„Bitmessage“ – Versionsunterschied

Dieser Artikel wurde wegen inhaltlicher Mängel auf der Qualitätssicherungsseite der Redaktion Informatik eingetragen. Dies geschieht, um die Qualität der Artikel aus dem Themengebiet Informatik auf ein akzeptables Niveau zu bringen. Hilf mit, die inhaltlichen Mängel dieses Artikels zu beseitigen, und beteilige dich an der Diskussion! (+) Begründung: Der Artikel weist verschiedene Mängel auf. Darunter ist die Unordnung der Abschnitte im Bereich "Praktische Relevanz", der andauernde Vergleich mit "Remailing", ohne andere Verfahren zu erwähnen. Außerdem ist der Artikel zum Teil sehr gesprochen geschrieben und entspricht nicht dem sprachlichen Niveau eines Fachartikels. Des weiteren geht der Artikel größtenteils nur auf das ein, was das Protokoll leisten soll, aber nicht darauf, wie es das im Einzelfall tut. Das verwendete Verschlüsselungsverfahren und eine Erklärung der "Streams" fehlt vollständig. Information über vorhandene Implementierungen und eine Grundlegende sachliche Bewertung dieser fehlt ebenfalls. Der Abschnitt "Bedeutung des Bitmessage-Projekts" trägt wenig zum Artikel bei und sollte vollständig überarbeitet werden.--ISibboI (Diskussion) 21:38, 17. Jan. 2014 (CET)

Bitmessage ist ein 2012 vorgeschlagenes Verschlüsselungsprotokoll, das einen vertraulichen und anonymen Austausch von E-Mail-ähnlichen Nachrichten in einem Peer-to-Peer-Netzwerk ermöglichen soll.^[1] Das Protokoll und die Referenzimplementierung basieren auf der Bitcoin-Technik.

Nachrichten werden verschlüsselt und signiert übertragen. Anders als zum Beispiel bei den E-Mail-Verschlüsselungsprotokollen S/MIME und PGP, werden bei Bitmessage auch Absender, Empfänger und die Betreffzeile vertraulich übertragen, um dadurch einen anonymen Nachrichtenaustausch zu ermöglichen. Bitmessage unterscheidet sich von Remailing bei E-Mail, dass die Anonymität von Absender und Empfänger durch eine Broadcast-Übertragung der Nachrichten an alle Bitmessage-Teilnehmer umgesetzt wird.

Es gibt eine Referenzimplementierung von dem Entwickler des Bitmessage-Protokolls. Das Programm PyBitmessage lässt sich ähnlich wie ein E-Mail-Programm benutzen und ermöglicht nach der Installation die Teilnahme am weltweiten Bitmessage-Netzwerk.

Beim Bitmessage-Protokoll trägt eine verschlüsselte Botschaft keinerlei direkten Hinweis auf Absender oder Empfänger. Sie muss daher allen Teilnehmern des Bitmessage-Netzwerks zugestellt werden. Ein Teilnehmer kann mittels des HMAC-Verfahren feststellen, ob eine Nachricht mit einem seiner öffentlichen Schlüssel verschlüsselt wurde.^[2] Ist dies der Fall, weiß er, dass die Nachricht für ihn bestimmt ist, und er sie entschlüsseln kann.

Wenn das Bitmessage-Netzwerk wächst, wird die Zahl der zugestellten Botschaften groß genug werden, um die Internetverbindung eines einzelnen Teilnehmers zu überlasten. Deshalb teilt sich das Netzwerk rechtzeitig in Gruppen, die sogenannten „Streams“. Eine Bitmessage-Botschaft wird dann nur den Mitgliedern des Streams zugestellt, in dem sich der Empfänger befindet.

Verschlüsselt wird mit dem öffentlichen Schlüssel des Empfängers. Der Empfänger ist der einzige, der die Botschaft wieder entschlüsseln kann, weil nur er den dazugehörigen privaten Schlüssel kennt.

