Wie OnionShare funktioniert

OnionShare startet Webserver lokal auf deinem Rechner und macht sie anderen Leuten als Tor `Onion-Dienste<https://community.torproject.org/onion-services/>`_ zugänglich.

Standardmäßig werden OnionShare-Webadressen mit einem zufällig erzeugten Passwort geschützt. Eine typische OnionShare-Adresse könnte wiefolgt aussehen:

http://onionshare:constrict-purity@by4im3ir5nsvygprmjq74xwplrkdgt44qmeapxawwikxacmr3dqzyjad.onion

Du musst diese URL über einen sicheren Kommunikationskanal deiner Wahl mit anderen teilen, beispielsweise über eine verschlüsselte Chatnachricht, oder über einen weniger sicheren Weg wie zum Beispiel einerTwitter- oder Facebook-Nachricht, abhängig von deiner persönlichen Bedrohungsanalyse.

Die Empfänger deiner URL müssen diese kopieren und in ihren Tor Browser einfügen, um auf den OnionShare-Dienst zuzugreifen.

Wenn du OnionShare auf deinem Laptop laufen lässt, um jemandem Dateien zu schicken, und du den Laptop in den Ruhemodus versetzt, ehe die Dateien gesendet wurden, wird der Dienst so lange nicht erreichbar sein, bis dein Laptop wieder läuft und mit dem Internet verbunden ist. OnionShare funktioniert am besten, wenn du in Echtzeit mit den Leuten in Verbindung stehst.

Weil dein eigener Rechner der Webserver ist, hat kein Dritter Zugriff auf das, was ihr mit OnionShare tut, nicht einmal die Entwickler von OnionShare. Es ist vollständig geheim. Und weil OnionShare auch auf Tors Onion-Diensten basiert, schützt es auch deine Anonymität. Für weitere Informationen siehe security design.

Dateien freigeben

Du kannst OnionShare dazu verwenden, um Dateien und Ordner sicher und anonym an andere Leute zu schicken. Öffne einfach einen Freigabe-Reiter, ziehe die freizugebenden Dateien und Ordner dort hinein und klicke auf „Freigabe starten“.

_images/share.png

Nachdem du Dateien hinzugefügt hast, werden dir Einstellungsmöglichkeiten angezeigt. Wähle die passenden Einstellungen, bevor du die Freigabe startest.

_images/share-files.png

Sobald jemand deine Dateien vollständig heruntergeladen hat, wird OnionShare den Dienst automatisch starten und die Webseite vom Internet nehmen. Um mehreren Leuten das Herunterladen zu ermöglichen, entferne den Haken bei „Dateifreigabe beenden, sobald alle Dateien versendet wurden (abwählen, um das Herunterladen einzelner Dateien zu erlauben)“.

Wenn du diesen Haken entfernst, können Leute außerdem die Dateien einzeln herunterladen (anstelle einer einzigen komprimierten Datei, die alle Einzeldateien enthält).

Wenn du bereit zum Freigeben bist, klicke auf den „Freigabe starten”-Button. Du kannst jederzeit auf “„Freigabe beenden” klicken oder OnionShare beenden, um die Webseite augenblicklich vom Internet zu nehmen. Du kannst außerdem auf den „Nach oben”-Pfeil in der oberen rechten Ecke klicken, um dir den Verlauf und den Fortschritt der Downloads anzeigen zu lassen.

_images/share-sharing.png

Jetzt, wo du eine OnionShare-Freigabe hast, kopiere die Adresse und schicke sie der Person, die die Dateien empfangen soll. Falls die Dateien sicher bleiben sollen oder die Person sonstwie einer Gefahr ausgesetzt ist, nutze einen verschlüsselten Messenger.

Diese Person muss nun die Adresse mit dem Tor Browser öffnen. Nachdem sie sich mit dem zufällig erzeugten Passwort eingeloggt hat, das in der Adresse enthalten ist, kann sie die Dateien direkt von deinem Rechner über den „Dateien herunterladen”-Link in der Ecke herunterladen.

_images/share-torbrowser.png

Dateien empfangen

Du kannst OnionShare dazu benutzen, um anderen Personen das anonyme Hochladen von Dateien direkt auf deinen Rechner zu ermöglichen; hierdurch wird dein Rechner sozusagen zu einem anonymen Briefkasten. Öffne einen „Dateien Empfangen”-Reiter, wähle einen Speicherpfad und andere Einstellungen, und klicke dann auf „Empfangsmodus starten”.

