa auf einer externen Festplatte installieren, die Sie bei Nichtverwenden sicher verwahren.

Workstation und Gateway laufen bei Bedarf auch auf verschiedenen Rechnern, ebenso ist der Betrieb mehrerer Gateways beziehungsweise Workstation möglich. Dieser Artikel beschreibt die einfachste Variante, die Installation in Virtualbox auf einem Linux-Host. Die weiteren Möglichkeiten erläutert eine ausführliche Dokumentation [7], die sich auf das Vorbereiten der Installation bezieht.

Die beiden Whonix-Komponenten laden Sie entweder von der Webseite des Projekts [8] herunter oder nutzen die Images, die Sie auf Seite B der zweiten Heft-DVD finden. Zusätzlich laden Sie auch den Signing-Key und die OpenPGP-Signatur zum Verifizieren der Quellen jeweils für Workstation und Gateway herunter und überprüfen damit die Images (siehe Kasten “Download prüfen”).

$ cat patrick.asc | gpg --import
gpg: Schlüssel 8D66066A2EEACCDA: Öffentlicher Schlüssel "Patrick Schleizer <adrelanos@riseup.net>" importiert
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg:               importiert: 1 (RSA: 1)
$ gpg --verify Whonix-Gateway-12.0.0.3.2.ova.asc Whonix-Gateway-12.0.0.3.2.ova
gpg: Signatur vom Mo 16 Nov 2015 16:36:59 CET
gpg: mittels RSA-Schlüssel ID 77BB3C48
gpg: Korrekte Signatur von "Patrick Schleizer <adrelanos@riseup.net>"

Gateway

Danach öffnen Sie Virtualbox und klicken im Menü auf Datei | Appliance importieren. Wählen Sie im Dateimanager zunächst das Gateway-Image aus, und importieren Sie es in eine VM (Abbildung 1). Das Gleiche wiederholen Sie mit dem Image der Workstation. Die virtuellen Maschinen benötigen in der Grundeinstellung jeweils 768 MByte an Hauptspeicher.

Genügt dazu das RAM der verwendeten Rechner nicht, reduzieren Sie die den Images zugeteilte Speichermenge in den Einstellungen unter System | Hauptspeicher auf jeweils 512 MByte. Im Notfall läuft das Gateway auch mit 128 MByte Arbeitsspeicher, dann jedoch ohne grafische Oberfläche. Diese benötigen Sie nach der Erstkonfiguration aber ohnehin nicht mehr.

Abbildung 1: Das Importmodul von Virtualbox erlaubt die problemlose Integration von Whonix.

Nach dem ersten Start des Gateways erscheint eine Erklärung, die über Risiken, Haftung und Lizenzen informiert. Bestätigen Sie diese, folgt ein Abfragedialog, ob sich das System automatisch aktualisieren soll.

Der Name des Nutzerkontos lautet user, das für den Admin wie üblich root. Für beide authentifizieren Sie sich mit dem voreingestellten Passwort changeme, das Sie wörtlich nehmen und umgehend ändern sollten. Danach gelangen Sie auf den darunterliegenden KDE-Desktop.

Dort stellen Sie als Erstes die Tastatur auf Deutsch um. Wechseln Sie dazu im KDE-Menü zu Applications | Settings | System Settings | Input Devices | Layouts und aktivieren Sie Configure Layout (Abbildung 2). Darin stellen Sie die Tastatur auf ger (german) um und entfernen das englische Layout.

Abbildung 2: Damit der Whonix-Gateway deutsche Tastatureingaben versteht, gilt es, diese einzurichten.

Workstation

Der Installationsverlauf bei der Workstation entspricht weitgehend jenem beim Gateway. Zunächst aktualisieren Sie das System (Listing 2, erste Zeile) und lokalisieren dann die wichtigsten Applikationen (zweite Zeile). Als Nächstes fügen Sie in den Systemeinstellungen im Abschnitt Locale unter LanguagesGerman hinzu und melden sich neu bei KDE an. Bei einem Klick auf das Icon für den Tor-Browser stellen Sie fest, dass dieser nicht vorinstalliert ist – das hat markenrechtliche Gründe, die Mozilla und Debian betreffen.

