Wie funktioniert I2P?
From Planet Peer Wiki
Wie stellt denn I2P eigentlich Anonymität her?
(Die Definition des Begriffes Anonymität wird hier grosszügigerweise übergangen Smiley ) Diese Frage ist für jeden interessant, der sich die (berechtigte) Frage stellt, wie ein System jemanden schützen kann, obwohl am Ende trotzdem Rechner mit Hilfe von IP Paketen Daten austauschen. Ich werde versuchen, es verständlich zu machen.
Als erstes möchte ich sagen:
IP ADRESSEN SIND KEIN GEHEIMNIS IN I2P
Ich habe so manch einen erlebt, der diese Erkenntnis schockierend fand Aber es geht nicht anders,denn die I2P-Router müssen sich ja trotzdem miteinander auf Basis von Internettechnologien unterhalten. Und das verlangt IP
Es ist aber ein Geheimnis, welches DEINE IP ist
I2P erlaubt dir Dienste im I2P Netzwerk zu nutzen, ohne dass eine der beteiligten Parteien (auch die eingebundenen Router selbst) wissen, dass du Dienste nutzt oder welche du nutzt. Gleichzeitig erlaubt es dir, Services im I2P Netzwerk anzubieten, ohne dass deine Nutzer wissen WO ( also auf welchem Router ) der Dienst läuft und ohne dass du weisst, von WO aus deine Nutzer zugreifen. Server und Client geniessen den gleichen Schutz.
Ein wichtiger Aspekt in Bezug auf die Anonymität im I2P Netzwerk ist daher die Gesamtanzahl aktiver Router. Je grösser sie ist, desto besser. ( Anonymity likes Company). Im aktuellen Moment (max 200 Knoten) ist sie nicht berauschend, aber zuerst möchte man auf der Entwicklerseite die Skalierbarkeit herstellen und danach die Nutzer haben (und nicht umgekehrt)
(aushol)
Normale Internetrechner kommunizieren über TCP / IP. IP sorgt dafür, dass ein Paket im Netzwerk seinen Weg findet und TCP ( manchmal auch UDP ) adressiert einen Dienst auf dem Rechner ( Port ) und sorgt für Flusskontrolle / Vollständigkeit / Datenintegrität. Das System klappt, ist recht schnell, aber leider direkt und ganz und gar nicht verschleiernd. Manche Leute benutzen deshalb Proxies für bestimmte Dienste und verschleiern damit gegenüber dem Leistungsanbieter die tatsächliche Absenderidentität. Diese ist DANN aber beim Proxybetreiber immer noch zu finden. Der Proxy schützt in dem Moment auch nur den Client, da dieser sich vor dem Dienstanbieter verschleiert, nicht aber den Anbieter, da dessen IP / Name natürlich öffentlich bekannt ist. Dazu kommt das der Proxybetreiber meine Clientidentität kennt und unter Umständen nicht als vertrauenswürdig zu bewerten ist. Normale Internetkommunikation ist dazu nicht verschlüsselt, also mit bestimmtem Aufwand mit zu schnüffeln.
Zuerst sollte man sagen: Alles, was I2P Router kommunizieren, ist verschlüsselt. (Ich gehe daruf jetzt nicht näher ein)
Dazu kommt..
Wenn dein I2P Knoten hochfährt, baut er mehrere sogenannte Tunnel auf. Zum Tunnelaufbau werden dabei neben deinem eigenen Knoten IMMER auch andere I2P Knoten benötigt, die dir dabei helfen. Ein Tunnel ist dabei ein "Kommunikationskanal" über den dein Router Daten in das Netzwerk schickt, oder über den dein Router Daten aus dem Netzwerk erhält. Für beide Richtungen werden unterschiedliche Tunnel aufgebaut. Dein Router sendet also Daten über andere Tunnel, als er Daten empfängt. Meist baut dein Router nach dem Hochfahren zwischen 3-10 ausgehende Tunnel und einige eingehende Tunnel auf.
+---------+ ausgehende Tunnel
|dein | -------------->
|Router | -------------->
| | -------------->
| |
| | Eingehende Tunnel
| | <--------------
| | <--------------
| | <--------------
+---------+
Ausgehender Tunnel in Nahaufnahme
+--------+ +---------+ +---------+ +--------+
|Dein | |HOP 1 | |HOP 2 | |Endpoint|
|Router |------->|Router |------>|Router |---->|Router |--------->
| | |der macht| |der macht| |der mit |Daten VON mir treten hier
| | |mit | |mit | |macht |in das Netzwerk und
+--------+ +---------+ +---------+ +--------+in das Gateway eines
eingehenden Tunnels
Kurz gesagt: Ein Tunnel ist ein virtuelles Konstrukt. Er kommt zustande, wenn dein Router andere Router bittet, ihm zur Datendurchleitung zur Verfügung zu stehen. Im obigen Beispiel ist es ein ausgehender Tunnel, der dargestellt wird Alle, die im I2P Netzwerk Daten von mir empfangen, sehen nicht, von welchem Router die Daten ursprünglich stammten. Statt dessen erscheint der Endpoint Router als derjenige der die Daten versandt hat.
Das gleiche Schema kann man aber auch umkehren:
+--------+ +---------+ +---------+ +--------+
|Dein | |HOP 1 | |HOP 2 | |Gateway |
|Router |<-------|Router |<------|Router |<----|Router |<---------
| | |der mit | |der macht| |der mit |Daten FÜR mich treten hier
| | |macht | |mit | |macht |aus dem Netzwerk
+--------+ +---------+ +---------+ +--------+in das Gateway meines
eingehenden Tunnels
Daten, die meinen Router als Ziel haben, werden ebenfalls über einen
Tunnel an mich gesandt, die Daten treten am inbound Gateway ein hüpfen über die
anderen mitmachenden Router und werden dann von mir weiterverarbeitet.
Dein eigener Router macht übrigens auch mit. Abhängig von der Geschwindigkeit deiner Anbindung und weiterer Konfigurationen ist dein Router nicht nur Anfangspunkt und Endpunkt deiner eigenen Tunnel, sondern partizipiert an den ein/ausgehenden Tunnel anderer Router. Somit ergibt sich eine Vermaschung, die eine Rückverfolgung bzw Datenanalyse erschwert. Damit transportierst du auch den Verkehr anderer über deinen Router, welches es leichter macht, bestreiten zu können, dass dieser Verkehr für dich selbst bestimmt war. ( Plausible Deniability )
Dein Router ist dabei ständig am Tunnel aufbauen, abbauen und umbauen und wird von anderen Routern auch immer wieder gebeten an neuen Tunneln zu partizipieren. Es handelt sich um ein hochdynamisches System.
Das alles ist der Grundstein für ein leistungsfähiges gemixtes / verschlüsseltes Netzwerk. Es ermöglicht aber noch keine Dienste und kein Routing im Netzwerk. Wie das funktioniert, erkläre ich im zweiten Teil
postman
