.onion

.onion ist eine Special-Use-Top-Level-Domain zur Nutzung von hidden services (deutsch: „versteckte Dienste“) im Anonymisierungsdienst The Onion Routing (Tor). Die .onion-Domains sind nicht Bestandteil des öffentlich zugänglichen, wie beispielsweise das DNS-System der deutschen Telekom, können aber von Anwendungen interpretiert werden, wenn sie durch einen Proxy in das Tor-Netzwerk gesendet werden. Verwendet werden solche Adressen, um sowohl den Empfänger als auch den Provider der Daten oder deren Fluss im Internet schwer verfolgbar zu machen, und das sowohl untereinander als auch gegenüber einem anderen Host oder Anderen.

Um auf .onion-URLs zugreifen zu können, ist beispielsweise der Tor Browser nötig. Mit einem gewöhnlichen Webbrowser funktioniert das nicht – jedenfalls nicht ohne Umwege (siehe unten).

Der Name (englisch onion für „Zwiebel“) ist abgeleitet von Onion-Routing – einer Anonymisierungstechnik, bei der schichtenweise ver- und entschlüsselt wird.

Standardisierung

Im Oktober 2015 wurde mit RFC 7686^[1] .onion als Special-Use-Domainname registriert und gemäß den Vorgaben aus RFC 6761^[2] in die Registrierungsdatenbank der IANA eingetragen. In dem vorgeschlagenen Internetstandard wird festgelegt, wie die Teilnehmer den Namen .onion behandeln und wie sie sich damit verhalten sollen.

.onion-Domainnamen

Allgemeines

Die Domainnamen von .onion-Websites werden aus dem öffentlichen Schlüssel des Tor-Daemons des Servers abgeleitet.^[3][4] Bei den mittlerweile veralteten .onion-Namen der Version 2 (kurz: v2) sind das stets 16 Zeichen, bei den neuen der Version 3 stets 56 Zeichen – jeweils ohne .onion gezählt. Im Oktober 2021 wurden v2-Domainnamen deaktiviert,^[5] was eine Änderung des Domainnamens für alle weiterhin angebotenen .onion-Websites nach sich zog.

Beispiele für die „The Tor Project“-Website:^[5]

• Version 2: http://expyuzz4wqqyqhjn.onion/
• Version 3: http://2gzyxa5ihm7nsggfxnu52rck2vv4rvmdlkiu3zzui5du4xyclen53wid.onion/

Vanity Address Generator

Meist muten .onion-Domainnamen wie ein zufälliger Mix aus Buchstaben und Ziffern an. Dementsprechend schwer fällt Menschen das Merken und Vergleichen bzw. Kontrollieren von solchen Namen. Dies kann die Gefahr erhöhen, dass man gefälschten Webseiten aufsitzt und z. B. auf Phishing hereinfällt.^[3] Mithilfe von „Vanity Address Generator“-Software wie beispielsweise mkp224o^[6] (oder eschalot^[7] für v2-Namen) können etwas einprägsamere .onion-Domainnamen erstellt werden. Das soll die genannten Probleme lindern, kann aber auch kontraproduktiv sein. Es birgt nämlich die Gefahr, dass Benutzer eine genaue Kontrolle des Domainnamens nicht bis zum letzten Zeichen durchführen, sondern das Kontrollieren nach dem augenfälligen Namensteil abbrechen.^[8] Das Erstellen kann mit sehr hohem zeitlichen Rechenaufwand verbunden sein, weil die Wunschvorgaben an den Namen nur per Brute-Force-Methode erfüllbar sind.^[6][7] Das Grundprinzip besteht hier darin, durch Ausprobieren mindestens ein solches Schlüsselpaar zu finden, bei dem der kryptographische Hash (bzw. der Base32-kodierte Hash) des öffentlichen Schlüssels die Wunschbedingung erfüllt.^[4][8] Daher müssen in der Praxis Abstriche bei den Wünschen hingenommen werden.

Beispiele für Facebook:

• Version 2: https://facebookcorewwwi.onion/
• Version 3: https://www.facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion/

Zugriff ohne Tor-Client

Es gibt Dienste (Gateways), die über einen eigenen Proxy den Zugriff auf .onion-URLs erlauben, ohne dass der Nutzer im eigentlichen Tor-Netzwerk ist. Oft muss dazu in einer entsprechenden URL lediglich die Endung .onion durch eine andere Endung ersetzt werden. Ein typischer Gattungsbegriff ist Tor2Web. In diesem Szenario ist es sowohl dem Betreiber des Proxys als auch des Dienstes im Tor-Netz möglich, den Nutzer durch die IP-Adresse oder Browser-Merkmale zu identifizieren.

Ohne einen Tor-Client ist der Zugriff auf die hidden services nicht möglich. Bei Tor2Web-Diensten ist dieser Tor-Client beim jeweiligen Dienst angesiedelt und nicht im Browser des Benutzers, weshalb dann kein spezieller Browser wie der Tor Browser nötig ist.

