.onion
.onion ist eine Special-Use-Top-Level-Domain zur Nutzung von hidden services (deutsch: „versteckte Dienste“) im Anonymisierungsdienst The Onion Routing (Tor). Die .onion-Domains sind nicht Bestandteil des öffentlich zugänglichen, wie beispielsweise das DNS-System der deutschen Telekom, können aber von Anwendungen interpretiert werden, wenn sie durch einen Proxy in das Tor-Netzwerk gesendet werden. Verwendet werden solche Adressen, um sowohl den Empfänger als auch den Provider der Daten oder deren Fluss im Internet schwer verfolgbar zu machen, und das sowohl untereinander als auch gegenüber einem anderen Host oder Anderen.
Um auf .onion-URLs zugreifen zu können, ist beispielsweise der Tor Browser nötig. Mit einem gewöhnlichen Webbrowser funktioniert das nicht – jedenfalls nicht ohne Umwege (siehe unten).
Der Name (englisch onion für „Zwiebel“) ist abgeleitet von Onion-Routing – einer Anonymisierungstechnik, bei der schichtenweise ver- und entschlüsselt wird.
Standardisierung
[Bearbeiten | Quelltext bearbeiten]Im Oktober 2015 wurde mit RFC 7686[1] .onion als Special-Use-Domainname registriert und gemäß den Vorgaben aus RFC 6761[2] in die Registrierungsdatenbank der IANA eingetragen. In dem vorgeschlagenen Internetstandard wird festgelegt, wie die Teilnehmer den Namen .onion behandeln und wie sie sich damit verhalten sollen.
.onion-Domainnamen
[Bearbeiten | Quelltext bearbeiten]Allgemeines
[Bearbeiten | Quelltext bearbeiten]Die Domainnamen von .onion-Websites werden aus dem öffentlichen Schlüssel des Tor-Daemons des Servers abgeleitet.[3][4] Bei den mittlerweile veralteten .onion-Namen der Version 2 (kurz: v2) sind das stets 16 Zeichen, bei den neuen der Version 3 stets 56 Zeichen – jeweils ohne .onion
gezählt. Im Oktober 2021 wurden v2-Domainnamen deaktiviert,[5] was eine Änderung des Domainnamens für alle weiterhin angebotenen .onion-Websites nach sich zog.
Beispiele für die „The Tor Project“-Website:[5]
- Version 2:
http://expyuzz4wqqyqhjn.onion/
- Version 3:
http://2gzyxa5ihm7nsggfxnu52rck2vv4rvmdlkiu3zzui5du4xyclen53wid.onion/
Vanity Address Generator
[Bearbeiten | Quelltext bearbeiten]Meist muten .onion-Domainnamen wie ein zufälliger Mix aus Buchstaben und Ziffern an. Dementsprechend schwer fällt Menschen das Merken und Vergleichen bzw. Kontrollieren von solchen Namen. Dies kann die Gefahr erhöhen, dass man gefälschten Webseiten aufsitzt und z. B. auf Phishing hereinfällt.[3] Mithilfe von „Vanity Address Generator“-Software wie beispielsweise mkp224o
[6] (oder eschalot
[7] für v2-Namen) können etwas einprägsamere .onion-Domainnamen erstellt werden. Das soll die genannten Probleme lindern, kann aber auch kontraproduktiv sein. Es birgt nämlich die Gefahr, dass Benutzer eine genaue Kontrolle des Domainnamens nicht bis zum letzten Zeichen durchführen, sondern das Kontrollieren nach dem augenfälligen Namensteil abbrechen.[8] Das Erstellen kann mit sehr hohem zeitlichen Rechenaufwand verbunden sein, weil die Wunschvorgaben an den Namen nur per Brute-Force-Methode erfüllbar sind.[6][7] Das Grundprinzip besteht hier darin, durch Ausprobieren mindestens ein solches Schlüsselpaar zu finden, bei dem der kryptographische Hash (bzw. der Base32-kodierte Hash) des öffentlichen Schlüssels die Wunschbedingung erfüllt.[4][8] Daher müssen in der Praxis Abstriche bei den Wünschen hingenommen werden.
Beispiele für Facebook:
- Version 2:
https://facebookcorewwwi.onion/
- Version 3:
https://www.facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion/
Zugriff ohne Tor-Client
[Bearbeiten | Quelltext bearbeiten]Es gibt Dienste (Gateways), die über einen eigenen Proxy den Zugriff auf .onion-URLs erlauben, ohne dass der Nutzer im eigentlichen Tor-Netzwerk ist. Oft muss dazu in einer entsprechenden URL lediglich die Endung .onion
durch eine andere Endung ersetzt werden. Ein typischer Gattungsbegriff ist Tor2Web. In diesem Szenario ist es sowohl dem Betreiber des Proxys als auch des Dienstes im Tor-Netz möglich, den Nutzer durch die IP-Adresse oder Browser-Merkmale zu identifizieren.
Ohne einen Tor-Client ist der Zugriff auf die hidden services nicht möglich. Bei Tor2Web-Diensten ist dieser Tor-Client beim jeweiligen Dienst angesiedelt und nicht im Browser des Benutzers, weshalb dann kein spezieller Browser wie der Tor Browser nötig ist.
