Onion-Dienste

Onion-Dienste erlauben, anonym zu surfen, aber auch zu publizieren, auch anonyme Webseiten zu veröffentlichen.

Onion-Dienste werden auch für metadatenfreien Chat und gemeinsamen Dateizugriff, sicherere Interaktion zwischen Journalisten und ihren Quellen wie mit SecureDrop oder OnionShare, sicherere Software-Updates und sicherere Wege, beliebte Websites wie Facebook zu erreichen, genutzt.

Diese Dienste nutzen die spezielle Top-Level Domain (TLD) .onion (anstelle von .com, .net, .org, etc.) und sind nur über das Tor-Netzwerk zugänglich.

Onion-Symbol

Wenn du eine Webseite aufrufst, die einen Onion-Dienst nutzt, zeigt der Tor-Browser in der URL-Leiste ein Onion-Symbol an, das den Status deiner Verbindung anzeigt: sicher und einen Onion-Dienst nutzend.

Wenn du mehr über Onion-Dienste erfahren möchtest, lies „Wie funktionieren Onion-Dienste?

Onion-Location ist ein HTTP-Header, den Websites verwenden können, um für ihr Onion-Gegenstück zu werben. Wenn die Webseite, die du besuchst, eine .onion-Domain hat, wird dir in der URL-Leiste ein violettes Vorschlagssymbol angezeigt, neben dem „.onion verfügbar“ steht. Wenn du auf „.onion verfügbar“ klickst, wird die Website neu geladen und zu ihrem Onion-Pendant umgeleitet. Im Moment ist Onion-Lokalisierung für den Desktop-Tor-Browser (Windows, macOS und GNU/Linux) verfügbar. Du kannst mehr über Onion-Lokalisierung im Tor-Browser-Handbuch erfahren. Wenn du ein Betreiber eines Onion-Dienstes bist, lerne wie man Onion-Lokalisierung konfiguriert auf deiner Onion-Site.

Woher weiß ich, ob ich v2- oder v3-Onion-Dienste verwende?

Du kannst v3-Onion-Adressen durch ihre Länge von 56 Zeichen identifizieren, z.B. die v2-Adresse des Tor-Projekts:http://expyuzz4wqqyqhjn.onion/, und die v3-Adresse des Tor-Projekts: http://2gzyxa5ihm7nsggfxnu52rck2vv4rvmdlkiu3zzui5du4xyclen53wid.onion/

Wenn du ein Onion-Dienst-Administrator bist, musst du so schnell wie möglich auf v3-Onion-Dienste aktualisieren. Wenn du ein Benutzer bist, stelle bitte sicher, dass du deine Lesezeichen auf die v3-Onion-Adressen der Website aktualisierst.

Was ist der Zeitplan für die Ausmusterung von v2?

Im September 2020 begann Tor damit, Onion-Dienst-Betreiber und Kunden zu warnen, dass v2 in Version 0.4.6 veraltet und ausgedient sein wird. Der Tor-Browser hat im Juni 2021 begonnen, Benutzer zu warnen.

Im Juli 2021 wird 0.4.6 Tor v2 nicht mehr unterstützen und die Unterstützung wird aus der Codebasis entfernt.

Im Oktober 2021 werden wir neue stabile Versionen des Tor-Clients für alle unterstützten Serien veröffentlichen, die v2 deaktivieren werden.

Du kannst mehr in dem Blogeintrag Onion-Dienst-Version-2-Ausmusterungs-Timeline des Tor-Projekts lesen.

Kann ich meine v2-Onion-Adresse weiter nutzen? Kann ich nach September auf meine v2-Onion zugreifen? Ist dies eine rückwärts-inkompatible Änderung?

V2-Onion-Adressen sind grundsätzlich unsicher. Wenn du eine v2-Onion hast, empfehlen wir dir, jetzt zu migrieren. Dies ist eine rückwärtsinkompatible Änderung: v2-Onion-Dienste werden nach September 2021 nicht mehr erreichbar sein.

Was ist die Empfehlung für Entwickler, um zu migrieren? Gibt es Tipps, wie man die neuen v3-Adressen unter die Leute bringen kann?

Um in torrc eine Adresse der Version 3 zu erstellen, musst du einfach einen neuen Dienst erstellen, genauso wie du deinen v2-Dienst erstellt hast, mit diesen beiden Zeilen:

HiddenServiceDir /full/path/to/your/new/v3/directory/
HiddenServicePort <virtual port> <target-address>:<target-port>

Die Standardversion ist jetzt auf 3 eingestellt, so dass du sie nicht explizit einstellen musst. Starte Tor neu und suche in deinem Verzeichnis nach der neuen Adresse. Wenn du deinen Version-2-Dienst weiterlaufen lassen möchtest, bis er nicht mehr zugelassen ist, um deinen Benutzern einen Übergangspfad zu bieten, füge diese Zeile in den Konfigurationsblock deines Version-2-Dienstes ein:

HiddenServiceVersion 2

So kannst du in deiner Konfigurationsdatei erkennen, welche Version welche ist.