Als Empfängeradresse dient der RIPEMD-160-Hash des öffentliche Schlüssels des Empfängers. Dadurch wird die Länge der Adresse von 128 Byte auf 20 Byte verkürzt. Um mit dem Hash den öffentlichen Schlüssel des Empfängers zu erhalten, kann ein Teilnehmer im jeweiligen Stream mittels einer speziellen Nachricht danach fragen.^[3]

Der Fingerprint wird zusammen mit der Nummer des Streams, in welchem sich der Empfänger befindet, in eine Buchstaben- und Ziffernkette umgewandelt die man auf einem Zettel notieren oder am Telefon diktieren kann, zum Beispiel:

BM‐2nTX1KchxgnmHvy9ntCN9r7sgKTraxczzyE

Das Prefix „BM-“ kennzeichnet die Zeichenfolge als Bitmessage-Adresse. Die Base58-Kodierung sorgt für druck- und aussprechbare Zeichen und soll Fehler durch die Verwechslung von I und l, bzw. 0 und O ausschließen.

Eine Bitmessage-Adresse ähnelt dem Schuh des Aschenputtels. Die junge Frau hatte dem Prinzen einen Schuh hinterlassen, der nur ihr passte. Sie konnte dem Prinzen beweisen, dass sie die maskierte Tänzerin gewesen war. Sie konnte aber auch anonym bleiben, wenn sie wollte. Ohne ihre Kooperation konnte der Prinz sie nicht ausfindig machen.

Doch da endet die Parallele: Um sie ausfindig zu machen, musste der Prinz einen öffentlichen Aufruf im Königreich verbreiten: „Mit wem habe ich getanzt? Bitte melde dich!“ Es meldeten sich unzählige junge Frauen. Hätten sie das per Bitmessage-Protokoll getan, hätte er Aschenputtels Antwort an der Signatur erkennen können. Jede Bitmessage-Botschaft enthält neben dem signierten Klartext den öffentlichen Schlüssel, mit dem sich die Signatur überprüfen lässt.^[4] Aus dem öffentlichen Schlüssel hätte der Prinz die Bitmessage-Adresse berechnen können, um sie mit der Adresse zu vergleichen, die die maskierte Tänzerin ihm hinterlassen hatte. Doch wenn sie ihm tatsächlich eine Bitmessage-Adresse hinterlassen hätte, dann hätte er den „öffentliche Aufruf“ verschlüsseln können, und dann hätte allein ihre Antwort schon als Beweis genügt.

Diese Eigenschaften des Bitmessage-Netzwerks ergeben sich unmittelbar aus den Eigenschaften öffentlicher und privater Schlüssel, so wie sie in S/MIME und OpenPGP schon seit Jahren verwendet werden. Es musste nur jemand auf die Idee kommen, sie mit einer Broadcast-Übertragung zu kombinieren.

Remailer ermöglichen die anonyme Übertragung von E-Mails. Das Funktionsprinzip von Remailern beruht darauf, dass die Herkunft der E-Mail verschleiert wird. Vor allem die IP-Adresse des Absenders soll verschleiert werden. Denn die IP-Adresse lässt sich dem Kunden eines Internetproviders zuordnen. Der Internetprovider veröffentlicht diese Information zwar nicht (bei dynamisch zugewiesenen IP-Adressen), aber er muss sie im Verdachtsfall an Ermittlungsbehörden herausgeben. Und es besteht natürlich die Möglichkeit, dass sie von einem Mitarbeiter heimlich weitergegeben wird.

Deshalb wird die E-Mail ohne Absenderangabe an einen Remailer geschickt, der sie an den Empfänger weiterleitet. Der Empfänger bekommt nur die IP-Adresse des Remailers zu sehen.

Ein Angreifer, der den eingehenden Datenverkehr des Remailers beobachtet, wäre aber in der Lage, die E-Mail dem Absender bzw. seiner IP-Adresse zuzuordnen. Deshalb muss der Absender die E-Mail mitsamt der Empfängeradresse verschlüsseln, bevor er sie an den Remailer schickt. Der entschlüsselt das ganze und schickt die E-Mail an den Empfänger weiter.