_images/receive.png

Damit wird der OnionShare-Service gestartet. Jeder der diese Adresse mit dem Tor Browser öffnet, kann Dateien auf deinen Rechner hochladen.

_images/receive-sharing.png

Du kannst außerdem auf den „Nach unten”-Pfeil in der oberen rechten Ecke klicken, um dir den Verlauf und den Fortschritt der Uploads auf deinen rechner anzeigen zu lassen.

So sieht es aus, wenn jemand Dateien bei dir hochlädt.

_images/receive-torbrowser.png

Wenn jemand Dateien auf deinen Dienst im Empfangsmodus hochlädt, werden diese standardmäßig in einem Ordner namens OnionShare in deinem Benutzerverzeichnis abgelegt; die Dateien werden automatisch in Unterordner aufgeteilt, abhängig vom Hochladedatum.

Ein solcher OnionShare-Empfangsdienst ist besonders für Journalisten und andere interessant, die Dokumente von anonymen Quellen erhalten. So genutzt, ist OnionShare sozusagen eine leichtgewichtige, einfachere und nicht ganz so sichere Variante von SecureDrop, einem Einsendesystem für Whistleblower.

Nutzung auf eigene Gefahr

Ähnlich wie bei bösartigen E-Mail-Anhängen kann es sein, dass jemand deinen Rechner anzugreifen versucht, indem er eine bösartige Datei auf deinen OnionShare-Dienst hochlädt. OnionShare bringt keine Sicherheitsmechanismen mit, um dein System vor bösartigen Dateien zu schützen.

Wenn du ein Office- oder PDF-Dokument über OnionShare erhältst, kannst du diese in sichere PDF-Dateien überführen, indem du Dangerzone nutzt. Du kannst dich auch schützen, indem du nicht vertrauenswürdige Dokumente in Tails oder in einer Qubes-Wegwerf-VM öffnest.

Tipps für einen OnionShare-Empfangsdienst

Wenn du deinen eigenen anonymen Briefkasten per OnionShare betreiben willst, solltest du dies auf einem separaten, eigens dafür eingerichteten Rechner tun, der immer läuft und mit dem Internet verbunden ist; nicht mit dem, den du sonst regelmäßig benutzt.

Falls du deine OnionShare-Adresse auf deiner Webseite oder auf deinen Profilen in den sozialen Medien verbreiten möchtest, solltest du den Reiter speichern (siehe Reiter speichern) und den Dienst als öffentlichen Dienst betreiben (siehe disable password).

Eine Webseite hosten

Um eine statische HTML-Webseite mit OnionShare zu hosten, öffne den Webseiten-Reiter, ziehe die Dateien und Ordner hinein, aus denen die statische Webseite besteht, und klicke auf „Webseite veröffentlichen“.

_images/website.png

Wenn du eine index.html-Datei hinzufügst, wird sie beim Öffnen der Webseite dargestellt. Du solltest auch alle anderen HTML-Dateien sowie CSS- und JavaScript-Dateien und Bilder mit einbeziehen, aus denen die Webseite besteht. (Beachte, dass OnionShare nur statische Webseiten hosten kann. Es kann keine Webseiten hosten, die Code ausführen oder auf Datenbanken zugreifen. So kann man z.B. WordPress nicht verwenden.)

Wenn du keine index.html-Datei hast, wird stattdessen eine Verzeichnisstruktur angezeigt; beim Aufruf können Personen die Dateien durchsehen und herunterladen.

Nachdem du Dateien hinzugefügt hast, werden dir Einstellungsmöglichkeiten angezeigt. Wähle die passenden Einstellungen, bevor du die Freigabe startest.

_images/website-files.png

Content-Security-Policy

Standardmäßig wird OnionShare beim Absichern deiner Webseite helfen, indem es einen strikten Content-Security-Policy-Header setzt. Allerdings wird hierdurch verhindert, dass Inhalte von Drittanbietern innerhalb der Webseite geladen werden.

Falls du auch Inhalte von Drittanbieter-Webseiten laden willst, wie z.B. Inhalte oder JavaScript-Bibliotheken von CDNs, musst du einen Haken bei „Content-Security-Policy-Header deaktivieren (ermöglicht es, Ressourcen von Drittanbietern auf deiner Onion-Webseite einzubinden)“ setzen, bevor du den Dienst startest.

