Newsgroups: de.comp.security,de.org.ccc,de.answers,news.answers Followup-To: de.comp.security Path: senator-bedfellow.mit.edu!bloom-beacon.mit.edu!howland.erols.net!newspharm.inet.tele.dk.MISMATCH!news.tele.dk!small.news.tele.dk!195.21.255.252!unlisys!news.snafu.de!wuff.zikzak.de!news.iks-jena.de!not-for-mail From: Lutz.Donnerhacke@Jena.Thur.De (Lutz Donnerhacke) Approved: news-answers-request@MIT.EDU Subject: <2000/03/03> Anonyme Remailer FAQ [German] Expires: Tue, 30 Oct 2001 13:47:03 GMT Date: Thu, 20 Sep 2001 12:47:03 GMT Supersedes: Message-ID: Mime-Version: 1.0 Content-Type: text/plain; charset=ISO-8859-1 Content-Transfer-Encoding: 8bit Content-Language: de Content-Location: http://www.iks-jena.de/mitarb/lutz/anon/remail.html Content-Disposition: inline; filename=de-security/anon-remail-faq; modification-date="2000/03/03" Lines: 328 Xref: senator-bedfellow.mit.edu de.org.ccc:127433 de.answers:6083 news.answers:215704 Archive-name: de-security/anon-remail-faq Last-modified: 2000/03/03 Posting-Frequency: monthly URL: http://www.iks-jena.de/mitarb/lutz/anon/remail.html Linkstatistik Zurück Anonyme Remailer Anonymous Remailer FAQ by Andre Bacard, Author of Computer Privacy Handbook ("The Scariest Computer Book of the Year") [FAQ Updated November 15, 1996] Translated by Lutz Donnerhacke to spread this knowledge. This translation is GPLed. Last changes: 20.12.1996 Die geplante Kryptoregulierung der Bundesregierung kann die Benutzung dieser Software für ILLEGAL erklären! _________________________________________________________________ Dieser Text ist eine einfach gehaltende Einführung in das Gebiet der "anonymen" und "pseudo-anonymen" Remailer. Er soll helfen, zu entscheiden, ob mensch diese Techniken zum besseren Schutz der Privatsphäre nutzen will oder nicht. Ich habe ihn speziell für humorvolle Personen geschrieben. Diese (unveränderte) FAQ kann für den nichtkommerziellen Gebrauch frei verbreitet werden. Was ist ein Remailer? Ein Remailer ist ein Computerdienst, der Deine eMail entpersonalisiert. Ein Remailer ermöglicht es, in eine Usenet-Newsgruppe zu posten oder jemandem eine eMail zu schicken, ohne daß der Emfänger Deinen Namen oder Deine eMail-Adresse herausbekommt. Bis heute sind alle beliebten Remailer kostenlos. Warum solltest DU Remailer benutzen? Vielleicht bist Du ein Computerfachmann und möchtest Deine Ansichten über bestimmte Produkte kundtun; Ansichten, die Dein Chef Dir vorhalten könnte. Möglicherweise lebst Du in einer Gesellschaft, die gefährlich intolerant gegenüber Deinen gesellschaftlichen, politischen oder religiösen Ansichten ist. Es kann auch sein, daß Du im Internet nach einer neuen Anstellung suchst und Deinen momentanen Job nicht riskieren willst. Vielleicht möchtest Du auch eine "chiffierte Anzeige" aufgeben. Unter Umständen bist Du ein verdeckter Mitarbeiter und fürchtest Rache. Vorstellbar ist auch, daß Du Überwachungsmaßnahmen befürchtest, wenn Du die Regierung kritisierst. Es kann auch sein, daß Du einfach keine "Flames" an Deine Firmenadresse wünschst. Kurz gesagt: Es gibt viele gute Gründe warum gerade Du - ein gesetzestreuer Bürger - Remailer nutzen könntest. Wie arbeiten Remailer? Betrachten wir ein imaginäres Beispiel. Stell Dir vor, eine mißhandelten Frau - Susan - möchte einen Artikel posten und um Hilfe bitten. Wie kann Susan ihre Nachricht versenden und Antworten erhalten, ohne sich zu verraten? Sie könnte einen pseudonymen Remailer von Andre Bacard namens "bacard.sf" benutzen. (Dieser Remailer existiert nicht!) Wenn sie mir schreibt, würde mein "bacard.sf" Rechner Susans Namen und ihre Adresse aus dem Nachrichtenkopf LÖSCHEN, durch eine Tarnadresse (beispielsweise ersetzen und die Nachricht an die von Susan ausgewählte Person oder Newsgruppe weiterleiten. Mein Computer würde dann Susan auch darüber informieren, daß die Nachricht unter ihrer neuen Identität weitergeleitet wurde. Stell Dir vor, daß Debbie Susan antwortet. Mein Computer wird Debbies Namen und Adresse LÖSCHEN, Debbie eine neue Identität geben und die Nachricht an Susan weiterleiten. Dies sichert die Geheimhaltung aller. Zwar ist