FAQ zu JAP

Häufig gestellte Fragen zum Konzept des Dienstes

  1. Ich benutze JAP. Wer kann beobachten, wohin ich surfe?
  2. Werden bei Ihnen Log-Dateien gespeichert?
  3. Ist die Strafverfolgung einer durch JAP anonymisierten Verbindung möglich?
  4. Kann der Anonymisierungsdienst nicht zum staatlichen Kontrolldienst werden?
  5. Wer kontrolliert, dass die Selbstverpflichtungserklärungen eingehalten werden?
  6. Ich benutze JAP. Müssen mein Rechner und meine Daten noch zusätzlich geschützt werden?
  7. Wieso vermindert häufiges Ein- und Ausloggen bei der Internetverbindung die Anonymität?
  8. Bin ich auch anonym vor Webbugs und deren Versender?
  9. Sind alle Daten, die meinen Rechner verlassen, verschlüsselt?
  10. Wieso ist der Mix-Dienst zentral und nicht P2P-artig konstruiert?
Nein, meine Frage zum Konzept von JAP ist hier nicht enthalten bzw. nicht ausreichend beantwortet.

Konzept

Ich benutze JAP. Wer kann beobachten, wohin ich surfe?
  • Mein Provider?
  • Ihr Provider erfährt lediglich, dass Sie die Server des Anonymisierungsdienstes benutzen. Zwischen JAP und diesen wird ein verschlüsselter Kanal aufgebaut, über den Ihre Daten gesendet werden. Alle Internetanfragen im Browser, die Ihren Rechner verlassen und dort ankommen, sind also verschlüsselt. Eine detaillierte Beschreibung finden Sie unter "JAP und Verschlüsselung".

  • Mein Chef, Kollege oder Systemadministrator im Firmennetz?
  • Im Firmennetz wird lediglich offenbar, dass Sie die Server des Anonymisierungsdienstes benutzen. Zwischen JAP und diesen wird ein verschlüsselter Kanal aufgebaut, über den Ihre Daten gesendet werden. Alle Internetanfragen im Browser, die Ihren Rechner verlassen und ankommen, sind also verschlüsselt. Eine detaillierte Beschreibung finden Sie unter "JAP und Verschlüsselung".

    Beim Surfen im Büro ist aber zu beachten, dass nachwievor Beobachtung durch bloßes "Über-Die-Schulter-Schauen" möglich ist. Auf dem Rechner werden zudem häufig lokal auf der Festplatte von Browser und Betriebssystem Daten über die zuletzt angesurften Webseiten gesammelt. Dies hat den Vorteil, dass Adressen zu Ihrem Komfort automatisch ergänzt werden können, aber den Nachteil, dass andere, die den gleichen Rechner bzw. Nutzeraccount benutzen, ggf. leicht Zugriff darauf erlangen können.

  • Der Betreiber eines Mix-Proxys?
  • Der Betreiber eines Mixes kann nur die durch ihn geleiteten aus- und eingehenden Verbindungen verknüpfen, und muss dies sogar tun, um sicherzustellen, dass alle Datenpakete korrekt transportiert werden. Verwendet ein Nutzer eine Mix-Kaskade, die seine Verbindungen gleich durch mehrere unabhängig und von unterschiedlichen Betreibern betriebene Mixe leitet, kann der Betreiber eines einzelnen Mix-Proxys Nutzer und angefragte Webseite nicht miteinander verknüpfen.

    Deshalb sei darauf hingewiesen, dass die Mix-Kaskade "Dresden-Dresden" eine Mix-Kaskade für Testzwecke ist, deren Mixe nur von uns in Dresden betrieben werden. Wer diese verwendet, ist zwar gegen Beobachtung durch Außenstehende geschützt, wir (in Dresden) könnten aber theoretisch beobachten.

Werden bei Ihnen Log-Dateien gespeichert?