Tipps zum Betreiben eines Webseiten-Dienstes

Falls du eine Webseite längerfristig über OnionShare anbieten (und nicht nur kurz jemandem etwas zeigen) möchtest, solltest du dies auf einem separaten, eigens dafür eingerichteten Rechner tun, der immer läuft und mit dem Internet verbunden ist; nicht mit dem, den du sonst regelmäßig benutzt. Außerdem solltest du den Reiter speichern (see Reiter speichern), so dass du die Webseite mit derselben Adresse weiterbetreiben kannst, falls du OnionShare schließt und später wieder öffnest.

Falls du die Webseite öffentlich betreiben wilst, solltest du sie als öffentlichen Dienst hosten (see disable_passwords).

Anonym chatten

Mit OnionShare kannst du einen komplett anonymen, sicheren Chatroom aufsetzen, der nichts aufzeichnet. Öffne einfach einen Chat-Reiter und klicke auf „Chat starten“.

_images/chat.png

Nachdem du den Dienst gestartest hast, kopiere die OnionShare-Adresse und schicke sie den Leuten, die du in dem anonymen Chatroom gerne hättest. Falls es wichtig ist, den Teilnehmerkreis strikt zu beschränken, solltest du einen verschlüsselten Messenger zum Teilen der OnionShare-Adresse verwenden.

_images/chat-sharing.png

Man kann dem Chatroom beitreten, indem man die OnionShare-Adresse im Tor Browser aufruft. Der Chatroom setzt JavaScript voraus, d.h. jeder Teilnehmer muss im Tor Browser seinen Sicherheitslevel auf „Standard“ oder „Safer“ (anstelle von Safest) setzen.

Beim Betreten des Chatrooms wird einem ein zufällig erzeugter Name zugewiesen. Man kann den Namen ändern, indem man einen neuen Namen im Textfeld in der linken Seitenleiste eingibt und Enter drückt. Ein Chatverlauf wird nicht angezeigt, selbst wenn andere bereits zuvor im Chatroot gechattet hatten, da der Chatverlauf nirgendwo gespeichert wird.

_images/chat-torbrowser.png

In einem OnionShare-Chatroom ist jeder anonym. Jeder kann seinen Namen beliebig ändern und die Identität der Nutzer kann nicht überprüft werden.

Allerdings kannst du dir einigermaßen sicher sein, dass die Leute im Chatroom auch wirklich deine Freunde sind, wenn du die OnionShare-Adresse nur an eine kleine Anzahl vertrauenswürdiger Freunde über einen verschlüsselten Kanal geschickt hast.

Wozu soll das gut sein?

Worin liegt der Sinn in OnionShare-Chatrooms, wenn du ohnehin einen verschlüsselten Messenger benutzen solltest? Sie hinterlassen weniger Spuren.

Wenn du beispielsweise eine Nachricht an eine Gruppe in „Signal“ sendest, landet eine Kopie deiner Nachricht auf jedem Gerät (den Geräten und Computern, falls auch Signal Desktop verwendet wird). Selbst wenn verschwindende Nachrichten aktiviert ist, lässt sich kaum mit Sicherheit sagen, dass alle Kopieren von allen Geräten entfernt wurden, und ggfs. auch von anderen Orten, an denen Kopien gelandet sein können (z.B. in einer Benachrichtigungs-Datenbank). OnionShare-Chatrooms speichern nirgendwo Nachrichten, so dass dieses Problem auf ein Minimum reduziert ist.

OnionShare-Chatrooms können außerdem für einander unbekannte Personen nützlich sein, die sicher untereinander chatten wollen, ohne Benutzerkonten zu erstellen. Beispielsweise könnte eine Quelle einem Journalisten über eine Wegwerf-E-Mail-Adresse eine OnionShare-Adresse schicken und dann warten, bis der Journalist den Chatroom betritt; all dies, ohne die Anonymität zu gefährden.

Wie funktioniert die Verschlüsselung?

Weil OnionShare auf Tors Onion-Dienste aufbaut, sind alle Verbindungen zwischen Tor Browser und OnionShare Ende zu Ende verschlüsselt (E2EE). Wenn jemand eine Nachricht in einem OnionShare-Chatroom absetzt, wird diese durch die E2EE-Onion-Verbindung an den Chatserver gesendet, welcher sie dann wiederum an alle anderen Mitglieder des Chatrooms über sog. WebSockets weiterschickt, wiederum durch deren eigene E2EE-Onion-Verbindungen.

OnionShare bringt keine eigene Chatverschlüsselung mit sich. Die Verschlüsselung beruht stattdessen auf der des Onion-Dienstes.