dieses Vorgehen für einen Menschen kompliziert, für einen Computer jedoch leicht. Gibt es viele Remailer? Es gibt momentan einige dutzend ÖFFENTLICHE Remailer, die von jedem kostenfrei genutzt werden können. (Es gibt auch einige wenige spezialisierte Remailer, die es gestatten, in nur einige bestimmte Gruppen zu posten. Diesen Typ will ich hier nicht besprechen.) Remailer kommen und gehen. Zuersteinmal beanspruchen sie Technik und Arbeit um eingerichtet und gewartet zu werden und zum anderen werfen sie keinen Gewinn ab. Warum sind Remailer kostenfrei? Dafür gibt es eine ganz einfache Antwort. Wie kann ein Remailer Admin Geld von Personen verlangen, wenn diese auf höchtmögliche Geheimhaltung ihrer Identität aus sind? Der Admin kann ja nun wahrlich nicht nach der Kreditkartennummer fragen oder irgendwelche Prüfungen vornehmen. In Zukunft werden Remailer Betreiber sich vielleicht ihre Dienste bezahlen lassen. Datenverschleierung ist bezahlbar. Beispielsweise ist Offshore Banking einer der umfangreichsten Geschäftszweige der Welt. Leicht vorstellbar ist eine Remailer GmbH, die als Netzfirma unter dem Dach der Briefkasten GmbH arbeitet (eine existierende Firma, die (in den USA -LD) Briefkästen vermieten). Um Remailer im großen Maßstab kommerziell erfolgreich zu machen, müssen anonyme Zahlungssysteme wie DigiCash breit genutzt werden. Es gibt noch weitere Gesichtspunkte, die dafür und dagegen sprechen, aber diese liegen außerhalb dieser FAQ. Warum betreiben Leute Remailer, wenn es kein Geld gibt? Diese Leute stellen Remailer für ihre eigenen privaten Zwecke auf, wobei sie auf den Rest von uns Rücksicht nehmen können oder nicht. Joshua Quittner, Mitautor des High-tech Thrillers Mother's Day, sprach mit Mr. Helsingius für das Magazin Wired. Helsingius sagte: "It's important to be able to express certain views without everyone knowing who you are. One of the best examples was the great debate about Caller ID on phones. People were really upset that the person at the receiving end would know who was calling. On things like telephones, people take for granted the fact that they can be anonymous if they want to and they get really upset if people take that away. I think the same thing applies for e-mail." "Living in Finland, I got a pretty close view of how things were in the former Soviet Union. If you actually owned a photocopier or even a typewriter there you would have to register it and they would take samples of what your typewriter would put out so they could identify it later. That's something I find so appalling. The fact that you have to register every means of providing information to the public sort of parallels it, like saying you have to sign everything on the Net. We always have to be able to track you down". ______________________________________________________________ Es ist wichtig, bestimmte Ansichten äußern zu können, ohne daß jeder weiß, wer da spricht. Eines der besten Beispiele war die große Debatte über die Rufnummernübermittlung bei Telefonen. Die Leute waren wirklich bestürzt, daß die Angerufenen wissen konnten, wer da anruft. Bei Dingen wie dem Telefon nehmen die Leute es als gegeben, daß sie anonym bleiben können, wann immer sie wollen, und sie regen sich sehr auf, wenn Ihnen diese Möglichkeit weggenommen wird. Ich denke, daß das gleiche für eMail gilt. Da ich in Finnland lebe, habe ich einen ziemlich direkten Eindruck von der Lage der Dinge in der frühreren SU. Wer einen Fotokopierer oder auch nur eine Schreibmaschine besaß, mußte diese registrieren lassen. Dabei wurden Druckproben von der Schreibmaschine gezogen, so daß sie später diese Maschine wiederfinden können. Das ist etwas, was ich entsetzlich finde. Die Tatsache, daß alles registriert wurde, was zur Informationsverbreitung dienen konnte, ist vergleichbar zur Vorstellung, alles im Netz müsse unterschrieben sein. Wir müssen immer in der Lage sein, Euch zu kriegen. Was ist der Unterschied zwischen einem "pseudo-anonymen" und einem "anonymen" Remailer? Bemerkung: Viele Leute benutzen den Ausdruck "anonymer" Remailer als Abkürzung für beide Typen von Remailern. Das