Vom Anonymisierungsdienst werden bis auf folgende Ausnahmen keine Log-Dateien geführt:

  • Aus Forschungsgründen werden gelegentlich und zeitlich eng begrenzt auf der Kaskade Dresden-Dresden statistische Daten erhoben (z.B. Anzahl der je Nutzer von den Mixen bearbeiteten Datenpakete, Hit-Liste der angefragten Webseiten). Diese Erhebung erfolgt nicht personenbezogen. Die Daten werden statistisch verarbeitet, und die einzelnen Datensätze werden anschließend wieder gelöscht.
  • Die Zugriffe auf unseren Webserver http://anon.inf.tu-dresden.de/ werden für Statistikzwecke geloggt. Die Erhebung erfolgt auch hier nicht personenbezogen.
  • Für Statistikzwecke und zur Information der Nutzer wird die momentane Anzahl der aktiven Benutzer einer Mix-Kaskade gespeichert. Diese zeigt der JAP ständig an, wenn er aktiv ist.

Ist Strafverfolgung für eine durch JAP anonymisierte Verbindung möglich, wenn ein entsprechender Gerichtsbeschluss vorliegt?

Der Gesetzgeber zwingt einen Anbieter von TK-Dienstleistungen dazu, Daten, die er sowieso speichert, für die Strafverfolgung herauszugeben. Der Gesetzgeber zwingt aber niemanden dazu, Daten zu speichern, die für den Betrieb nicht erhoben oder verarbeitet werden müssen.

  • Rückwirkende Aufdeckung?
  • Eine rückwirkende Aufdeckung ist nahezu unmöglich: Wenn ein sogenannter Bedarfsträger die nachträgliche Aufdeckung einer Verbindung wünscht, muss er alle eingehenden und ausgehenden Nachrichten aller Mixe aufzeichnen und dem jeweiligen Mix zur Deanonymisierung vorlegen. Dies hätte allerdings nur Sinn, solange der öffentliche Schlüssel des Mix noch gültig ist. Nach einem Schlüsselwechsel kann selbst der Mix die alten Nachrichten nicht mehr entschlüsseln, da der private Schlüssel vernichtet wird. Im derzeitigen Zustand ist das allerdings noch nicht implementiert. Wie oft der öffentliche Schlüssel gewechselt wird, hängt vom Mix-Betreiber ab. Im Endausbau des Systems kann dies alle paar Stunden geschehen.

  • Überwachung zukünftiger Verbindungen?
  • Eine Überwachung zukünftiger Verbindungen setzt voraus, dass jeder Mix die Ein-Ausgabe-Zuordnung einer bestimmten Nachricht sofort online mitprotokolliert. Es wird die zu enttarnende Verbindung markiert. Dadurch kann unter Mitarbeit aller Mixe die Nachricht deanonymisiert werden. Diese Markierung kann lediglich von den beteiligten Mixen erkannt werden. Die Funktionsweise ähnelt der der Fangschaltung im Telefonnetz. Auf diese Weise ist es möglich, die Zugriffe auf eine bestimmte Webadresse zu protokollieren.

Eine detaillierte Beschreibung finden Sie unter "JAP und Strafverfolgung".

Kann der Anonymisierungsdienst nicht zum staatlichen Kontrolldienst werden?

Prinzipiell kann jeder Dienst zum staatlichen Überwachungsdienst werden. Deshalb sind Transparenz, Nachvollziehbarkeit und Vertrauenswürdigkeit der Funktionsweise und des Betriebs aus Nutzersicht unerlässlich.

Transparenz und Nachvollziehbarkeit werden insbesondere durch die Offenlegung der Quellcodes erreicht; die Vertrauenswürdigkeit soll durch die Selbstverpflichtung der Mix-Betreiber und unseren Projektpartner, das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein erreicht werden.

Da es beim Mix-Konzept keine zentrale Instanz gibt, müssen für eine Überwachung stets alle beteiligten Mixe an der Enttarnung von Verbindungen mitwirken. Insofern wird jegliche Überwachung der Internetnutzer, also auch die staatliche, durch JAP nicht einfacher, sondern erheblich schwerer.

Natürlich wecken besonders Anonymisierer das Interesse an Überwachung. Uns ist durchaus bewusst, dass gerade für die Benutzer von Anonymisierungsdiensten die unbeobachtbare Nutzung des Internet besonders wichtig ist. Wir als Betreiber eines Anonymisierungsdienstes sind uns der Verantwortung für unsere Nutzer sehr wohl bewusst.