Beispiel für den „tor2web.to“-Dienst (.onion → .tor2web.to)^[9] anhand der „The Tor Project“-Website:

• ohne „tor2web.to“-Dienst: http://2gzyxa5ihm7nsggfxnu52rck2vv4rvmdlkiu3zzui5du4xyclen53wid.onion/
• mit „tor2web.to“-Dienst: http://2gzyxa5ihm7nsggfxnu52rck2vv4rvmdlkiu3zzui5du4xyclen53wid.tor2web.to/

Anwendungssoftware

Die allermeisten Anwendungen können mit .onion-Domainnamen nicht umgehen. Anwendungen müssen speziell dafür ausgelegt sein. Beispiele für bekannte Anwendungen, die .onion-Adressen unterstützen, sind:^[10]

.onion-taugliche Anwendungssoftware

Anwendung	Funktionalitäten	unterstützte Plattformen	Anmerkungen / Eigenschaften
Tor Browser[11]	Webbrowser	Windows macOS Linux Android	dient dem Internetsurfen im WWW und im Tor-Netzwerk (Darknet) soll dabei Anonymität wahren und Zensur umgehen ist Kernbestandteil der auf Privatsphäre getrimmten Linux-Distribution Tails
OnionShare[12]	Filesharing Webserver Chat	Windows macOS Linux (Android) (iOS)	ist Open-Source-Software[13] stellt Filesharing-, Webserver- und Chat-Dienste über das Tor-Netzwerk bereit der Zugriff auf die bereitgestellten Dienste erfolgt per Tor Browser
Ricochet Refresh[14]	Instant Messaging Chat Filesharing	Windows macOS Linux	ist Open-Source-Software[15] hat dezentrale Peer-to-Peer-Architektur ohne zentrale Server
Briar[16]	Instant Messaging	Android	ist Open-Source-Software[17] hat dezentrale Peer-to-Peer-Architektur ohne zentrale Server Nachrichten werden lokal im Gerät und nicht in der Cloud gespeichert fehlt die Internetverbindung, kann mit Geräten in der Nähe auch direkt per WLAN oder Bluetooth kommuniziert und dadurch ein vermaschtes Netz aufgespannt werden
Tails[18]	Live-System	Linux	ist eine auf Privatsphäre, Sicherheit und Anonymität getrimmte Debian-basierte Linux-Distribution, die dazu insbesondere auf das Tor-Netzwerk zurückgreift Kernkomponente ist der Tor Browser
Whonix[19]	Virtuelle Maschine	VirtualBox Qubes OS KVM	ist eine auf Privatsphäre, Sicherheit und Anonymität getrimmte Debian-basierte Linux-Distribution, die dazu insbesondere auf das Tor-Netzwerk zurückgreift besteht aus zwei virtuellen Maschinen, einer Workstation und einem Gateway für das Tor-Netzwerk
Orbot[20]	Proxy	Android	ist ein Tor-Proxy, der bei gerooteten Android-Geräten dessen gesamten Internetverkehr durch das Tor-Netzwerk leiten kann ist Open-Source-Software[21] ist über die App Stores F-Droid und Google Play verfügbar

Siehe auch

• Liste von bekannten Onion Services im Tor-Netzwerk
• Anonymität im Internet
• Selbstdatenschutz
• Providerprivileg

Weblinks

• Tor: Design und Konzept – torproject.org-Website (englisch)
• Special-Use Domain Names – IANA-Registrierungsdatenbank (englisch)

Beispiele für Dienste mit .onion-URLs

• The Tor Project: http://2gzyxa5ihm7nsggfxnu52rck2vv4rvmdlkiu3zzui5du4xyclen53wid.onion/de/
• Facebook: https://www.facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion/
• Cloudflares „DNS over Tor“: https://dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion/
• The New York Times: https://www.nytimesn7cgmftshazwhfgzm37qxb44r64ytbb2dj3x62d2lljsciiyd.onion/
• DuckDuckGo: https://duckduckgogg42xjoc72x3sjasowoarfbgcmvfimaftt6twagswzczad.onion/
• ProtonMail: https://protonmailrmez3lotccipshtkleegetolb73fuirgj7r4o4vfu7ozyd.onion/

Beispiele für Tor2Web-Dienste

• onion.cab (Memento vom 30. Juli 2017 im Internet Archive)
• Tor2web.org (.onion → .onion.to)
• tor2web.to (.onion → .tor2web.to)

Einzelnachweise

1. RFC 7686 – The “.onion” Special-Use Domain Name. (englisch).
2. RFC 6761 – Special-Use Domain Names. Februar 2013 (englisch).
3. Fighting Censorship with ProtonMail Encrypted Email Over Tor. In: ProtonMail. 19. Januar 2017, abgerufen am 21. September 2021 (englisch). 
4. Tor Rendezvous Specification - Version 3. Encoding onion addresses. In: gitweb.torproject.org. 26. Mai 2015, abgerufen am 21. September 2021 (englisch). 
5. Onion-Dienste. The Tor Project, abgerufen am 21. September 2021. 
6. mkp224o auf GitHub. Vanity address generator for tor onion v3 (ed25519) hidden services. (englisch).
7. eschalot auf GitHub (englisch).
8. Tor Rendezvous Specification - Version 3. Appendix C. Recommendations for searching for vanity .onions. In: gitweb.torproject.org. 26. Mai 2015, abgerufen am 21. September 2021 (englisch). 
9. tor2web.to Gateway to Tor Hidden Services. Abgerufen am 23. September 2021 (englisch). 
10. Stefan Mey: Open-Source-Adventskalender: Tor und sein Ökosystem. In: heise online. 11. Dezember 2021, abgerufen am 12. Dezember 2021. 
11. Tor-Projekt – Anonymität online. Abgerufen am 12. Dezember 2021. 
12. 🧅 OnionShare. Abgerufen am 12. Dezember 2021 (englisch). 
13. onionshare auf GitHub
14. Ricochet Refresh. Abgerufen am 12. Dezember 2021 (englisch). 
15. ricochet-refresh auf GitHub
16. Secure messaging, anywhere – Briar. Abgerufen am 12. Dezember 2021 (englisch). 
17. briar auf GitHub
18. Tails – Home. Abgerufen am 12. Dezember 2021. 
19. Whonix – Software That Can Anonymize Everything You Do Online. Abgerufen am 12. Dezember 2021 (englisch). 
20. Orbot: Proxy with Tor. In: guardianproject.info. Abgerufen am 12. Dezember 2021. 
21. orbot auf GitHub