Mike Kuketz
2. Oktober 2017 | 09:15 Uhr

VPN: Stimmen vom Tor-Project und Privacy-Handbuch

Das Thema VPN und Anonymität scheint ein echter Dauerbrenner zu sein – offenbar wachen die Leute langsam auf und verstehen, dass die Nutzung eines VPNs schon allein aus rein technischer Sicht nicht anonym sein kann. Ganz zu schweigen von den hohlen Versprechungen der diversen VPN-Anbieter bezüglich Anonymität beim Surfen. Bei dieser Gelegenheit verlinke ich dann gerne auf meinen Beitrag »Anonymität: Die haltlosen Werbeversprechen der VPN-Anbieter«.

Doch auch das Tor-Project und das Privacy-Handbuch äußern sich jeweils zu VPNs und das Märchen der Anonymität. Zitat Tor-Project:

Do not use a VPN as an anonymity solution. If you’re looking for a trusted entry into the Tor network, or if you want to obscure the fact that you’re using Tor, setting up a private server as a bridge works quite well.

VPNs encrypt the traffic between the user and the VPN provider, and they can act as a proxy between a user and an online destination. However, VPNs have a single point of failure: the VPN provider. A technically proficient attacker or a number of employees could retrieve the full identity information associated with a VPN user. It is also possible to use coercion or other means to convince a VPN provider to reveal their users‘ identities. Identities can be discovered by following a money trail (using Bitcoin does not solve this problem because Bitcoin is not anonymous), or by persuading the VPN provider to hand over logs. Even if a VPN provider says they don’t keep logs, users have to take their word for it—and trust that the VPN provider won’t buckle to outside pressures that might want them to start keeping logs.

When you use a VPN, websites can still build up a persistent profile of your usage over time. Even though sites you visit won’t automatically get your originating IP address, they still know how to profile you based on your browsing history.

When you use Tor the IP address you connect to changes at most every 10 minutes, and often more frequently than that. This makes it extremely dificult for websites to create any sort of persistent profile of Tor users (assuming you did not identify yourself in other ways). No one Tor relay can know enough information to compromise any Tor user because of Tor’s encrypted three-hop circuit design.

Und das Privacy-Handbuch:

VPNs wurden NICHT als Anonymisierungsdienste entwickelt. Der Einsatz als Billig-Anonymisierer ist aus folgenden Gründen nicht sinnvoll:

  • VPNs anonymisieren lediglich die IP-Adresse eines Internetnutzers. Für Trackingdienste ist die IP-Adresse aber nur ein geringwertiges Tracking­feature. Durch die Verbreitung mobiler Internetnutzung mit ist der Wert dieses Merkmals weiter gesunken. Modernes Tracking verwendet Browser Finger­printing und EverCookies, gegen die VPNs nicht schützen. Somit ist durch VPNs keine Anonymität bei Surfen gegeben.
    (Richtige Anonymisierungsdienste wie Tor Onion Router adressieren dieses Problem durch eine einheitliche Browserkonfiguration (TorBrowserBundle), die eine Anonymitätsgruppe schafft, in der einzelne Surfer nicht unterscheidbar sind.)
  • Die IP-Anonymisierung von VPNs kann relativ einfach durch Traffic Korrelation oder Traffic Fingerprinting ausgehebelt werden. Die mathematischen Grund­lagen dafür lernt jeder Informatikstudent im ersten Jahr im Mathe Grundkurs.
    Hermann/Wendolsky/Federrath haben bereits 2009 in dem Paper Attacking Popular Privacy Enhancing Technologies with the Multinomial Naïve-Bayes Classifier gezeigt, dass man die Nutzer eines OpenVPN Anonymisierers zu 95% durch Beobachtung des Traffics des VPN-Servers bzw. -Nutzers deanonymisieren kann ohne die Krypto zu knacken. Bei Tor war der gleiche Ansatz unter Laborbedingungen mit 3% Erkennungsrate erfolglos.
    (Inzwischen gibt es auch einige mathematisch ausgefeiltere Angriffe dieser Art auf Tor Onion Router unter Labor­bedingungen, die aber nicht so einfach auf die reale Welt übertragbar sind, wie M. Perry in einem Blogartikel schreibt. Tor enthält Schutzmaßnahmen gegen diese Angriffe.)
  • […]

So langsam sollte es wirklich jedem dämmern, dass die Nutzung eines VPNs für Anonymisierungszwecke beim Surfen völliger Blödsinn ist. Wer möglichst anonym und spurenfrei im Internet Surfen möchte, der sollte das 3-Browser-Konzept umsetzen.

Hinweis

Übrigens: Lasst die Finger von VPN-Vergleichsportalen. Das sind meist dubiose Anbieter, die gutgläubige Nutzer mit Affiliate-Links abzocken. Mehr dazu im Beitrag: VPN-Vergleichsportale: Finger weg von diesen Seiten.
Unterstütze den Blog mit einem Dauerauftrag! Mitmachen ➡
Ähnliche Beiträge
Internet-Zensur
2. April 2022

HowTo: Internet-Zensur umgehen und anonym bleiben

Gegen Netzsperren: Mit VPN, Psiphon und Tor ist es möglich, die Internet-Zensur zu umgehen. Dank Snowflake kann jeder mithelfen!
Tor-Browser-Bundle
8. April 2015

Konfiguration des Tor-Browser-Bundles – Not my data! Teil3

Erst eine korrekte Konfiguration und Handhabung des Tor-Browsers schützt vor Tracking-Techniken und Werbenetzwerken.
VPN anonym
30. November 2016

Anonymität: Die haltlosen Werbeversprechen der VPN-Anbieter

Ein VPN wird oft als Allheilmittel angepriesen: Unter anderem versprechen viele Anbieter 100% Anonymität. Was ist dran an diesen Werbeversprechen?
Internet-Zensur
13. Februar 2013

Internet-Zensur umgehen – Internet-Zensur Teil3

Internet-Zensur umgehen - dazu eignen sich diverse Tools, wie zum Beispiel Tor oder JonDonym. Eine Übersicht verbreiteter Maßnahmen.
VPN Anonym
22. Oktober 2015

Kommentar: Der Mythos vom anonymen VPN-Zugang

VPN-Dienstleister werben mit dem anonymen Surfen im Netz. Dahinter steckt leider nur ein leeres Marketingversprechen.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.