Wer kontrolliert, dass die Selbstverpflichtungserklärungen eingehalten werden?

Wir haben im Projekt einen Partner, das Unabhängige Landeszentrum für Datenschutz in Kiel (früher der Landesbeauftragte für den Datenschutz Schleswig-Holstein), das mit seiner juristischen und technischen Kompetenz diese Überprüfungen vornehmen wird. Später soll dies ggf. auch durch andere Datenschutz-Kontrollinstanzen möglich sein.

Ich benutze JAP. Müssen mein Rechner und meine Daten noch zusätzlich geschützt werden?
  • SSL zur zusätzlichen Verschlüsselung?
  • Ja! Denn JAP dient nur zur Anonymisierung, nicht zur Geheimhaltung Ihrer übertragenen Daten bis zu deren Empfänger. Zwischen JAP und den Servern des Dienstes wird dazu ein verschlüsselter Kanal aufgebaut.

    Verwenden Sie jedoch kein SSL, so verlassen Ihre Daten den letzten Server des Anonymisierungsdienstes unverschlüsselt. Damit Daten vom Anonymisierungsdienst zum angefragten Webserver verschlüsselt werden können, muss dieser Verschlüsselung unterstützen. Dies geschieht durch Verwendung des Standardprotokolls SSL. Aus diesem Grund ist es empfehlenswert zur Übertragung von geheim zu haltenden Daten Webseiten mit "https" statt "http" aufzurufen.

    Eine detaillierte Beschreibung finden Sie unter "JAP und Verschlüsselung".

  • JAP anonymisiert lediglich die IP-Adresse, wieso werden Zusatzdaten wie Browser-Typ und Betriebssystem weiterhin übermittelt?
  • JAP anonymisiert bewusst nur auf der Netzebene der IP-Adressen. Jeder Nutzer soll selbst entscheiden, welche anderen Informationen er noch verbergen will. Da üblicherweise viele Personen gleiche Betriebssystem-Browser-Kombinationen verwenden, ist man nachwievor anonym innerhalb der Menge der JAP-Nutzer mit gleicher Kombination. Wer seine zusätzlichen Informationen filtert, sticht damit vermutlich eher aus der Masse heraus als anonym zu sein.

    Viele Anbieter von Webseiten benötigen die Informationen zum Browsertyp zudem, um die Inhalte für unterschiedliche Browsertypen so aufzubereiten, dass sie optimal dargestellt werden.

    Nutzer, die die Anonymisierung dieser Daten dennoch wünschen, verweisen wir an andere Anwendungsprogramme (z.B. diverse Filterprogramme), die diese Aufgabe für sie zusätzlich übernehmen können. Auch einige Browser (z.B. Opera) können ihren Typ bei der Übertragung an Webseiten auf Wunsch verfälschen.

  • Eine Firewall?
  • Ja! JAP anonymisiert lediglich Ihre IP-Adresse gegenüber Webseiten, die Sie ansurfen. Dies heißt aber nicht, dass Ihre IP-Adresse im Netz unbekannt ist, es ist nur unklar, welche Webseiten Sie besuchen.

    Eine Firewall hat hingegen den Sinn, Ihren Rechner, dessen IP-Adresse wie erwähnt bekannt ist, gegen Angriffe von außen zu schützen. Und dies ist unbedingt empfehlenswert.

    Bitte beachten Sie unsere Hinweise zur Konfiguration von JAP bei Verwendung einer Personal Firewall.

Wieso vermindert häufiges Trennen und Wieder-Aktivieren bei der Internetverbindung bzw. bei der Verbindung zum Anonymisierungsdienst die Anonymität?

Jemand, der Ihren Rechner beobachtet, weiß wann Ihre Internetverbindung bzw. Ihre Verbindung zum Anonymisierungsdienst besteht. Wenn dieser Beobachter gleichzeitig den ersten Mix des Anonymisierungsdienst überwacht, sieht er auch dort, wann welche Verbindungen auf- und abgebaut werden. Er kann darüber Rückschlüsse darauf ziehen, welcher Nutzer welche Webseite anfragt.

