 Zwiebeln, Toa. Zwiebeln, Pflanzen kann man und man kann das im Garten machen und man kann das aber auch auf digitale Weise machen und wir wissen alles geht um Toa. Toa muss ich glaube ich nicht viel von, nicht viel darüber erzählen. Datensicher von A nach B nicht verfolgbar, keine Ahnung war es, keine Strafverfolgungsbehörden kommen dahinter. Das ist alles anonym und alles gut und so und vielleicht für die einen oder anderen ist das irgendwie so das große Thema. Um Gottes Willen, wie mache ich so was und das ist ja viel zu kompliziert, aber anscheinend ist das gar nicht kompliziert. Naftalin wird nämlich darüber erzählen. Naftalin macht doch so ein bisschen was mit IT und irgendwie Sicherheit und solche Geschichten und kam dann irgendwie vor einiger Zeit auf die Idee, hey, lass mal Zwiebeln pflanzen gehen. Und daraus ist ein Talk entstanden. Applaus für Naftalin. Ja, vielen Dank. Ich freue mich hier zu sein. Gerade eben gab es hier schon einen sehr spannenden Talk über die technischen Details des Toa-Protokolls. War irgendwer von euch da und hat sich das angehört? Der war auch ganz schön sportlich. Da ging es richtig so in die kryptografischen Details und ich gebe jetzt nochmal den oberflächlichen Pep Talk dazu, warum man ein Toa-Relay betreiben sollte. Das ist nämlich gar nicht so schwer, auch wenn das Protokoll ein bisschen schwer zu verstehen ist, aber das zu unterstützen und auch technisch zu unterstützen, ist wirklich gar nicht so schlimm. Warum sollte man das überhaupt machen? Toa ist, wie wir gerade schon gehört haben, eine wichtige Infrastruktur gegen Überwachung und Zensur. Es ermöglicht eben Leuten, die in Regionen sind, wo das Internet zensiert wird oder wo sie Repressionen ausgesetzt sind, das Internet zu benutzen und dabei anonym zu sein. Toa wird besser, wenn es mehr Relays gibt. Zum einen hat das Netzwerk dadurch dann mehr Kapazität, der Traffic kann auf mehr Knoten verteilt werden und auch die Anonymisierung wird besser, wenn es mehr Relays im Netzwerk gibt. Außerdem wird Toa von Freiwilligen betrieben. Es gibt keine zentrale Instanz, die Toa-Knoten betreibt. Das würde das Ganze auch ein bisschen absurdum führen, weil die Anonymisierung funktioniert nur, wenn die Relays von verschiedenen Akteuren betrieben werden. Das heißt, wenn wir als Freiwillige das nicht machen, macht das niemand. Es gibt so Vereine, die sich dazu zusammenschließen und eben auch ganz viele Einzelpersonen, die das machen. Und es nützt eventuell auch ein ganz kleines bisschen uns selbst, zumindest wenn wir den Relay zu Hause betreiben. Dann kann nämlich unser eigener Traffic, den wir womöglich ins Toa-Netzwerk leiten, im Traffic unseres Relays untergehen. Das heißt, wenn wir jetzt nur eigennützig argumentieren wollen, auch dann gibt es ein Argumenten Toa-Relay zu betreiben. Es ist ein kleiner Sicherheitsgewinn in Bezug auf die Anonymität. Warum sollten wir das vielleicht nicht tun? Das muss man fairerweise auch sagen. Toa wird selbstverständlich auch für Sachen benutzt, die wir vielleicht nicht gut finden. Und da passiert in Unternutzung dieses Netzwerk passieren auch Dinge, die wir vielleicht nicht unterstützen. Das ist eine Abwägung, die man treffen muss. Wir müssen uns eben entscheiden, wenn wir Leuten die Repressionen ausgesetzt sind, die keinen freien Zugang zu Informationen haben, helfen wollen, dann müssen wir vielleicht auch in Kauf nehmen, dass das Netzwerk auch für Sachen genutzt wird, die wir nicht so cool finden. Ich für mich persönlich habe entschieden, dass es für mich okay. Aber wenn wir einen Relay betreiben wollen, dann müssen wir diese Abwägung eben auch für uns selber