Anonymisierung: Tor setzt auf sichere elliptische Kurven

Für die Verbindung in einem Circuit verwendet Tor ab der aktuellen Version einen neuen Handshake, der nicht nur deutlich schneller sein soll als zuvor, sondern dank des Einsatzes von elliptischen Kurven nach Dan Bersteins Curve25519 auch sicherer sein soll. Damit wird das alte TAP in Tor 0.2.4.19 vollkommen ersetzt. Der aktuelle Tor-Client kommt in Tors Browser Bundle 3.5 zum Einsatz, das auch gleich Firefox 24 enthält.

Für Relays lässt sich künftig die ECDHE-TLS-Kryptosammlung (Elliptic Curve Diffie Hellman) nutzen. Auch sie setzt elliptische Kurven ein und soll deutlich sicherer sein als das zuvor verwendete Diffie-Hellman Modulo Prime mit 1.024 Bit. Standardmäßig verwendet Tor die Gruppe der elliptischen Kurven P-224, alternativ lässt sich die Gruppe P-256 nutzen.

Dynamische Warteschleifen für Onionskins

Allerdings müssen sowohl Sender als auch Empfänger Clients mit mindestens Version 0.2.3.17-beta des Tor-Clients und OpenSSL mit Version 1.0.0 verwenden. Empfohlen wird OpenSSL 1.0.1 mit 64 Bit. Nebenbei hat das Tor-Team TLS 1.1 und 1.2 reaktiviert, wenn der Tor-Client mit OpenSSL 1.0.1e kompiliert. Die Transportlayer wurden auf Grund einen Fehlers in früheren Versionen von OpenSSL vorübergehend deaktiviert.

Wer ein Relay betreibt, muss künftig die Option "MaxOnionsPending" nicht mehr selbst festlegen. Stattdessen berechnet Tor, wie lange es dauern würde, Onionskins abzuarbeiten und legt die Größe der Warteschleife selbst fest. Außerdem werden die Handshakes mit der neuen Verschlüsselungstechnik zuerst abgearbeitet, die mit dem alten TAP müssen warten.

Mehr Anonymität durch geduldige Guards

Die Verfallszeit eines Guards, den ein anonymer Surfer verwendet, wurde von ein bis zwei auf zwei bis drei Monate erhöht. Damit soll die Wahrscheinlichkeit verringert werden, dass ein Nutzer anhand seines Surfverhaltens über längere Zeit identifiziert werden kann. Die Maßnahme geht auf eine Empfehlung von Tariq Elahi zurück. In späteren Versionen will das Tor-Team das Load-Balancing der Clients zunächst verbessern und dann die Verfallszeit nochmals erhöhen.

Außerdem wurde die Unterstützung für IPv6 weiter ausgebaut. Clients im entsprechenden Netzwerk können sich jetzt über das Nachfolgeprotokoll von IPv4 mit Eingangsknoten verbinden. Mit der Option ClientPreferIPv6ORPort 1 kann eine entsprechende Verbindung forciert werden. Künftig unterstützen sämtliche Relays einen Verbindungsaufbau über IPv6 oder Ports. Dementsprechend können sich Exit Relays jetzt auch mit einem IPv6-Netzwerk verbinden.

Sämtliche Änderungen haben die Tor-Entwickler in einem ausführlichen Changelog zusammengefasst. Die aktuelle Version des Tor-Clients und des Browser-Bundles stehen auf der Webseite des Projekts zum Download bereit.