Die Kommunikation im Internet unterliegt permanent dem Risiko, abgehört zu werden. Wir zeigen, wie Sie neugierige Lauscher ausschließen.

Kommunikation im Internet birgt immer das Risiko, dass jemand mithört, den es eigentlich nichts angeht. Viele Anwender wünschen sich daher einfach zu bedienende Verschlüsselungsmethoden. Doch aufgrund der zahlreichen Kommunikationsformen im Netz mit meist jeweils eigenen Protokollen und Übertragungswegen der Daten fehlt bislang eine einheitliche Lösung.

Hinzu kommt, dass die meisten Dienste auf Client-Server-Architekturen basieren, bei denen der Server als zentraler Datenspeicher ein bevorzugtes Ziel von Angriffen darstellt. Fehler in der Serverkonfiguration lassen sich als Einfallstor für Schad- und Spionagesoftware missbrauchen, wobei der ahnungslose Anwender in aller Regel keinen Einfluss auf die Serverkonfiguration nehmen kann, da es sich um zentralisierte Dienste handelt, die ein kommerzieller Anbieter betreibt.

Erheblich sicherer lässt es sich dagegen über ein Peer-to-Peer-Netz kommunizieren. Damit dabei aufgrund der unterschiedlichen Protokolle und Übertragungswege keine umständlichen Installationsorgien entstehen, gibt es das grafische Programm Retroshare, welches multifunktionale Kommunikation in einer einheitlichen Oberfläche vereint.

Funktionsweise

Bei dem seit 2006 entwickelten und unter der GNU GPL stehenden Retroshare handelt es sich um ein sogenanntes Friend-to-Friend-Netzwerk (F2F) [1]. Prinzipiell arbeitet es wie ein Peer-to-Peer-Netz ohne zentrale Server-Instanz, bei dem jedoch die beteiligten Teilnehmer auf einer Vertrauensbasis miteinander kommunizieren.

Um ein gewisses Grundvertrauen zu gewährleisten, erfordert die Kommunikation zwischen zwei Retroshare-Teilnehmern den Austausch ihrer RSA-Schlüssel, welche die Software selbst generiert. Die Applikation erlaubt dabei auch das sogenannte Turtle-Hopping.

Diese Kommunikationsform gibt Dateien und Informationen über mehrere Computersysteme im Retroshare-Netz verteilt weiter, auch dann, wenn Quell- und Zielrechner nicht direkt miteinander bekannt sind oder sich durch einen gegenseitig gespeicherten öffentlichen Schlüssel authentifiziert haben.

Die zwischen Quell- und Zielrechner liegenden maximal sieben durchleitenden Nodes kennen jedoch die Systeme, von denen sie unmittelbar die Daten und Informationen erhalten und auch jene Nachbarschaft-Nodes, an die sie Inhalte weiterleiten.

Das gewährleistet, dass sich eine Kette von jeweils paarweise miteinander bekannten und authentifizierten Rechnern ergibt und sich die Datenspionage durch Man-in-the-Middle-Angriffe ausschließen lässt. Da den Transportweg und die Daten selbst OpenSSL und OpenPGP verschlüsseln, ergibt sich eine sehr hohe Datensicherheit.

Vielfältig

Retroshare erhalten Sie über verschiedene Wege. Sie finden es zum Beispiel in den Software-Repositories vieler Linux-Distributionen. Während ALT-Linux, Slackware, Gentoo und ROSA-Linux ihre eigenen Pakete pflegen, finden Sie auf der Webseite des Projekts [2] verschiedene Links zu den Repositories, unter anderem für Arch, Debian, CentOS, Fedora, Mageia, Ubuntu und OpenSuse.

Sollten Sie trotz dieser Auswahl kein passendes Paket finden, so erhalten Sie neben dem Quellcode auch noch zwei AppImages, die sich in praktisch jedem beliebigen Linux-System starten lassen. Sie verbindet, dass sie ausschließlich unter 64-Bit-Hardware starten. Die in die Paketverwaltungen eingepflegten Binaries eignen sich hingegen teilweise auch für 32-Bit-Umgebungen. Selbst für ARMv7- und ARMv8-basierte Computer wie den Raspberry Pi stehen zwei AppImages bereit.