Der Beobachter könnte die ausgehende unverschlüsselte E-Mail aber der eingehenden verschlüsselten E-Mail zuordnen, weil sie kurz aufeinander folgen. Deshalb sammelt der Remailer viele eingehende E-Mails von unterschiedlichen Absendern und schickt sie in vertauschter Reihenfolge wieder aus.

Bei diesem Vorgehen müssen die Absender dem Betreiber des Remailers vertrauen. Um zu verhindern, dass der Remailer selbst erfährt, wer mit wem kommuniziert, können mehrere Remailer kaskadiert werden. Dabei befinden sich die einzelnen Remailer möglichst im Besitz unabhängiger Betreiber in unterschiedlichen Ländern.

Um eine E-Mail durch eine Kaskade von Remailern zu schicken, verschlüsselt der Absender die Empfängeradresse und den Inhalt der E-Mail mit dem öffentlichen Schlüssel des letzten Remailers. Das Ergebnis und die Adresse des letzten Remailers verschlüsselt er mit dem öffentlichen Schlüssel des vorletzten Remailers. Das setzt er fort, bis er das Ergebnis schließlich mit dem öffentlichen Schlüssel des ersten Remailers verschlüsselt hat. Das ganze schickt er dann an den ersten Remailer, der die äußere Verschlüsselung entfernt, und als Empfängeradresse die Adresse des zweiten Remailers vorfindet. Beim Weg durch die Kaskade wird eine Schicht der Verschlüsselung nach der anderen entfernt, bis der Klartext schließlich zum Empfänger gelangt (vgl. Onion-Routing).

Um herauszufinden, wer hier wem eine E-Mail schickt, müssen die Betreiber aller Remailer miteinander kooperieren. Wenn nur einer der Betreiber nicht kooperiert, bleibt die Anonymität des Absenders gewahrt.

Falls der Absender auf dieselbe Weise eine Antwort haben möchte, muss er darauf verzichten, vor dem Empfänger anonym zu bleiben. Dann schreibt er eine Antwortadresse in die E-Mail und muss sie natürlich verschlüsseln, denn sonst würde jemand, der den Ausgang der Remailer-Kaskade beobachtet, erfahren, wer hier mit wem kommuniziert.

Wenn Absender und Empfänger beide voreinander anonym bleiben wollen, sind deutlich kompliziertere Konstruktionen nötig (siehe Mix). Deswegen wird häufig darauf verzichtet.

Während es bei dem beschriebenen Verfahren und seinen Varianten am einfachsten ist, den Absender zu anonymisieren, ist es beim Bitmessage-Protokoll am einfachsten, den Empfänger zu anonymisieren. Der Empfänger tut einfach gar nichts, womit er sich verraten könnte. Er nimmt, wie alle anderen Teilnehmer, nur passiv alle Botschaften entgegen. Um den Empfänger zu identifizieren, müsste man schon in seinen Rechner einbrechen.

Der Absender, dagegen, bleibt vor dem Empfänger nicht anonym. Denn der Empfänger weiß ja, von welcher IP-Adresse er die Botschaft erhalten hat. Sofern der Empfänger die so gewonnene Kenntnis aber nicht öffentlich macht, bleibt der Absender allen Unbeteiligten gegenüber anonym, in dem Sinne dass niemand seine Bitmessage-Adresse mit seiner IP-Adresse in Verbindung bringen kann.

Der Entwickler des Bitmessage-Protokolls hat sich zum Ziel gesetzt, die Zuordnung zwischen Bitmessage-Adresse und IP-Adresse völlig auszuschließen. Auch der Empfänger soll die IP-Adresse des Absenders nicht in Erfahrung bringen können. Davon unten mehr.

Die Bedeutung des Bitmessage-Protokolls liegt in seiner Einfachheit. Je komplexer eine Sicherheitsarchitektur ist, desto schwerer ist es, Sicherheitslücken auszuschließen.