Beispiel für den „tor2web.to“-Dienst (.onion
→ .tor2web.to
)[9] anhand der „The Tor Project“-Website:
- ohne „tor2web.to“-Dienst:
http://2gzyxa5ihm7nsggfxnu52rck2vv4rvmdlkiu3zzui5du4xyclen53wid.onion/
- mit „tor2web.to“-Dienst:
http://2gzyxa5ihm7nsggfxnu52rck2vv4rvmdlkiu3zzui5du4xyclen53wid.tor2web.to/
Anwendungssoftware
[Bearbeiten | Quelltext bearbeiten]Die allermeisten Anwendungen können mit .onion-Domainnamen nicht umgehen. Anwendungen müssen speziell dafür ausgelegt sein. Beispiele für bekannte Anwendungen, die .onion-Adressen unterstützen, sind:[10]
Anwendung | Funktionalitäten | unterstützte Plattformen |
Anmerkungen / Eigenschaften |
---|---|---|---|
Tor Browser[11] |
| ||
OnionShare[12] |
|
| |
Ricochet Refresh[14] |
|
|
|
Briar[16] |
|
|
|
Tails[18] |
|
| |
Whonix[19] |
| ||
Orbot[20] |
|
|
Siehe auch
[Bearbeiten | Quelltext bearbeiten]- Liste von bekannten Onion Services im Tor-Netzwerk
- Anonymität im Internet
- Selbstdatenschutz
- Providerprivileg
Weblinks
[Bearbeiten | Quelltext bearbeiten]- Tor: Design und Konzept – torproject.org-Website (englisch)
- Special-Use Domain Names – IANA-Registrierungsdatenbank (englisch)
Beispiele für Dienste mit .onion-URLs
[Bearbeiten | Quelltext bearbeiten]- The Tor Project: http://2gzyxa5ihm7nsggfxnu52rck2vv4rvmdlkiu3zzui5du4xyclen53wid.onion/de/
- Facebook: https://www.facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion/
- Cloudflares „DNS over Tor“: https://dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion/
- The New York Times: https://www.nytimesn7cgmftshazwhfgzm37qxb44r64ytbb2dj3x62d2lljsciiyd.onion/
- DuckDuckGo: https://duckduckgogg42xjoc72x3sjasowoarfbgcmvfimaftt6twagswzczad.onion/
- ProtonMail: https://protonmailrmez3lotccipshtkleegetolb73fuirgj7r4o4vfu7ozyd.onion/
Beispiele für Tor2Web-Dienste
[Bearbeiten | Quelltext bearbeiten]- onion.cab ( vom 30. Juli 2017 im Internet Archive)
- Tor2web.org (
.onion
→.onion.to
) - tor2web.to (
.onion
→.tor2web.to
)
Einzelnachweise
[Bearbeiten | Quelltext bearbeiten]- ↑ RFC – The “.onion” Special-Use Domain Name. (englisch).
- ↑ RFC – Special-Use Domain Names. Februar 2013 (englisch).
- ↑ a b Fighting Censorship with ProtonMail Encrypted Email Over Tor. In: ProtonMail. 19. Januar 2017, abgerufen am 21. September 2021 (englisch).
- ↑ a b Tor Rendezvous Specification - Version 3. Encoding onion addresses. In: gitweb.torproject.org. 26. Mai 2015, abgerufen am 21. September 2021 (englisch).
- ↑ a b Onion-Dienste. The Tor Project, abgerufen am 21. September 2021.
- ↑ a b mkp224o auf GitHub. Vanity address generator for tor onion v3 (ed25519) hidden services. (englisch).
- ↑ a b eschalot auf GitHub (englisch).
- ↑ a b Tor Rendezvous Specification - Version 3. Appendix C. Recommendations for searching for vanity .onions. In: gitweb.torproject.org. 26. Mai 2015, abgerufen am 21. September 2021 (englisch).
- ↑ tor2web.to Gateway to Tor Hidden Services. Abgerufen am 23. September 2021 (englisch).
- ↑ Stefan Mey: Open-Source-Adventskalender: Tor und sein Ökosystem. In: heise online. 11. Dezember 2021, abgerufen am 12. Dezember 2021.
- ↑ Tor-Projekt – Anonymität online. Abgerufen am 12. Dezember 2021.
- ↑ 🧅 OnionShare. Abgerufen am 12. Dezember 2021 (englisch).
- ↑ onionshare auf GitHub
- ↑ Ricochet Refresh. Abgerufen am 12. Dezember 2021 (englisch).
- ↑ ricochet-refresh auf GitHub
- ↑ Secure messaging, anywhere – Briar. Abgerufen am 12. Dezember 2021 (englisch).
- ↑ briar auf GitHub
- ↑ Tails – Home. Abgerufen am 12. Dezember 2021.
- ↑ Whonix – Software That Can Anonymize Everything You Do Online. Abgerufen am 12. Dezember 2021 (englisch).
- ↑ Orbot: Proxy with Tor. In: guardianproject.info. Abgerufen am 12. Dezember 2021.
- ↑ orbot auf GitHub