Wenn du Onion-Location auf deiner Website konfiguriert hast, musst du in den Kopfzeilen deine neue v3-Adresse festlegen. Die technische Dokumentation zum Ausführen von Onion-Diensten findest du auf der Seite Onion-Dienste in unserem Community-Portal.

Ich habe die Ankündigung nicht gesehen, kann ich mehr Zeit für die Migration bekommen?

Nein, v2-Onion-Verbindungen fangen jetzt an zu versagen, erst langsam, dann plötzlich. Es ist Zeit, zu gehen.

Werden die Dienste erst ab September oder schon vorher nicht mehr erreicht werden?

Schon jetzt sind die Einführungspunkte nicht mehr in Tor 0.4.6 enthalten, so dass sie bei einem Update der Relay-Betreiber nicht mehr erreichbar sein werden.

Kann ich als Website-Administrator Benutzer von meiner v2-Onion auf v3 umleiten?

Ja, es wird funktionieren, bis die v2-Onion-Adresse unerreichbar ist. Vielleicht möchtest du die Benutzer dazu ermutigen, ihre Lesezeichen zu aktualisieren.

Werden v3-Onion-Dienste bei der Eindämmung von DDoS-Problemen helfen?

Ja, wir arbeiten kontinuierlich an der Verbesserung der Sicherheit der Onion-Dienste. Einige der Arbeiten, die wir in unserer Roadmap haben, sind ESTABLISH_INTRO Cell DoS Defense Extension, Res tokens: Anonymous Credentials for Onion Service DoS Resilience, und A First Take at PoW Over Introduction Circuits. Eine Übersicht über diese Vorschläge findest du im ausführlichen Blogeintrag „How to stop the onion denial (of service)“.

Wenn der gewünschte Onion-Dienst nicht erreichbar sind, sieh zu, dass du die 56-stellige Adresse richtig eingegeben hast: Selbst der kleinste Fehler macht es dem Tor Browser unmöglich, die Seite aufzurufen. Solltst du dich immer noch nicht mit dem Tor-Netzwerk verbinden können, versuch es bitte später wieder. Eventuell gibt es ein vorübergehendes Verbindungsproblem, oder die Webseitenbetreiber*innen haben die Seite vom Netz genommen.

Du kannst auch sicherstellen, dass du auf andere Onion-Dienste zugreifen kannst, indem du dich mit DuckDuckGo's Onion-Dienst verbindest.

Es gibt Onion-Dienste, die ein Authentifizierungs-Token (in diesem Fall einen privaten Schlüssel) verlangen, um Zugriff auf den Onion-Dienst freizugeben. Der private Schlüssel wird dem Dienst nicht mitgeteilt, sondern lediglich genutzt, um einen Deskriptor zu verschlüsseln. Du solltest die Zugangsdaten vom Onion-Dienst-Anbieter erfragen, wenn du Zugang haben willst. Mehr Informationen darüber, wie du Onion-Authentifizierung nutzen kannst, findest du hier. Wenn du einen Onion-Dienst mit Client-Authentifizierung anbieten willst, informiere dich bitte im Abschnitt Kundenautorisierung des Community-Portals darüber.

Beim Durchsuchen eines Onion-Dienstes zeigt der Tor-Browser verschiedene Onion-Symbole in der Adressleiste an, welche die Sicherheit der aktuellen Webseite anzeigen.

Bild einer Zwiebel Eine Zwiebel bedeutet:

  • Der Onion-Dienst wird über HTTP oder HTTPS mit einem von einer CA (Zertifizierungsstelle) unterschriebenen Zertifikat bereitgestellt.
  • Der Onion-Dienst wird über HTTPS mit einem selbstsignierten Zertifikat bereitgestellt.

Bild einer Zwiebel mit rotem Schrägstrich Eine rot durchgestrichene Zwiebel bedeutet:

  • Der Onion-Dienst verwendet ein Skript von einer unsicheren URL.

Bild einer Zwiebel mit einem Warnschild Eine Zwiebel mit Warnsymbol bedeutet:

  • Der Onion-Dienst wird über HTTPS mit einem abgelaufenen Zertifikat bereitgestellt.
  • Der Onion-Dienst wird über HTTPS mit einer falschen Domain bereitgestellt.
  • Der Onion-Dienst wird mit einer Mischform über eine unsichere URL bedient.

Webseiten, die nur über Tor erreichbar sind, werden „Onions“ genannt und enden mit der Top-Level-Domain .onion. Zum Beispiel lautet die DuckDuckGo-Onion-Adresse https://duckduckgogg42xjoc72x3sjasowoarfbgcmvfimaftt6twagswzczad.onion/. Du kannst diese Webseiten mit dem Tor-Browser erreichen. Webseiten-Betreiber müssen ihre Adresse mitteilen, denn Onions werden nicht im klassischen Sinn indiziert wie übliche Webseiten.