Dafür hat die Remailer-Kaskade den Vorteil, dass sie sich in die bestehende E-Mail-Infrastruktur einfügen lässt. Die Namensauflösung per DNS, die gewohnten E-Mail-Programme, Postfächer auf den Servern eines Mail-Dienstleisters, ... all das lässt sich weiterbenutzen. Und vor allem ist so ziemlich jeder, der einen Internetanschluss hat, per E-Mail erreichbar.

Als Peer-to-Peer-Netzwerk hat Bitmessage allerdings den Charme, dass es auf diese ganze Infrastruktur nicht angewiesen ist. Da es beispielsweise ohne das DNS auskommt, können die Teilnehmer nicht Opfer von DNS-Spoofing werden. Das soll in Zukunft zwar durch DNSSEC verhindert werden, doch dadurch wird die Komplexität des ganzen Systems noch weiter erhöht.

Ein Bitmessage-Netzwerk ist so übersichtlich, dass man hoffen kann, es wirklich „wasserdicht“ zu machen.

Der Entwickler des Bitmessage-Protokolls, Jonathan Warren, hat sich von dem Protokoll des Bitcoin-Netzwerks anregen lassen. Er ist kein Fachmann für Kryptologie. (Zumindest hat er ausgesprochene Anfängerfehler begangen^[5].) Aber die Einfachheit des Bitmessage-Protokolls dürfte eine große Anziehungskraft auf Fachleute ausüben, die sich mit den älteren Verfahren zur Anonymisierung beschäftigt haben. Nach Google-Treffern zu urteilen, scheint das Projekt bisher (29. März 2013) nur in der Bitcoin-Szene wahrgenommen worden zu sein.^{[6] [7]}

Der Entwickler Jonathan Warren nimmt an, dass ein Angreifer einen einzelnen Internetanschluss abhören oder kontrollieren kann, jedoch nicht die Internetanschlüsse aller Bitmessage-Nutzer. Ein Angreifer wie die NSA könne außerdem einen zentralen Internet-Knoten abhören, jedoch ebenfalls nicht die Internetanschlüsse aller Teilnehmer.^[8]

Unter diesen Bedingungen könne ein Angreifer nicht den genauen Standort oder die Identität eines Bitmessage-Nutzers feststellen. Durch das Abhören von Internet-Knoten könne man den ungefähren Standort von Absender und Empfänger eingrenzen. Durch das Abhören eines Internetanschlusses könne ein Angreifer einen Bitmessage-Nutzer dann identifizieren, wenn der Angreifer einen bestimmten Bitmessage-Nutzer an einem Internetanschluss vermutet.^[9]

Dieser Artikel oder nachfolgende Abschnitt ist nicht hinreichend mit Belegen (beispielsweise Einzelnachweisen) ausgestattet. Angaben ohne ausreichenden Beleg könnten demnächst entfernt werden. Bitte hilf Wikipedia, indem du die Angaben recherchierst und gute Belege einfügst.

Die folgenden drei Unterabschnitte sind nicht belegt. Die angeführten Einzelnachweise treffe keine Aussagen über Bitmessage.

Ein Angreifer könnte sich unter die Teilnehmer des Bitmessage-Netzwerks mischen und einen oder mehrere manipulierte Bitmessage-Clients betreiben. Die Möglichkeiten die sich dadurch ergeben sind bisher unbekannt.

Viel wahrscheinlicher als das Abhören eines DSL-Anschlusses ist der Einbruch in den Rechner eines Bitmessage-Nutzers über das Internet. Ein Angreifer, dem es gelingt, auf diese Weise einen privaten Schlüssel zu ergattern, kann nicht nur nachträglich alle bisher mit der zugehörigen Bitmessage-Adresse empfangenen Botschaften entschlüsseln. Er findet außerdem Signaturen vor, die die Urheberschaft der jeweiligen Absender beweisen.

