Tor Onion Services (Darknet)

Das Darknet: Tor ermöglicht nicht nur den anonymen Zugriff auf herkömmliche Angebote im Web sondern auch die Bereitstellung anonymer, zensurresitenter und schwer lokalisierbarer Tor Onion Services bzw. Tor Onion Sites. Diese Dienste sind nur via Tor Onion Router erreichbar.

Eine kryptische Adresse mit der Top-Level Domain .onion dient gleichzeitig als Hashwert für ein System von Schlüsseln, welches sicherstellt, dass der Nutzer auch wirklich mit dem gewünschten Dienst verbunden wird. Die vollständige Anonymisierung des Datenverkehrs stellt sicher, dass auch die Betreiber der Angebote technisch anonym bleiben und nur schwer ermittelt werden können.

Es gibt verschiedene Varianten für Tor Onion Services:

Onion Services v2 verwenden kryptografische Funktionen, die teilweise veraltet sind. Es wird SHA1 verwendet, DH-Schlüsseltausch und Public Key Kryptografie auf Basis von RSA mit 1024 Bit langen Schlüsseln. Die Onion Adressen sind 16 Zeichen lang: vwakviie2ienjx6t.onion Wichtiger Hinweis: Onion Services v2 sind DEPRECATED und werden mit Tor Daemon Version 0.4.6 und TorBrowser ab Okt. 2021 nicht mehr unterstützt werden.
Onion Services v3 stehen seit Jan. 2018 zur Verfügung. Die Onion Services V3 verwenden aktuelle kryptografischen Funktionen (SHA3, ECDHE mit ed25519 und Public Key Kryptografie mit curve25519). Diese Onion-Adressen sind mit 56 Zeichen wesentlich länger: 4acth47i6kxnvkewtm6q7ib2s3ufpo5sqbsnzjpbi7utijcltosqemad.onion
Stealth Onion Services erfordern einen zusätzlichen Schlüssel für den Aufbau der Verbindung. Die Informationen in den Hidden Service Directories über mögliche Zugangspunkte zu diesen Onion Services sind verschlüsselt, so dass bösartige Dritte diese Onion Services nicht ausspionieren oder angreifen können. Wer sich mit diesen Onion Sites verbinden möchte, braucht einen zusätzlichen Key, um die Informationen über die Zugangspunkte zu dechiffrieren.
Authorisierte Nutzer erhalten den Key zum Entschlüsseln der Informationen vom Betreiber über einen unabhängigen, sicheren Kanal. Der Betreiber kann dabei bis zu 50 unterschiedliche Schlüssel für verschiedene Personen generieren. Die authorisierten Nutzer können diesen Key in der Konfigurationsdatei "torrc" des Tor Daemon eintragen:
HidServAuth <OnionAdresse> <Key> Alternativ kann man den Schlüssel auch bei Aufruf einer Stealth Onion Adresse im TorBrowser eingeben und dort dauerhaft speichern:

Onion Service als Alternative zur normalen Webadresse

Es gibt mehrere Webseiten, die zusätzlich als Tor Onion Service anonym und unbeobachtet erreichbar sind. Wenn man Tor nutzt, sollte man diese Hidden Services den normalen Webadressen vorziehen, da dann keine Gefahr durch Bad Tor Exit Nodes besteht.

Suchmaschinen: Metager (deutsche Suchmaschine) ist unter der Onion Adresse http://metagerv65pwclop2rsfzg4jwowpavpwd6grhhlvdgsswvo6ii4akgyd.onion zu finden.
Webseiten: folgenden Webseiten können auch als Tor Onion Sites aufgerufen werden:
- TorProject.org: 2gzyxa5ihm7nsggfxnu52rck2vv4rvmdlkiu3zzui5du4xyclen53wid.onion
  