Installation

Die Installation distributionsspezifischer Pakete nehmen Sie anhand der Anleitungen vor, die Sie auf der Webseite des Projekts im Download-Bereich finden. In beiden Fällen integriert die Software einen Starter im Startmenü.

Um das AppImage initial zu laden, benötigt es Ausführungsrechte, was Sie ihm mithilfe des Befehls chmod +x <Name-des-Images> gewähren.

Retroshare erwartet nach dem Start in einem grafischen Assistenten zunächst die Eingabe einiger persönlicher Daten zum Anlegen eines Nutzerkontos. Im ersten Schritt legen Sie im Eingangsbildschirm einen Nutzernamen, ein Passwort und einen Namen für Ihren Knoten fest. Durch Mausbewegungen generieren Sie abschließend einen PGP-Key mit voreingestellt 2048 Bit Länge (Abbildung 1).

Abbildung 1: Beim ersten Start generiert Retroshare einen PGP-Schlüssel, der als Authentifizierungsbasis für zukünftige Verbindungen dient.

Schlüsselfrage

Der Schlüssel lässt sich durch Auswahl einer entsprechenden Option auch mit 3072 oder 4096 Bit Länge generieren. Dieser Vorgang dauert eine gewisse Zeit, ein Fortschrittsbalken am unteren Fensterrand gibt Auskunft darüber. Nach einem Klick auf Go! gelangen Sie in ein Programmfenster mit einer überlappenden Startseite, die Ihnen zeigt, wie Sie erste Peer-to-Peer-Verbindungen zwischen Knoten herstellen.

Das erfordert den Austausch öffentlicher Zertifikate zwischen den einzelnen Teilnehmern, die ein Schlüsselbund auf dem jeweiligen Zielrechner sammelt. Retroshare zeigt im Eingangsfenster den für Ihr System generierten Key an und bietet nach einem Klick auf das Teilen-Symbol oben rechts über der Schlüsselanzeige verschiedene Optionen, wie Sie den Schlüssel nutzen und austauschen.

Da dieser RSA-Key stets vorhanden sein muss, wenn Sie neue Partner in Ihr Netzwerk einbinden, empfiehlt es sich, ihn zunächst in einer Datei zu sichern. Anschließend laden Sie per Mail oder durch Nutzung anderer Übertragungswege Kontaktpersonen ein, indem Sie Ihren Schlüssel an diese übermitteln.

Erhalten Sie von einer anderen Person einen Key, so fügen Sie diesen im Dialog Add friends certificate dem Schlüsselbund hinzu. Die Software validiert ihn danach und fügt den Kontakt Ihrem Netzwerk hinzu (Abbildung 2). Im System-Tray erscheint dazu eine kurze Benachrichtigung.

Abbildung 2: Mithilfe eines Assistenten stellen Sie die Verbindung zu anderen Partnern her.

Netzwerk

Da Retroshare ein Overlay-Netzwerk darstellt, passiert es gelegentlich, dass trotz korrekt übermittelter und in die Software eingebundener Schlüssel keine Verbindung zwischen den beiden Partnern zustande kommt. Die Software nutzt zwar die UPnP-Technologie und bedarf daher meist keiner manuellen Einstellungen.

Sollte es jedoch trotzdem im Kontext mit DSL- oder MiFi-Routern zu Problemen beim Verbindungsaufbau kommen, so müssen Sie manuell am Router eine Portweiterleitung auf den Rechner einrichten, auf dem Retroshare läuft. Verwenden Sie dafür einen unprivilegierten Port über 1024.

Der gewählte Port muss anschließend auf dieselbe Portnummer auf dem Retroshare-System verweisen, und zwar sowohl für das UDP- als auch für das TCP-Protokoll. Danach stellen Sie die Portweiterleitung in Retroshare ein, indem Sie im Programmfenster zunächst die Option Preferences und anschließend Netzwerk | Netzwerkkonfiguration anwählen. Im Feld NAT stellen Sie den Eintrag auf Portweiterleitung von Hand ein und tragen darunter die von Ihnen weitergeleiteten Portnummern ein. Danach sollte der Verbindungsaufbau klappen.

