In den vergangenen Monaten ist ans Licht gekommen, in welch unvorstellbarem Ausmaß wir alle überwacht werden. Mit ein paar Maus-Klicks können Staaten unsere Mobiltelefone, unsere E-Mails, unsere sozialen Netzwerke und die von uns besuchten Internet-Seiten ausspähen. Sie haben Zugang zu unseren politischen Überzeugungen und Aktivitäten, und sie können, zusammen mit kommerziellen Internet-Anbietern, unser gesamtes Verhalten, nicht nur unser Konsumverhalten, vorhersagen.

Dagegen kann man aber ab sofort etwas tun.

Der Schweizer Verein ENIGMABOX hat ein Gerät entwickelt, welches das sichere Surfen und Telefonieren im Internet ermöglicht.

Die ENIGMABOX ist eine Plug and Play Verschlüsselungsmaschine, welche verteilte und Ende-zu-Ende verschlüsselte Telefonie und E-Mail ermöglicht, ohne dass man sich um Passwörter kümmern muss. Zusätzlich bietet es einen VPN-Zugang zum „alten“, unverschlüsselten Internet.

Die Box wird dafür einfach zwischen Computer und Router geschaltet. Der gesamte Datenverkehr wird fortan verschlüsselt und über ausländische Server geleitet. Zudem verfügt die Box über ein abhörsicheres Telefonie-System und ein integriertes E-Mail-System. Dies erschwert Wirtschaftsspionage erheblich und verbirgt alle Daten vor neugierigen Mitbewerbern und Geheimdiensten. Durch diesen Datenstrom kann der Datenverkehr nicht nachvollzogen werden und der Websitebetreiber sieht als IP-Adresse nur die des Exit-Servers.

Der User kann sich dabei für einen Server entscheiden oder die Auswahl dem Zufall überlassen. Bis zu diesen Exit-Servern ist der Datenverkehr komplett verschlüsselt. Dort wird er entschlüsselt und zusammen mit dem Datenfluss anderer ENIGMABOXEN ins Web eingespeist.

Weitere solcher Exit-Server in verschiedenen Ländern sind geplant und werden nach und nach online gehen. Desweitern denken die Entwickler der ENIGMABOX über eine weitere Ebene in der Verschlüsselung unter den Exit Server selbst nach um so die die Sicherheit nochmals drastisch zu erhöhen.

Zur Kommunikation benutzt die Box ein sogenanntes cjdns-Protokoll, benannt nach dem amerikanischen Entwickler Calib James Delisle. cjdns ist ein verschlüsseltes Mesh-VPN. Jeder Teilnehmer generiert sich seine eigene IPv6-Adresse, gestützt mit einem öffentlichen und privaten Schlüssel. Nur mit dem privaten Schlüssel kann der Teilnehmer seine Daten empfangen und entschlüsseln. Alle Teilnehmer, die eine Verbindung zueinander aufgebaut haben (sog. Peerings), können mit allen verbundenen Teilnehmern kommunizieren. Dabei musst man nicht direkt mit ihnen verbunden sein, cjdns kümmert sich automatisch um das Routing und leitet die Daten über mehrere Stationen zur richtigen Zieladresse weiter. Selbstverständlich verschlüsselt, und niemand außer dem Empfänger kann die Daten lesen – auch nicht die Teilnehmer, welche Daten weiterleiten. Die Daten werden ECC-verschlüsselt; cjdns benutzt die NaCie-Bibliothek.

Die Appliance bietet darüber hinaus abhörsicheres Telefonieren und ein integriertes E-Mail-System an. Eine starke End-to-End-Verschlüsselung stellt sicher, dass die Kommunikation zwischen zwei Boxen nicht angezapft werden kann. Für jede Verbindung werden temporäre Schlüssel erzeugt, die am Ende des Gesprächs wieder verworfen werden. So können nicht einmal mehr die ursprünglichen Empfänger die Kommunikation entschlüsseln. Dieses Prinzip nennt man auch Perfect-Forward-Secrecy (perfekte vorwärtsgerichtete Geheimhaltung). Die Datenströme bei einem Telefongespräch mit der Enigmabox finden von Box zu Box statt und verlassen das Netzwerk nicht. Sie werden also nicht wie beim Surfen über die Exit-Server ins Internet eingespeist, wodurch auch keine Metadaten anfallen.