  Weitere Onion Sites von TorProject.org findet man unter onion.torproject.org bzw. unter xao2lxsmia2edq2n5zxg6uahx6xox2t7bfjw6b5vdzsxi7ezmqob6qid.onion.
- Die Onion Adressen des Debian Projektes findet man unter onion.debian.org.
- Heise.de bietet einen sicheren Briefkasten auf Basis von Secure Drop für Tippgeber unter http://ayznmonmewb2tjvgf7ym4t2726muprjvwckzx2vhf2hbarbbzydm7oad.onion.
- Reddit.com ist als Tor Onion v3 Site erreichbar.
- …
E-Mail: die folgenden Provider bieten Onion Services an:
- Mailbox.org bietet POP3, IMAP und SMTP als Onion Service v3: xy5d2mmnh6zjnroce4yk7njlkyafi7tkrameybxu43rgsg5ywhnelmad.onion
- Riseup.net Mailserver als Onion Service v3: 5gdvpfoh6kb2iqbizb37lzk2ddzrwa47m6rpdueg2m656fovmbhoptqd.onion
- Die Webseite des E-Mail Dienstes ProtonMail ist auch als Tor Onion v3 Site erreichbar.
XMPP: die folgenden Jabber-Server sind als Tor Hidden Service erreichbar:
- Mailbox.org: xy5d2mmnh6zjnroce4yk7njlkyafi7tkrameybxu43rgsg5ywhnelmad.onion
- systemli.org: razpihro3mgydaiykvxwa44l57opvktqeqfrsg3vvwtmvr2srbkcihyd.onion
- Riseup.net: jukrlvyhgguiedqswc5lehrag2fjunfktouuhi4wozxhb6heyzvshuyd.onion
- securejabber: sidignlwz2odjhgcfhbueinmr23v5bubq2x43dskcebh5sbd2qrxtkid.onion
- jabber.otr.im: ynnuxkbbiy5gicdydekpihmpbqd4frruax2mqhpc35xqjxp5ayvrjuqd.onion
- jabber.so36.net: yxkc2uu3rlwzzhxf2thtnzd7obsdd76vtv7n34zwald76g5ogbvjbbqd.onion
- Jabber.cat: 7drfpncjeom3svqkyjitif26ezb3xvmtgyhgplcvqa7wwbb4qdbsjead.onion
- dismail.de: 4colmnerbjz3xtsjmqogehtpbt5upjzef57huilibbq3wfgpsylub7yd.onion
Ein HKP-Keyserver für OpenPGP Schlüssel ist unter der folgenden Onion v3 Adresse erreichbar: hkp://zkaan2xfbuxia2wpf7ofnkbz6r5zdbbvxbunvp5g2iebopbfc4iqmbad.onion

Tor Onion Services für E-Mail Kommunikation

Für unbeobachtete E-Mail Kommunikation gibt es folgenden Dienste, die ausschließlich als Tor Onion Service genutzt werden können:

Mail2Tor (kostenfrei, Gateway ins normale Web ist vorhanden)
TorBox (kostenfreier Hidden-only E-Mail Service)
Secmail.pro (kostenfrei, Gateway ins normale Web ist vorhanden)

Hinweis: Einige Tor Hidden E-Mail Provider bieten ein Gateway ins normale Web, um E-Mails auch mit Nutzern aus dem normalen Internet austauschen zu können. Diese Gateways bieten aber nur eine schlechte TLS Konfiguration, die Transportverschlüsselung zu den Mailservern der normalen E-Mail Provider ist durchgehend sehr schlecht. Deshalb würde ich Tor Hidden Mail Provider nur für Kommunikation mit Onion-Adressen nutzen und für den Kontakt mit normalen E-Mail Adressen ein sicheren Provider aus dem normalen Netz.

Debian GNU/Linux Hidden Software Repository

Für Debian GNU/Linux gibt es die Repositories als Tor Hidden Service. Außerdem gibt es den Apt-Transport-Tor, der die Nutzung des Hidden Service mit den ganz normalen Tools zur Softwareverwaltung ermöglicht. Um die Software des Systems anonym und von Dritten unbeobachtet zu verwalten, ist zuerst das Paket "apt-transport-tor" zu installieren: > sudo apt-get install apt-transport-tor Anschließend editiert man die Datei "/etc/apt/sources.list" und ersetzt die Repositories für die Paketquellen nach folgendem Muster: deb tor+http://vwakviie2ienjx6t.onion/debian jessie deb tor+http://vwakviie2ienjx6t.onion/debian jessie-updates main deb tor+http://sgvtcaew4bxjd7ln.onion/debian-security jessie/updates main #deb tor+http://vwakviie2ienjx6t.onion/debian jessie-backports main Zukünftig nutzen alle Tools zur Softwareverwaltung (aptitude, Synaptic, KPackekit, ...) den Tor Hidden Service für die Installation und Aktualisierung der Software.

