Aktualisierungen gibt es im Changelog, als RSS-Feed
oder im [matrix] Raum #prhdb-changes:nitro.chat

Privacy-Handbuch

Es ist wenig sinnvoll, einen bisher ganz normal genutzten E-Mail Account plötzlich anonym zu nutzen. Es haben sich in den letzten Monaten genug Daten angesammelt, die die Identifizierung des Nutzers ermöglichen. Der erste Schritt sollte also die Einrichtung eines neuen E-Mail Accounts sein, der ausschließlich via Tor Onion Router genutzt wird.

Dieser neue E-Mail Account sollte nicht für den tagtäglichen E-Mail Kleinkram genutzt werden sondern ausschließlich für eine bestimmte Aufgabe, die Anonymität erfordert. Anhand der Kommunikationdaten ist anderenfalls eine Deanonymisierung möglich, beispielsweise wenn die Bank oder ein Onlinehändler E-Mails mit der vollen Anrede und Adresse senden. Anonyme Kommunikation und Alltagskommunikation sollten immer streng getrennt sein.

Bei der anonymen Nutzung von E-Mail Accounts sind bestehen zwei Anforderungen:
  1. Anonymität: Es dürfen keine Lücken bei Anonymisierung bestehen.
  2. Sicherheit: Verschlüsselung mit OpenPGP sollte möglich sein.
Derzeit gibt es keinen E-Mail Client, der für die Nutzung mit Tor von TorProject.org überprüft und für gut befunden wurde. Die eigenmächtigen Nutzung einer Anwendung mit Tor als SOCKS5 Proxy ohne qualifizierte Prüfung durch Experten ist nicht ratsam, wie Thunderbird oder diverse Jabber/XMPP Clients zeigen. Anonymität ist damit nicht gewährleistet.

Mit dem TorBrowser das Webinterface des E-Mail Providers nutzen

Eine Alternative ist die Nutzung des Webinterfaces eines E-Mail Providers mit dem TorBrowser. Dabei sollte der E-Mail Provider einen Tor Onion Service anbieten oder vergleichbare Lösungen, um die Gefahren durch Bad Exit Nodes zu reduzieren.

Die Verwendung eines Browsers erschwert die Verschlüsselung der E-Mails mit OpenPGP. Man könnte irgendwie versuchen, die Inhalte der E-Mails mit Copy&Paste zu verschlüsseln und entschlüsseln, wie bei Webformularen beschrieben, aber das macht kein Spaß. Besser wäre es, wenn der E-Mail Provider OpenPGP im Webinterface unterstützt.

Die im Kapitel E-Mail allgm. empfohlene Nutzung von POP3 zum Abrufen der E-Mail und lokale Speicherung ist damit unmöglich. Die Mails müssen auf dem Server des Providers verwaltet werden und sollten daher möglichst verschlüsselt gespeichert werden.

Da die GUIs der Mailprovider sehr intensiv mit Javascript arbeiten, muss man den mittleren Sicherheits­level "Safer" im TorBrowser für den Login aktivieren, damit alles funktioniert.

E-Mail Accounts mit der Tor Live-DVD TAILS verwalten

Die Tor Live-DVD TAILS ermöglicht die Verwendung von Thunderbird zur Verwaltung anonymer E-Mail Accounts. Die Live-DVD enthält einen modifizierten Thunderbird, der die Features von dem Add-on TorBirdy umsetzt, das seit einiger Zeit nicht mehr weiterentwickelt und nicht an aktuelle Thunderbird Versionen angepasst wird. Außerdem verhindert das Sicherheits­konzept von TAILS Verbindungen ins Netz, die nicht via Tor anonymisiert werden.

Da man Thunderbird nicht bei jedem Start der Live-DVD neu konfigurieren möchte, sollte man die persistente Speicherung der Daten von Thunderbird und GnuPG aktivieren.
  1. Als erstes ist der persistente Speicher zu erstellen und zu konfigurieren, so dass die Daten von Thunderbird und GnuPG in dem verschlüsselten Speicher abgelegt werden.

    Den Konfigurator startet man unter Anwendungen -> TAILS -> Persistenten Speicher. Es ist ein Passwort für die Verschlüsselung anzugeben und auf den Button Erstellen zu klicken. Es wird der freie Platz auf dem TAILS Boot Medium für einen verschlüsselten Container zum Speichern der Daten genutzt.
  2. Dann ist die Live-DVD neu zu starten und im Boot Greeter ist der persitente Speicher einzubinden. Dafür ist die Eigabe des Passwortes nötig.
    TAILS Greeter beim Boot
  3. Danach kann man Thunderbird starten und den E-Mail Account einrichten.
  4. Als E-Mail Provider sind jene zu bevorzugen, die Tor Onion Services für IMAP, POP3 und SMTP anbieten, um die Gefahr durch bösartige Tor Exit Nodes zu minimieren.

    Alternativ kann man auch einen Tor Mail Provider nutzen. Allerdings weiß man bei diesen anonymen Onion Services nie, wer den Dienst betreibt.

E-Mail Accounts mit Whonix verwalten

Whonix ist ein System, das aus zwei virtuellen Computern (VMs) besteht. In der Arbeits-VM sind diverse Internet­programme installiert und in der zweiten Tor-VM läuft Tor Onion Router. Die Arbeits-VM sendet den gesamten Datenverkehr an die Tor-VM. Von dort wird alles durch das Tor Netzwerk geleitet und anonymisiert.

Die Entwickler empfehlen die Nutzung des TorBrowsers, um E-Mail die Kommunikation im Webinterface eines E-Mail Providers zu verwalten.

Whonix enthält aber auch einen unmodifizierten Thunderbird. Das Konzept von Whonix verhindert, das man durch die vorhandenen Bugs in Thunderbird anhand der IP-Adresse deanonymisiert wird. In Kombination mit einer privacy-freundlichen Konfiguration könnte man Thunderbird in Whonix ebenfalls zu Verwaltung von E-Mail Accounts nutzen. Vorteil ist die höhere Sicherheit bei OpenPGP und die Möglichkeit POP3 statt IMAP zu verwenden.

Thunderbird 68.x und Tor Onion Router???

Thunderbird 68.x ist nicht für anonyme E-Mails geeignet. Das Add-on TorBirdy ist nicht kompatibel mit Thunderbird 68+ und niemand hat die Gefahren der neuen Features von Thunderbird 68.x in Kombination mit Tor Onion Router analysiert, siehe Bug #31341
Alas, I think it might be a while until torbirdy gets an update -- it involves somebody looking at Thunderbird 68 to see what new privacy invasive problems they put into it.
Man kann in Thunderbird einen Proxy verwenden und die nötigen Einstellungen für Tor Onion Router eintragen, aber das reicht nicht. Eine Sicherheitsanalyse der Features von Thunder­bird (PDF, 2011) zeigte einige Gefahren auf, die zur Deanonymisierung führen können. Mit dem Add-on TorBirdy, das maßgeblich von Jacob Appelbaum initiert wurde, konnten diese Risiken gebannt werden. Für Thunderbird 68.x wäre eine neue Analyse nötig und eine neue, angepasste Version des Add-on TorBirdy, die es nicht gibt.
Lizenz: Public Domain