Absender unbekannt
Für E-Mail, das World Wide Web und andere
Kommunikationskanäle steht jeweils eigene Software zur
Verfügung, mit denen Anonymität hergestellt wird. Doch fast
alle Programme verwenden drei Mechanismen:
- Sie verbergen den Absender einer Mitteilung,
- sie Verbergen den Inhalt durch Verschlüsselung, und schließlich
- verschleiern sie die Verkehrsdaten, so dass nicht
nachvollziehbar ist, wer mit wem kommuniziert.
Im Bereich der E-Mail und der öffentlichen Diskussion in den
Foren des Usenet haben sich diese drei Stufen nach und nach
entwickelt. Sogenannte Remailer folgen seit Anfang der
neunziger Jahre einem grundsätzlichen Funktionsprinzip: Sie
nehmen eine E-Mail an eine bestimmte Adresse entgegen,
entfernen alle Hinweise auf den Absender und stellen sie
dann dem Adressaten oder einer Nachrichtengruppe zu.
Pseudonyme Remailer
Einer der ersten und bekanntesten Remailer war anon.penet.fi
in Finnland. Es handelte sich um einen pseudonymen Remailer,
der Hinweise auf die Absender durch Pseudonyme
ersetzte. Eine dahinter stehende Datenbank verknüpfte
Pseudonyme und Adressen miteinander. Diese Konstruktion
ermöglichte es, einem anonym auftretenden Schreiber eine
E-Mail zurückzuschicken. Die E-Mail ging an den
Pseudonym-Server, der die mit dem Pseudonym verknüpfte
Adresse heraussuchte und sie dahin weiterschickte.
Remailer nehmen eine E-Mail entgegen, entfernen die
Hinweise auf den Absender und leiten sie weiter.
Johan Helsingius, der Betreiber des Service, beendete 1996
nach drei Jahren den Betrieb, obwohl er damals nach eigenem
Bekunden über 500.000 Nutzer hatte, die teilweise 6000
Mitteilungen täglich über den Server schickten. Auslöser für
die Schließung war ein von der Scientology-Sekte
angestrengtes Gerichtsverfahren. Ein Benutzer von
anon.penet.fi hatte im Usenet Exzerpte aus
Scientology-Büchern veröffentlicht. Die Sekte sah darin
einen Bruch des Urheberrechts. Sie bewirkte in Finnland
einen Gerichtsbeschluss, der Helsingius zwang, die
E-Mail-Adresse zu dem Pseudonym herauszugeben.
Cypherpunk Remailer
Auf der Mailing-Liste Cypherpunks wurde das Geschehen
aufmerksam verfolgt. Ihr Name bezieht sich auf das
Science-Fiction-Genre "Cyberpunk" und spielt mit der
Konnotation von Ziffer oder Chiffre. Die Mailing-Liste
stellt die lose Verbindung von Leuten her, die an
Kryptographie, also Verschlüsselung interessiert sind, zum
Teil aber auch ihr libertäres Gedankengut - die Einzelnen
sind nur sich selbst verantwortlich - über das Internet
fördern möchten.
In verschiedenen Szenarien hatten die Cypherpunks die
Unsicherheit des finnischen Pseudonym-Servers schon
durchgespielt. Aus dieser Kritik heraus wurde die erste
Generation der anonymen Remailer, die Cypherpunk- oder
Typ-1-Remailer, entwickelt. Sie schränken die
Rückverfolgbarkeit einer Nachricht ein, indem sie auf
Pseudonyme verzichten und keine Protokolle über ein- und
ausgehende Post führen. Sie können alle den Inhalt einer
Mitteilung zusätzlich auch durch Verschlüsselung
sichern. Dazu steht für jeden Cypherpunk-Remailer ein
öffentlicher Schlüssel bereit, mit dem die eigentliche
Nachricht samt der Adresse, an die sie gehen soll,
chiffriert werden kann. Der Remailer entschlüsselt die Post
und schickt sie daraufhin an die angegebene Adresse weiter.
Zusätzlich sehen die Cypherpunk-Remailer die Möglichkeit der
Verkettung vor und erschweren damit die Ermittlung der
Verkehrsdaten. Denn ein Lauscher könnte bei einem
Cypherpunk-Remailer sowohl über den zeitlichen Zusammenhang
von ein- und ausgehenden Nachrichten als auch über das
Größenverhältnis der Mitteilungen Rückschlüsse auf Absender
und Empfänger ziehen. Um das zu vermeiden, sollte Post über
Typ-1-Remailer mehrere Stationen im Remailer-Netzwerk
vorsehen. Anwender müssen sich also mindestens zwei Remailer
aussuchen: einen, der die Post ins Netzwerk einschleust, und
einen zweiten, der die E-Mail zustellen soll. Dazu muss der
Text erst mit dem Schlüssel des zweiten Servers chiffriert
werden. Die erste Station sieht dann nur die Anweisung, an
welchen Rechner die Mitteilung als nächstes gehen
soll. Adressat und Text bleibt dem Server so verborgen. Der
ausliefernde Rechner kennt dann zwar den Adressaten, sieht
als Sender aber nur den anderen Remailer.