Neben Debian bietet natürlich auch TorProject.org das Repository für alle unterstützten Distributionen als Onion Site an. Um den tor Daemon regelmäßig zu aktualisieren, kann man folgendes Repository nutzen: deb tor+http:://sdscoq7snqtznauu.onion/torproject.org <DISTRIBUTION> main <DISTRIBUTION> ist dabei durch den Codenamen der Distribution zu ersetzen, den man mit dem folgenden Kommando ermitteln kann: > lsb_release -c Codename: yakkety

Sonstiges

Ansonsten kenne ich kaum etwas, dass ich weiterempfehlen möchte. Meine "Sammlung" an sonstigen Tor Hidden Services enthält im Moment:

34x Angebote, die kinderpornografischen Schmutz zum Download anbieten (teilweise ausschließlich und teilweise zusätzlich zu anderen Inhalten). Das BKA hat eine etwas umfangreichere Liste mit 545 Seiten (Stand: 2012).
3x Angebote zum Thema "Rent a Killer". Ein Auftragsmord kostet offenbar nur 20.000 Dollar (wenn diese Angebote echt sind).
Ein Angebot für gefakete Ausweisdokumente (aufgrund der mit Photoshop o.ä. bearbeiteten Screenshots der Beispiele auf der Webseite halte ich das Angebot selbst für einen Fake).
Mehrere Handelsplattformen für Drogen. (Das FBI kannte 400 Plattformen zum Thema.)
Einige gähnend langweilige Diskussionsforen mit 2-3 Beiträgen pro Monat.
Einige Index-Seiten mit Listen für verfügbare Hidden Services wie das legendäre "Hidden Wiki" oder das neuere "TorDirectory". In diesen Index Listen findet man massenweise Verweise auf Angebote mit Namen wie "TorPedo", "PedoVideoUpload", "PedoImages". Nach Beobachtung von ANONYMOUS sollen 70% der Besucher des "Hidden Wiki" die Adult Section aufsuchen, wo dieses Schmutzzeug verlinkt ist.

In dem Paper Cryptopolitik and the Darknet (2016) haben sich die Autoren D. Moore und T. Rid empirisch mit den Tor Onion Sites beschäftigt. Von den 2723 besuchten Onion Sites waren 1547 Onion Sites auf kriminelle und illegale Aktivitäten ausgerichtet.
(Das Paper bietet eine interessante Zusammenfassung zur Geschichte des Darknet.)

Fake Onion Sites

Für Tor Onion Sites gibt es kein Vertrauens- oder Reputationsmodell. Es ist unbekannt, wer einen Tor Hidden Services betreibt und es ist damit sehr einfach, Honeypots aufzusetzen. Die kryptischen Adressen sind nur schwer verifizierbar. Das Problem von Anonymität und Reputation ist im Kapitel "Nachdenken" ausführlicher beschrieben.

Juha Nurmi (Betreiber der Hidden Service Suchmaschine Ahmia.fi) veröffentlichte bereits zwei Warnungen (Juni 2015 und Januar 2016) mit 300 Fake Onion Sites, die den originalen Onion Sites täuschend ähnlich sehen. Diese Fake Sites leiten des Traffic der originalen Sites durch, modifizieren die Daten geringfühig oder erschnüffeln Login Credentials.

Auch Suchmaschinen mit Hidden Service Adressen wie DuckDuckGo (Tor) und Ahmia.fi waren betroffen, wie die Sceenshots zeigen:

Die Fake Site sieht dem Original täuschend ähnlich, die Besucher werden mit den Suchergebnissen aber auf andere Fake Onion Sites gelenkt.

Teilweise sind auch die Onion Adressen der Fake Sites den Originalen sehr ähnlich: REAL: http://torlinkbgs6aabns.onion FAKE: http://torlinksb7apugxr.onion REAL: http://valhallaxmn3fydu.onion FAKE: http://valhalla4qb6qccm.onion REAL: http://vendor7zqdpty4oo.onion FAKE: http://vendor7eewu66mcc.onion Schlussfolgerung: Man sollte den kryptischen Hidden Service Adressen nur vertrauen, wenn man sie aus einer vertrauenswürdigen Quelle bekommt. Die Ergebnislisten einer Suchmaschine für Onion Sites sind dabei nur begrenzt zuverlässig, da die Betreiber der Fake Onion Sites natürlich SEO-Techniken nutzen, um vor den Orginalen platziert zu werden.