Erklärung von Ricochet-Refresh zu den jüngsten Berichten in deutschen Medien über angebliche Timing-Angriffe, die unsere Nutzer betreffen

Written By Naomi Colvin

Mehrere deutsche Medien haben einen Bericht veröffentlicht, in dem es darum geht, dass Strafverfolgungsbehörden angeblich die Anonymität von Tor und damit auch von Ricochet-Refresh durchbrochen haben.

Wir möchten einige Fragen zu diesem Thema beantworten, um die Fakten vom Hype zu trennen.

1. Sind Ihnen Fälle bekannt, in denen Ricochet-User entanonymisiert wurden? Wenn ja, wie?

Uns sind keine Fälle bekannt, in denen User der aktuellen Version von Ricochet-Refresh entanonymisiert wurden. (Einschließlich dieses konkreten angeblichen Falls, da uns keine Beweise dafür vorgelegt wurden).

Die gemeldeten Angriffe ereigneten sich zwischen 2019 und 2021, und wir haben die Software seitdem grundlegend aktualisiert, um die Sicherheit zu verbessern.

Einige technische Details von unserer Seite:

Insbesondere die Vanguards-Lite-Funktion wurde im Juni 2022 in Version 3.0.12 von Ricochet-Refresh eingeführt, nachdem ein Upgrade auf die Tor-Serie 0.4.7 durchgeführt wurde. 

Ohne die Details des gemeldeten Angriffs zu kennen, können wir nicht definitiv sagen, dass diese Funktion den Angriff verhindert hätte. Wir wissen jedoch, dass Vanguards zum Teil eingeführt wurden, um diese allgemeine Art von Angriffen zu erschweren. Seitdem haben wir regelmäßig Updates veröffentlicht, die auch Sicherheitsupdates für unsere vorgelagerten Abhängigkeiten (einschließlich Tor) enthalten.

2. Was sind diese „Timing“-Angriffe? Könnten sie auf anonyme Kommunikation angewendet werden? Verletzen sie die Vertraulichkeit einer Online-Konversation?

Auch hier haben wir keine nachgewiesenen Details des Angriffs und es ist schwierig, auf einen Vorfall zu reagieren, wenn die Dokumentation nicht einsehbar ist.

Angriffe zum „Timing“ gibt es schon seit einiger Zeit, das ist nichts Neues. Sie können theoretisch die Identität eines anonymen Endnutzers enttarnen, aber sie brechen nicht den Inhalt geheimer Gespräche auf. Im Allgemeinen würde der Angreifer in dieser Situation umfangreiche Ressourcen und enorme rechtliche Befugnisse benötigen, um erfolgreich zu sein – letztlich müsste es sich dabei um staatliche Akteure handeln.

Der Bereich der Cybersicherheit bietet selten absolute Garantien. Wenn Sie vollkommen privat sein wollen, müssen Sie sich vollständig von der digitalen Welt abkoppeln. Das ist für die meisten Menschen keine sehr praktische Lösung.

Also geht es darum, das Risiko so weit wie möglich zu minimieren. Anstatt zu sagen: „Weil es ein sehr geringes Risiko gibt, sollten wir aufhören, Technologie zu nutzen, um uns zu schützen“, empfehlen wir, kostenlose Open-Source-Software wie Ricochet-Refresh zu nutzen, die von Natur aus deutlich mehr Privatsphäre und Anonymität bietet als die meisten anderen Tools.


3. Ist es für User von Ricochet-Refresh überhaupt möglich, sich vor solchen „Timing-Analysen“ zu schützen? Wenn ja, wie?

Ricochet-Refresh ist eine der sichersten Möglichkeiten, online zu kommunizieren. Die überwiegende Mehrheit der User von Ricochet-Refresh muss nichts tun, um sich vor Angriffen durch Timing-Analysen zu schützen.

In den allermeisten Fällen ist ein Angreifer nicht in der Lage, die Identität einer Person herauszufinden, da er nicht über die erforderlichen umfangreichen Ressourcen verfügt.

Als reine Vorsichtsmaßnahme empfehlen wir Endnutzer*innen, die mit mächtigen Angreifern konfrontiert sind, die Anzahl der Personen zu begrenzen, an die sie ihre Ricochet-Refresh-ID weitergeben. Im Zusammenhang mit Ricochet-Refresh sind die meisten theoretischen und praktischen Angriffe nur möglich, wenn der Gegner die ID des Ziels kennt, das er zu de-anonymisieren versucht. Auch in den Angriffsszenarien aus der News-Story ist der Inhalt der Nachrichten geheim geblieben.

4. Verbessern Sie die Sicherheit von Ricochet-Refresh weiter?

Ja. Wir veröffentlichen monatlich Ricochet-Refresh-Versionen, wenn vorgelagerte Dienste (z. B. tor, openssl, qt usw.) Sicherheitsupdates veröffentlichen. Darüber hinaus haben wir auch an der Erforschung und Entwicklung eines verbesserten Backends gearbeitet, das „Timing-Analyse“-Angriffe erheblich erschweren sollte, indem es Usern die Möglichkeit bietet, seine Online-Sichtbarkeit für nicht autorisierte Peers zu kontrollieren.

5. Ist es sicher, Ricochet weiterhin zu verwenden? Warum?

Hinweis: Ricochet ist nicht dasselbe wie Ricochet-Refresh. Ricochet wurde eingestellt, da es auf veralteter Technologie basiert, die im Tor-Netzwerk nicht mehr existiert.

Ja. Ricochet-Refresh kann weiterhin mit einem hohen Maß an Vertrauen verwendet werden. Es ist immer noch eine der privatesten und sichersten Möglichkeiten, online zu kommunizieren.

Das Protokoll ist vollständig Peer-to-Peer und der Client ist Open-Source; es gibt keine Kontoregistrierung, keine Server, die Ihre Daten hosten, und keine zentralisierten Organisationen oder Infrastrukturen, die angegriffen werden könnten. Die Kontodaten einer Person werden lokal auf ihrem eigenen Computer gespeichert und ihre Mitteilungen werden nur an die vorgesehenen Empfänger gesendet. Diese Mitteilungen sind standardmäßig privat und sicher, da sie durchgehend verschlüsselt sind.


Naomi Colvin
Previous

Der rechtliche Beirat der No SLAPP Anlaufstelle: Dr. Nadine Dinig & Dr. Jasper Prigge, LL.M.
Next

Werden Sie geSLAPPed? Unser Fragebogen zur Einschätzung rechtlicher Einschüchterungsversuche