Oberflächliches

Das Hauptfenster bietet Ihnen in einer horizontal angeordneten Buttonleiste oben zahlreiche Dienste, die Sie üblicherweise nur als jeweils eigenständige Programme erhalten: Neben einem Mail-Dienst finden Sie hier auch ein Chat-Modul sowie Optionen zum Dateitransfer oder eine Forenfunktion, mit der sich Diskussionsforen ähnlich wie im öffentlichen Internet aufbauen lassen.

Dabei dürfen Sie Beiträge auch offline schreiben und erst, wenn der Rechner wieder online geht, verschicken. Auch eine Link-Seite steht zur Verfügung, die es erlaubt, Dateien in Gestalt von Links im Retroshare-Netz zu teilen.

Erweiterbar

Dank eines innovativen Plugin-Konzeptes lässt sich Retroshare problemlos ausbauen. Derzeit stehen unter anderem Erweiterungen für VoIP-Verbindungen oder auch Feedreader zur Verfügung. Diese installieren Sie gemäß der entsprechenden Anleitung, worauf sie als neue Option in der Buttonleiste des Programmfensters erscheinen.

Auch ein Schachspiel, das zwei Retroshare-Nutzern erlaubt, übers Netz zu spielen, steht als Erweiterung bereit. Hier gilt es, zu beachten, dass manche Plugins noch als experimentell gelten, und Sie diese daher in Produktivumgebungen unter Umständen aus Stabilitätsgründen nicht einsetzen sollten.

Datenaustausch

Retroshare gestattet zwar Dateiübertragungen, lässt sich jedoch nicht direkt mit einem herkömmlichen Cloud-System vergleichen. Während bei Cloud-Anwendungen die Synchronisation der Datenbestände über mehrere Rechner eines Intranets hinweg im Vordergrund steht, repräsentiert Retroshare eher eine Filesharing-Plattform zum Datenaustausch.

So lassen sich Dateien nicht nur an Ihre Freunde, sondern auch an Knoten versenden, die nicht direkt mit Ihrem Computersystem in Kontakt stehen. In allen Fällen gewährleistet die Software dabei eine vollständige Verschlüsselung der Daten – auch bei der Übertragung.

Für den Datenaustausch klicken Sie zunächst auf Files. Im folgenden Fenster wechseln Sie zunächst in den Reiter Eigene Dateien und doppelklicken auf den Eintrag Eigene Dateien in der Listenansicht. Daraufhin klappt ein Submenü aus, auf das Sie rechsklicken und aus dem Kontextmenü Ordner öffnen anwählen.

Daraufhin öffnet Ihr Dateimanager das Freigabeverzeichnis von Retroshare, in welches Sie die freizugebenden Dateien per Drag &  Drop ziehen. Wenn Sie danach im Files-Dialog einen Doppelklick auf den Freigabeordner ausführen, erscheinen die darin abgelegten Dateien in einer Listenansicht. Sollte das nicht der Fall sein, klicken Sie auf den Button Dateien prüfen.

Markieren Sie nun die Dateien, die Sie freigeben möchten und öffnen mit einem Rechtsklick darauf das Kontextmenü. Darin wählen Sie die Option Retroshare-Links senden. Daraufhin öffnet sich das Mailfenster mit Links auf die betreffenden Dateien im Nachrichtenbereich (Abbildung 3).

Abbildung 3: Mit einer automatisch generierten E-Mail senden Sie Links der freigegebenen Dateien an Kontaktpersonen aus Ihrer Liste.

Im linken Bereich des Mailfensters wählen Sie die Empfänger, die nach einem Klick auf den Senden-Button eine entsprechende Mail erhalten und durch einen Klick auf einen der Datei-Links den Download starten.

Dazu öffnet sich ein gesondertes Download-Fenster, in welchem die Empfänger das Kopieren der gewünschten Datei nochmals mit einem Klick auf den Button Herunterladen bestätigen. Öffnen die Empfänger nun den Files-Dialog und klicken auf den Reiter Downloads, so erscheinen die laufenden Downloads ebenso wie die abgeschlossenen in einer Liste. Beachten Sie, dass das Herunterladen insbesondere großer Dateien aufgrund der Integritätsprüfung etwas Zeit beansprucht (Abbildung 4).