Bei der Verkettung von Remailern nimmt die E-Mail den
vorher festgelegten Weg durch das Netzwerk der
Remailer.
Noch während der Streitigkeiten um anon.penet.fi wurde auf
der Basis der Cypherpunk-Remailer mit nym.alias.net ein
neuer pseudonymer Service aufgebaut. Damit wurde die
Möglichkeit einer persönlichen Antwort auf eine anonyme
Stellungnahme gesichert. Die neueren Pseudonym-Server
fungieren nach dem Beispiel von nym.alias.net als
Kettenglied im Geflecht der Typ-1-Remailer. Um einen
pseudonymes Nutzerkonto einzurichten, schicken Anwender eine
E-Mail mit der Anweisung ein Konto einzurichten, zum
Beispiel <jemand@nym.alias.net>, über Remailer an den
nym-Server. Zusätzlich zur pseudonymen Adresse enthält die
Anweisung einen Antwort-Block, der dem nym-Server sagt, über
welche Remailer-Stationen eine Anwort zurückzuschicken
ist. Der Pseudonym-Server hat also nur Kontakt mit
Remailern. Auf diese Weise kann nicht einmal der Betreuer
des Pseudonym-Servers feststellen, wer bei ihm ein Konto
unterhält.
Mixmaster
Das Problem, die Verkehrsdaten zuverlässig zu
verschleiern, lösen die Typ-1-Remailer nicht. Eine
Rückverfolgung wäre bei einer entsprechend weit gespannten
Überwachung durchaus noch möglich. Ebenfalls aus dem Umfeld
der Cypherpunk-Liste wurden daher die Typ-2-Remailer oder
Mixmaster entwickelt. Der Begriff des "Mix" geht zurück auf
einen Aufsatz von David Chaum, der sich bereits Ende der
70er Jahre mit dem Problem befasste. Chaum schlug vor,
das Ausliefern von Mitteilungen zu verzögern, bis sich eine
ausreichend große Menge angesammelt hat. Erst dann werden
die Nachrichten in einer zufälligen Reihenfolge
weitergeleitet. So verbirgt das System den zeitlichen
Zusammenhang von Eintreffen und Ausliefern. Zusätzlich wird
die Größe der verschiedenen Nachrichten angeglichen, und ein
Rückschluss auch auf dieser Basis ausgeschlossen.
Der
Mixmaster empfängt zeitlich versetzt E-Mails
unterschiedlicher Größen und versendet sie erst, wenn
genügend andere Nachrichten vorliegen. Dabei wird auch die
Größe der Mitteilungen angepasst, um die Verkehrsdaten
zuverlässig zu verschleiern.
Lance Cottrell stellte im November 1994 die erste Version
der Mixmaster-Software auf der Cypherpunk-Liste vor. Im
Gegensatz zu den Typ-1-Remailern, die auch mit normaler
E-Mail-Software verwendet werden können, braucht der
Mixmaster ein eigenes Client-Programm, um schon bei der
Erstellung der Nachricht das Mixmaster-Protokoll, etwa die
Paketgröße, berücksichtigen zu können. Die Verschlüsselung
der Mitteilung und die Verkettung verschiedener Stationen
nutzt auch Mixmaster.
Damit die Nutzung der Mixmaster nicht auffällt, müssen die
Server zumindest untereinander aber eigentlich auch die
Nutzer für ständigen Verkehr im Mixmaster-Netz
sorgen. Dadurch entsteht ein Überfluss an Mitteilungen.
Angaben wieviele "reale" Mitteilungen durch die Mixmaster
fließen, werden damit unmöglich. Da die meisten Remailer
heute beide Betriebsarten, sowohl als Cypherpunk-Remailer,
wie als Mixmaster beherrschen, kommt Lutz Donnerhacke,
selbst Betreiber eines Remailers in Deutschland, nur zu
einer globalen Einschätzung: "Das Aufkommen beläuft sich auf
mehrere Gigabyte im Monat." Die Statistiken einzelner Server
geben ihm Recht: sie verarbeiten bis zu 1000 Mitteilungen pro
Tag. Die Bewältigung eines solchen Datenstroms kostet
Geld. Das erklärt vielleicht, warum die Anzahl der Remailer
ständigen Schwankungen unterworfen ist. Donnerhacke nennt
die Spannbreite von zehn bis hundert Systemen. Ende 2001
beteiligen sich um die vierzig Rechner.
