Eine der ersten Auffälligkeiten, die neue Benutzer im Tor-Netzwerk bemerken, sind überraschend viele Zertifikatswarnungen bei .onion-Webseiten. .onion-Webseiten, die im Tor-Netzwerk betrieben werden, sind jedoch per se verschlüsselt. Das Tor-Protokoll selbst sorgt dafür, dass die Verbindung zwischen dem Benutzer und dem Onion-Dienst verschlüsselt wird. Viele .onion-Webseiten verwenden daher kein zusätzliches HTTPS-Zertifikat, da dies technisch nicht notwendig ist. Einige Betreiber verzichten bewusst auf HTTPS, um unnötige Komplexität zu vermeiden. Dies führt dann häufig zu Browser-Warnungen, dass Inhalte unverschlüsselt übertragen werden.
Verwendet die .onion-Website dennoch ein Zertifikat, handelt es sich häufig um ein selbstsigniertes Zertifikat oder um ein Zertifikat einer nicht allgemein anerkannten Zertifizierungsstelle. Browser stufen solche Zertifikate als nicht vertrauenswürdig ein, da sie nicht von einer bekannten Zertifizierungsstelle ausgestellt wurden, und zeigen eine entsprechende Warnung an.
Insgesamt ist diese Art der Implementierung für .onion-Seiten üblich und stellt im Kontext des Tor-Netzwerks keine ungewöhnliche oder unsichere Praxis dar. Die Warnungen sind eine Folge der Sicherheitsvorkehrungen des Browsers, die für reguläre, im Clear Web verfügbare Webseiten ausgelegt sind. Im Tor-Netzwerk sind einige dieser Maßnahmen jedoch nicht notwendig oder führen zu Fehlalarmen.
Es gibt zwar CAs (Certificate Authorities) für onion-Domains, diese sind aber zum Teil auf onion-Domains der Version 3 beschränkt. Let's Encrypt ist auch an dieser Stelle eine gute Adresse. Wobei hier eher eine höhere Browserkompatibilität und Benutzerfreundlichkeit im Vordergrund steht.
Verschlüsselungsverfahren für Onion-Seiten (.onion-Dienste)
Onion-Dienste (d.h. Webseiten, die über .onion-Adressen erreichbar sind) verwenden ein spezielles Verschlüsselungsverfahren, das asymmetrische und symmetrische Kryptographie kombiniert:
- Schlüsselpaar des Onion-Dienstes: Ein
Onion-Dienstverfügt über ein eigenes Schlüsselpaar (privater und öffentlicher Schlüssel). Der öffentliche Schlüssel des Dienstes ist in der.onion-Adresse selbst kodiert. - Einführungspunkte (Introduction Points): Der Onion-Dienst veröffentlicht bestimmte Relays als
Einführungspunkte. Diese Punkte dienen als Treffpunkt, über den der Client eine Verbindung zum Dienst herstellen kann. DieseEinführungspunktewerden zusammen mit dem öffentlichen Schlüssel des Dienstes auf Verzeichnisknoten (Hidden Service Directories) veröffentlicht. - Client-Verbindung:
- Der Client, der auf einen
Onion-Dienstzugreifen möchte, lädt die Informationen über dieEinführungspunktedes Dienstes herunter und wählt zufällig einen Einführungspunkt aus. - Der Client erstellt dann einen
Rendezvous-Punkt(ein separates Relay) und sendet eine verschlüsselte Nachricht an den Einführungspunkt. Diese Nachricht enthält den Standort des Rendezvous-Punktes und eine verschlüsselte Nachricht für den Onion-Dienst.
- Der Client, der auf einen
- Rendezvous-Punkt: Der Onion-Dienst entschlüsselt die Nachricht und trifft sich mit dem Client am
Rendezvous-Punkt. Da die Kommunikation zwischen Client und Rendezvous-Punkt verschlüsselt ist und über mehrere Relays erfolgt, ist die Anonymität gewährleistet. - Datenübertragung: Sobald der Rendezvous-Punkt aufgebaut ist, erfolgt die eigentliche Datenübertragung zwischen dem Client und dem Onion-Dienst, wiederum über mehrere Relays und mehrfach verschlüsselt.