Zur Verdeutlichung sei folgendes Beispiel zweier Internetnutzer gegeben:

  • Es ist bekannt, dass der erste Nutzer eine große Datei herunterlädt (z.B. 50 MB).
  • Es ist weiterhin bekannt, dass der zweite Nutzer nur im Internet surft.
Außerdem sieht ein Beobachter noch, dass sich einer von beiden fortwährend seine Verbindung zum Internet trennt und wieder aufbaut, während der andere ständig verbunden ist. Somit ist klar, wer von beiden die Datei herunterlädt und wer nur surft.

Selbst bei sehr vielen Nutzern bleibt das Problem erhalten: Es lassen sich Schnittmengen über diejenigen Nutzer bilden, die zur selben Zeit eingeloggt waren. Somit ist es relativ einfach herauszubekommen, wer wann etwas gemacht hat.

Bin ich auch anonym vor Webbugs und deren Versender?

Ja, sofern Sie alle anderen Sicherheitshinweise beachtet haben. Eine detaillierte Beschreibung finden Sie unter Deaktivierung aktiver Inhalte.

Sind alle Daten, die meinen Rechner verlassen, verschlüsselt?

Ja, alle Daten, die Ihren Rechner verlassen, sind mehrfach wie eine Zwiebel verschlüsselt für die verwendete Mix-Kaskade. Dies erledigt der JAP für sie. Eine detaillierte Beschreibung finden Sie unter "JAP und Verschlüsselung".

Bitte beachten Sie aber auch, dass den letzten Mix alle Daten unverschlüsselt verlassen, wenn Sie nicht SSL verwenden (Warum?).

Wieso ist der Mix-Dienst zentral und nicht P2P-artig konstruiert?

Manche Nutzer schlagen vor, dass jeder Nutzer mit seinem JAP gleichzeitig Mix für andere sein könnte. Wir haben uns aus mehreren Gründen für Mix-Kaskaden statt Mix-Netze, in denen Nutzer Routen frei wählen könnten, entschieden:

  • Die Anonymität jedes einzelnen Nutzers eines Anonymisierungsdienstes beruht darauf, dass sich möglichst viele Nutzer gleich verhalten. Wenn aber jetzt jeder Nutzer seine eigene Route durch ein Netz von vielen Mixen wählt, ist die Anzahl der Nutzer mit der gleichen Route wesentlich geringer als bei der festen Route in einer Mix-Kaskade.
  • Mix-Betreiber zu sein, der eine hohe Anonymität sichert, heißt damit auch eine hohe Bandbreite an Datenverkehr aufnehmen zu müssen. Dies macht es unrealistisch, dass viele Privatnutzer ihren JAP als Mix zur Verfügung stellen wollen. Umgekehrt ist für die anderen Nutzer durch wechselnde verfügbare Mixe und begrenzte Bandbreite über diese, eine annehmbare Geschwindigkeit des Websurfens schwierig zu erreichen.
  • Letzter Mix-Betreiber zu sein heißt in der Regel leider auch Anfragen von Strafverfolgungsbehörden zu erhalten. Privatnutzer geraten damit ggf. in die Situation zu beweisen, dass sie eine unter ihrer IP begangene Straftat nicht begangen haben.
  • Viele Nutzer vertrauen lieber großen Institutionen, die sich für sie stark machen (zumindest hoffen sie das!) und die Selbstverpflichtung unterzeichnen, als beliebigen Internetnutzern.

 

Download

Stabile Version
00.20.001


Beta-Version
00.20.002


InfoService

Status der verfügbaren AN.ON-Dienste und Informationen über diese.


Aktuell / News

Einschränkungen bei den Dresden (JAP) Anonymiserungsservern
Nach reiflicher Überlegung haben wir uns entschlossen, die Downloadmöglichkeiten über die Dresden (JAP) Mixe etwas zu beschränken, um eine fairere Nutzung der knappen Ressourcen unserer Server für alle Nutzer zu ermöglichen, die einfach "normal" im Web surfen wollen. mehr...

 
---