Es hilft den Opfern auch nicht, wenn die Botschaften nach dem Lesen wieder gelöscht wurden, weil diese Botschaften zuvor in verschlüsselter Form durchs Internet gewandert sind, wo der Angreifer sie aufzeichnen konnte. Bitmessage taugt also nicht dazu, Off-the-Record-Botschaften auszutauschen, deren Existenz die Beteiligten nachträglich leugnen wollen. Diese Schwäche teilt Bitmessage mit S/MIME, PGP und anderen Anwendungen asymmetrischer Verschlüsselung.^[10]

Das Funktionsprinzip des Bitmessage-Netzwerks ist tatsächlich uralt. Schon lange bevor es das Internet gab, wurde es im militärischen Bereich verwendet. Auch damals wurden verschlüsselte Botschaften per Broadcast zugestellt, nämlich per Funk. (Damals wurden allerdings nur symmetrische Verschlüsselungsverfahren verwendet.) Aus der Militärgeschichte kann man lernen, wie ein Angriff dagegen aussieht.

Der Angriff nennt sich Traffic Analysis^[11]. Der anerkannt zuverlässigste Schutz dagegen besteht darin, einen konstanten Strom gleich großer verschlüsselter Botschaften zu erzeugen, die normalerweise keinen Inhalt haben, die bei Bedarf aber durch sinnvolle Botschaften ersetzt werden. Größere Texte müssen dabei auf mehrere Botschaften verteilt werden.

Von dieser Technik sind sowohl das Bitmessage-Protokoll als auch seine Konkurrenten weit entfernt.

• Jonathan Warren: Bitmessage: A Peer-to-Peer Message Authentication and Delivery System (PDF-Datei; 199 kB) vom 27. November 2012. (Erstbeschreibung des Protokolls)
• Jonathan Warren: Proposed Bitmessage Protocol Technical Paper (PDF-Datei; 324 kB) vom 14. Januar 2013
• Reiko Kaps: E-Mail-Ersatz. In: c’t. Nr. 9/2013, ISSN 0724-8679, S. 45.

• Offizielle Website für das Protokoll Bitmessage (engl.)
• Download für Mac und Linux von GitHub (engl.)

1. ↑ ^{a b c} Jonathan Warren: Proposed Bitmessage Protocol Technical Paper (PDF; 324 kB), Revision 1, Jan.14 2013
2. ↑ Spezifikation des Bitmessage-Protokolls
3. ↑ Spezifikation des Bitmessage-Protokolls
4. ↑ Vgl. asymmetrische Verfahren. Beim Signieren wird der zu signierende Text mit dem privaten Schlüssel verschlüsselt und an den Klartext angehängt. Dieses Anhängsel ist die Signatur. Entschlüsseln lässt sie sich nur mit dem dazugehörigen öffentlichen Schlüssel. Stimmt das Ergebnis mit dem Klartext überein, ist er unverändert vom Absender zum Empfänger gelangt. Außerdem ist klar, dass nur derjenige, der den privaten Schlüssel kannte, diese Signatur leisten konnte. In der Praxis verschlüsselt man übrigens nicht den ganzen Klartext, sondern nur eine Art Prüfsumme, die mit einer Hashfunktion aus dem Klartext berechnet wurde.
5. ↑ Bitmessage v1.0: completely broken crypto, 30. November 2012
6. ↑ Heise Newsticker Artikel E-Mail-Ersatz mit Bitcoin-Technik bzw. Heise Netze News-Meldung vom 26. März 2013, 13:05 Uhr.
7. ↑ Artikel Bitcoin-Schwester "Bitmessage" ermöglicht dezentralen Nachrichtenversand Gulli News Meldung vom 26. März 2013 16:17 Uhr
8. ↑ Jonathan Warren: Proposed Bitmessage Protocol Technical Paper (PDF; 324 kB), Revision 1, Jan.14 2013, Abschnitt 7, Attackers.
9. ↑ Jonathan Warren: Proposed Bitmessage Protocol Technical Paper (PDF; 324 kB), Revision 1, Jan.14 2013, Abschnitt 8, Attacks.
10. ↑ Nikita Borisov, Ian Goldberg, Eric Brewer: Off-the-Record Communication, or, Why Not To Use PGP (PDF; 132 kB), Workshop on Privacy in the Electronic Society, 28.Oct 2004.
11. ↑ Traffic Analysis: Protocols, Attacks, Design Issues, and Open Problems von Jean-François Raymond, Juli 2000