# apt-get update && apt-get dist-upgrade
# apt-get install task-german-kde-desktop iceweasel-l10n-de

Lassen Sie sich bei der Arbeit mit der Workstation nicht von einem Fenster irritieren, das sich regelmäßig öffnet: Das Skript whonixcheck [9] prüft dann, ob alle Anonymisierungsbemühungen von Whonix aktiv und alle Pakete auf dem neuesten Stand sind (Abbildung 3). Erscheint hier ein rotes Warnzeichen, dann stimmt etwas nicht, und Sie sollten dem auf den Grund gehen. Das Skript rufen Sie bei Bedarf auch manuell in einer Konsole auf.

whonixcheck prüft beim Start der Workstation, ob sich das System auf dem aktuellen Patchlevel befindet und eine Verbindung zum Tor-Gateway besteht.” width=”300″ height=”127″ /> Abbildung 3: Das Skript whonixcheck prüft beim Start der Workstation, ob sich das System auf dem aktuellen Patchlevel befindet und eine Verbindung zum Tor-Gateway besteht.

Ein Blick in das KDE-Menü zeigt eine Auswahl von Programmen, die so weit möglich bereits strikte Sicherheitseinstellungen mitbringen. Die Dokumentation enthält Hinweise, wie Sie nachträglich installierte Programme absichern. Das gilt insbesondere für Kommunikationsanwendungen wie Messenger und IRC-Clients sowie Browser-Erweiterungen wie den Flashplayer.

Um den E-Mail-Client Icedove (Debians Thunderbird-Version) ebenfalls übers Tor-Netz zu nutzen, verwenden Sie die Erweiterung Torbirdy [10]. Damit E-Mails auch nach Verlassen des Exit-Knotens wirklich privat bleiben, müssen Sie diese allerdings verschlüsseln. Hierzu bietet sich das vorinstallierte OpenGPG an.

Für das Erzeugen eines Schlüsselpaars nutzen Sie entweder das Programm Kgpg oder den Konsolenbefehl gpg --gen-key. Weiterführende Informationen zu GPG finden Sie im Online-Tutorial [11].

Verwenden Sie Icedove als Mailclient, greifen Sie der Einfachheit halber zur bereits vorinstallierten Erweiterung Enigmail (Abbildung 4), die interaktiv ein Schlüsselpaar erzeugt und den Mailer für das Verschlüsseln von Nachrichten vorbereitet.

Abbildung 4: Der Enigmail-Einrichtungsassistent hilft Ihnen dabei, GPG in Whonix zu integrieren.

Ausblick und Fazit

Die erschütternde Klassifizierung einer Linux-Plattform wie des “Linux Journal” durch die NSA als Extremistenforum [12] kann die Entscheidung zum Schutz der eigenen Daten und der eigenen Netzexistenz nur weiter bestärken.

Möchten Sie anonym surfen, mailen und chatten, finden Sie in Whonix die geeignete Plattform dafür (Abbildung 5). Allerdings kommt es prinzipbedingt durch das Nutzen von Tor zu spürbaren Verzögerungen beim Surfen, was in erster Linie an den relativ hohen Latenzzeiten liegt. Die durchschnittliche Bandbreite im Tor-Netz lässt dagegen kaum Wünsche offen, sie liegt fast durchgängig im Bereich über 500 KByte/s. Das genügt zum Surfen und Chatten vollkommen.

Abbildung 5: Die Webseite Ip-check.info gibt unter anderem Aufschluss darüber, mit welcher IP-Adresse Sie im Netz unterwegs sind.

Zukünftig soll es einfacher vonstatten gehen, andere Desktops als KDE einzubinden. In einer weiteren Ausbaustufe möchte der Entwickler auch eine grafische Voreinstellung für die Tastaturbelegung integrieren.