verursacht Verwirrung! Ein "PSEUDO-anonymer" Remailer ist prinzipell ein Anschluß, den Dir ein Remailer Betreiber einrichtet. Anon.penet.fi (der oben beschrieben wurde, ist ein PSEUDO-anonymer Remailer. Das bedeutet, daß Julf -der Betreiber- und seine Hilfskräfte Deine wirkliche eMailadresse KENNEN. Die Geheimhaltung ist nur so gut, wie Julfs Standvermögen und Zuverlässigkeit, Deine Daten zu schützen. Stell Dir einen PSEUDO-anonymen Remailer als eine Art von ETWAS anonymen Remailer vor. Was bedeutet das in der Praxis? Jemand kann ein Gerichtsbeschluß erwirken, der den Operator des PSEUDO-anonymen Remailers zwingt, Deine wirkliche Identität preiszugeben. Die finnische Polizei hat Julf zur Offenlegung von mindestens einer Identität gezungen. Der Vorteil der meisten PSEUDO-anonymen Remailer ist ihre Nutzerfreundlichkeit. Wenn Du eMail versenden kannst, kannst Du höchstwahrscheinlich auch PSEUDO-anonyme Remailer verstehen. Der Preis für die leichte Benutzbarkeit ist der Verlust an Sicherheit. Anmerkung: Es gibt einige erheblich sicherere PSEUDO-anonyme Remailer, die PGP-Verschlüsselung benutzen. Siehe zum Beispiel den Link zu Lutz Donnerhacke am Ende dieser FAQ und meine Alpha.c2.org-FAQ. Wirkliche ANONYME Remailer sind ganz andere Tiere. Die gute Nachricht: Sie bieten deutlich mehr Geheimnisschutz als die PSEUDO-anonymen Remailer. Die schlechte Nachricht: Sie sind deutlich schwerer zu benutzen als ihre PSEUDO-anonymen Verwandten. Es gibt prinzipell zwei Typen von ANONYMEN Remailern. Zum einen "Cypherpunk-Remailer" und zum anderen Lance Cottrells "Mixmaster-Remailer". Beachte, daß hier der Plural verwendet wird. Wenn Du höchste Sicherheitsanforderungen hast, kannst Du Deine Nachricht durch zwei oder mehr Remailer schicken. Wenn das klappt, kannst Du sicher sein, daß NIEMAND (kein Remailer-Betreiber und kein Horcher auf der Leitung) gleichzeitig Deine Nachricht und Deine Adresse lesen kann. Das ist die wahre Bedeutung von ANONYM. Praktisch bedeutet das, daß niemand einen Betreiber eines ANONYMEN Remailers zwingen kann, Deine Identität preiszugeben, weil der Betreiber einfach nicht weiß, wer Du bist! Die Cypherpunk- und Mixmaster-Remailerfamilien sind zu technisch, um sie in dieser kurzen FAQ zu beschreiben. Weiter unten in dieser FAQ, führe ich einige URLs auf, auf denen die vollen technischen Details beschrieben sind. Was macht einen "idealen" Remailer aus? Der "ideale" Remailer 1. ist einfach zu benutzen, 2. wird von einer zuverlässigen Person betrieben, dessen System genau das tut, was es behauptet. Zusätzlich sollte diese Person die Computererfahrung haben, um kluge Schritte gegen normale und staatliche Hacker zu unternehmen. 3. ist in der Lage, Nachrichten rechtzeitig weiterzuleiten. "Rechtzeitig" heißt in Minuten oder Stunden. 4. ist fähig, Deine Nachrichten eine ZUFÄLLIGE Zeit liegenzulassen, bevor er sie weiterleitet. Diese Pause macht es für Leitungslauscher schwerer, eine Nachricht, die bspw. um 15:00 Uhr eintrudelt mit einer Nachricht, die bspw. um 14:59 Uhr Deine Maschine verließ, zu verbinden. 5. gestattet (besser: fördert) PGP-Verschlüsselung. Wenn ein Remailer PGP oder andere starke Verschlüsselung NICHT gestattet, so könnten ernstzunehmende Leute annehmen, der Betreiber macht sich den Spaß, in den Nachrichten zu schnüffeln. Was macht einen verantwortungsvollen Remailer-Nutzer aus? Ein verantwortungsvoller Nutzer: 1. sendet Nachrichten vernünftiger Größe. Binrärübertragungen verschwenden zuviel Übertragungszeit. 2. Überträgt ausgewählte Nachrichten. Remailer sind NICHT entworfen worden, um "Schnell reich werden"-Kettenbriefe oder andere Junk-Mail zu versenden. Wer sind unverantwortliche Remailer-Nutzer? Hier ist ein Zitat von einem Remailer-Administrator: "This remailer has been abused in the past, mostly by users hiding behind anonymity to harass other users. I will take steps to squish users who do this. Lets keep the net a friendly and productive place.... Using this remailer to send death threats is highly obnoxious. I will reveal your return address to the police if you do this." ______________________________________________________________ Dieser Remailer wurde in der Vergangenheit mißbraucht, meistens durch Nutzer, die sich in der Anonymität versteckten, um andere Nutzer zu belästigen.... Diesen Remailer für Morddrohungen zu benutzen, ist ausgesprochen ärgerlich. Ich werde die betreffene Rückantwortadresse der Polizei übergeben, wenn Du das tust. Gesetzestreue Remailer-Betreiber werden Belästigungen oder kriminelle Aktivitäten NICHT TOLERIEREN. Melde derartige Vorkomnisse dem Remailer Admin. (In vielen Ländern - auch in Deutschland - stehen auch gewisse politische Äußerungen unter Strafe. ÄUßERUNGSDELIKTE dieser Art werden im Sinne der Meinungsfreiheit von den Remailer Admins NICHT als KRIMINELL eingestuft. -LD) Wie sicher sind Remailer? [nur für Paranoide :-)] Für die meisten Aufgaben niederer Sicherheitsanforderungen, wie bspw. die Beantwortung von Kleinanzeigen, sind PSEUDO-anonyme Remailer mit Passwortschutz zweifelsfrei besser als die Verwendung der richtigen eMail-Adresse. Aber auch die besten Pläne, die Mäuse und Menschen machen können, haben Schwachstellen. Stell Dir bspw. vor, daß Du Beamter bist und gerade mitbekommen hast, daß Dein Chef Bestechungsgelder nimmt. Ist es sicher, einen PSEUDO-anonymen Remailer zu verwenden, um eine Anzeige bei der eMail-Hotline der Aufsichtsbehörde zu hinterlassen? Hier sind einige Punkte, die es zu bedenken gilt: 1. Die Person, die Deinen eMail-Anschluß betreut, könnte Deine Nachricht an und vom Remailer abfangen. Das beweist ihm, daß DU den korrupten Chef angezeigt hast. Dieser Nachweis könnte Dich in Gefahr bringen. 2. Es könnte sein, daß der Remailer ein Regierungsschnüffelprojekt ist oder eine kriminelle Firma damit versucht, Erpressungsmaterial zu sammeln. Der Betreiber kann der Freund von Deinem Chef sein. 3. Hacker können Wundersames mit Computern vollbringen. Es ist möglich, daß ein normaler oder behördlicher Hacker in den Remailer-Rechner eingedrungen sind (ohne daß der Admin das mitbekommen hat) und die nun Deine Nachrichten lesen können, wie sie wollen. 4. Es ist möglich, daß der Geheimdienst alle Nachrichten (incl. Passworte) sammelt, scannt und speichert, die den Remailer passieren. Deswegen lächeln Leute mit hohen Sicherheitsanforderungen über PSEUDO-anonyme Reamiler. Diese Personen benutzen Cypherpunk- oder Mixmaster- Programme, die ihre Nachrichten durch mehrere ANONYME Remailer leiten. Auf diee Weise kennt nur der erste Remailer deren wirkliche Adresse und kann nicht auf die entgültige Zieladresse der Nachricht zugreifen. Zusätzlich verschlüsseln sie alle Nachrichten mit PGP. Technische Informationen und Software * Die Newsgruppe alt.privacy.anon-server ist der Platz, um über aktuelle Entwicklungen informiert zu bleiben und Fragen zu stellen. * Andre Bacards PGP-FAQ für Neulinge ist eine nichttechnische Einführung in die Verschlüsselungssoftware Pretty Good Privacy, die von Cypherpunk ANONYMOUS Remailern benutzt wird. * Lutz Donnerhackes PSEUDO Anonymer Remailer ist PGP-geschützt. * Lance Cottrells Mixmaster-Software gestattet es UNIX-Nutzern, den Mixmaster-Typ der ANONYMEN Remailer zu nutzen. * Auf Arnoud "Galactus" Engelfriets Galactus Site finden sich viele wertvolle Links in die Welt der Remailer. * Raph Levien, der Remailer-Guru, hält einen aktuellen Statusbericht der aktiven Remailer. Levien verweist auch auf alles, was man zu Remailer-Software wissen muß (einschließlich seines Programmes premail für UNIX-Nutzer). * Joel McNamaras Private Idaho software für Windows ist eine leicht benutzbares Frontend für PGP, Gateways zu Usenet-Newsgruppen und Remailer. Noch etwas, was ich wissen sollte? DEINE Privatsphäre und Sicherheit können gefährdert sein! Umfangreiche Banken-, Kreditkarten- und medizinische Datenbanken, eMail Überwachung und Computerschnüffelprogramme sind nur einige wenige Faktoren, die jeden gesetzestreuen Bürger treffen. Kurz gesagt, unsere in Privatsachen schnüffelnde Gesellschaft dient den Kriminellen und serviert Deine Daten auf einem Silbertablett. Zurück zu Bacard's Home Page This page maintained by abacard@well.com Übersetzungsfehler bitte an lutz@iks-jena.de