Abbildung 4: Das Herunterladen freigegebener Dateien auf den Zielrechner verfolgen Sie nahezu in Echtzeit.

Der Empfänger findet sie danach im Reiter Eigene Dateien des Files-Dialogs. Dort lassen sie sich nach einem Rechtsklick darauf und der Anwahl von Datei öffnen betrachten. Dafür greift Retroshare auf externe Systemprogramme zurück.

Im Dialog Downloads des Files-Fensters lässt sich nach einem Rechtsklick auf eine der Dateien und der Auswahl der Option Ordner öffnen der entsprechende Ordner mit den freigegebenen Dateien öffnen.

Sie dürfen auch zusätzliche Ordner zur Freigabe anlegen, und diese beispielsweise gruppenspezifisch nutzen. Die Software erlaubt es, Dateien nicht nur direkt zwischen zwei unmittelbar miteinander verbundenen Nodes auszutauschen, sondern auch über verschlüsselte, anonyme Tunnel, die bis zu sieben Hops weit reichen.

Zu beachten gilt, dass bei Hops über mehrere Instanzen hinweg alle daran beteiligten Nodes eingeschaltet und im Netz angemeldet sein müssen: Ist auf dem Übertragungsweg ein Node deaktiviert, unterbricht das den Weg zum Zielrechner, und die Übertragung scheitert.

Um nur einzelne Dateien an direkte Kommunikationspartner zu übermitteln, eignet sich auch die Chatfunktion. Im Chatfenster, welches Sie durch einen Doppelklick auf den Partner im Fenster Netzwerk öffnen, befindet sich am unteren Rand unter dem Chatverlauf eine kleine Buttonleiste.

In dieser finden Sie ein Büroklammer-Symbol, welches den Versand von Anhängen gestattet. Diese wählen Sie komfortabel in einem Dateimanager aus. Wenn Sie offline eine Nachricht schreiben versendet die Software die Nachricht oder den Anhang zeitverzögert sobald wieder eine Verbindung besteht. Auch Rundschreiben an mehrere Empfänger lassen sich auf diese Weise mit Anhängen versehen (Abbildung 5).

Abbildung 5: Auch der integrierte Chat erlaubt es, Dateien zu Kommunikationspartnern zu übertragen.

Tor-Netzwerk

Für besonders vorsichtige Naturen, denen die Verschlüsselungsmechanismen von Retroshare nicht ausreichen, bieten die Entwickler zusätzlich eine Variante, die ausschließlich das Tor-Netzwerk als Transport-Layer nutzt [3]. Diese Variante finden Sie auf der Webseite des Projekts als AppImage für 64-Bit-Hardware.

In den Software-Repositories der gängigen Linux-Distributionen fehlt die Tor-Version von Retroshare in aller Regel. Im Unterschied zur herkömmlichen Variante integriert diese bereits einen vorkonfigurierten Tor-Client, sodass Sie keine zusätzlichen Installationen vornehmen müssen. Die Bedienoberfläche dieser Variante unterscheidet sich nicht von der herkömmlichen Version.

Die Tor-Variante eignet sich insbesondere für Anwender, die Kontakte zu anderen nicht persönlich bekannten Nutzern pflegen. Retroshare baut bei dieser Variante die Verbindung zum Tor-Netzwerk automatisch auf. Im Programmfenster finden Sie unten mittig das Tor-Zwiebelsymbol zur Visualisierung der Verbindung (Abbildung 6).

Abbildung 6: Anonym auch für nicht persönlich bekannte Partner: Retroshare erlaubt auch die Kommunikation über das Tor-Netz.

Fazit

Retroshare ermöglicht eine rundum sichere Kommunikation mit Ende-zu-Ende-Verschlüsselung, Passwortschutz und bei Bedarf auch der Integration des Tor-Netzwerks. Die Software besitzt eine eingängige Oberfläche und arbeitet stabil.

Das Programm ist zudem weitgehend in die deutsche Sprache lokalisiert und eignet sich daher bestens für jede Art von Kommunikation zwischen vertrauenswürdigen Partnern, die Wert auf ein Maximum an Sicherheit legen.