treffen. Jetzt gibt es nochmal den ganz, ganz groben Überblick, wie Toa eigentlich funktioniert. Die Pakete, die das Toa Netzwerk durchlaufen, werden so zwiebelschalenartig eingepackt und werden dann über mehrere Relays geleitet. Es gibt da das Guard Relay, das den Traffic annimmt, ein Relay in der Mitte und dann wird es über eine Exit Relay wieder aus dem Netzwerk herausgeleitet. Das ist so die ganz, ganz grobe Übersicht. Und es gibt noch eine vierte Art von Relay, das ist das Bridge Relay oder in diesem Fall dann eine OBFS4 Bridge. Die dient dazu, dass auch Leute in der Region, in der der Zugang zum Toa Netzwerk komplett blockiert wird, auf das Netzwerk zugreifen können. Das sind Guard Relays, wo der Traffic, der zu diesem Guard Relay hingeht, nochmal in eine unauffällige Verpackung gemacht wird. Die sieht einfach nach gar nichts aus. Die sieht völlig harmlos aus. Und dadurch sollen dann Leute in Gegenden, wo Toa blockiert wird, trotzdem aufs Toa Netzwerk zugreifen können. Jetzt müssen wir uns überlegen, was für ein Relay wollen wir machen. Das erste, was wir machen könnten, wäre ein Exit Relay. Aber ich will jetzt hier in diesem Talk natürlich Leute motivieren, die vielleicht noch nicht vorher ein Relay betrieben haben. Und da ist ein Exit Relay nicht die beste Wahl, weil der Traffic, der aus dem Toa Netzwerk rauskommt, ertritt dann mit der IP-Adresse des Exit Relays auf. Das heißt, das kann passieren, dass Leute zu uns kommen und sagen, hey, da von der Adresse, da kommt so komischer Traffic und das gefällt mir alles gar nicht und fieser Hecker und alles doof. Und dann müssen wir irgendwie mit diesen Leuten reden und sagen, nee, nee, das ist alles nicht so, wie es aussieht. Ich betreibe hier nur ein Toa Relay und gucken sie doch mal hier und Zwiebel schalen und das kann ein bisschen Aufwand sein. Ich sage das jetzt nicht, um Leute abzuschrecken. Wenn ihr sagt, das klingt cool, ein Exit Relay zu betreiben, dann macht das. Wenn ihr Lust darauf habt, dann informiert euch über die Best Practices. Da gibt es Dokumentation vom Toa Projekt. Und da kann man dann so ein bisschen, ja, schon mal die groben Schritte sehen, die man dann beachten muss. Aber für den Einstieg machen wir vielleicht einen anderen Relay-Typ, was auch wichtig ist. Ein Exit Relay sollte man niemals von zu Hause betreiben. Wenn dann Leute anklopfen und wissen wollen, was das alles soll, dann sollen sie immerhin nicht bei uns zu Hause anklopfen. Wie gerade eben gesagt, eher was für Fortgeschrittene. Sein eigener Traffic rechtfertigen, wenn man irgendwie einen sensiblen Traffic hat und sagt, ja, ist nicht von mir, ich mach das einfach in Exit Relay. Habe ich noch nicht darüber nachgedacht, aber ich glaube, dann könnte man vielleicht auch einfach von vornherein Tor benutzen und dann wird der Traffic auch über den Exit Relay gehen. Als weiteren Typ von Relay gibt es dann Mittel- und Guard Relays. Ich habe die hier jetzt zusammengefasst, weil die von der Konfiguration her exakt gleich sind. Die werden intensiver genutzt als Bridge Relays, einfach weil die zum öffentlichen Teil des Tor-Netzwerks gehören. Bridge Relays sind so ein Sonderfall und die Exit Relays und die Mittel- und die Guard Relays, das sind die, die so richtig Traffic durch die Gegend schaufeln. deren Adresse ist öffentlich. Und wenn jetzt ein Tor-Klein eine Verbindung über das Tor-Netzwerk aufbauen will, dann greift der Kleint eben auf diese Art von Relays zurück. Genau, und als letztes gibt es noch die Bridge. Die haben wir gerade gesehen, wir haben eine Version mit der unauffälligen Verpackung. Die wird weniger intensiv genutzt. Das bedeutet auch, wenn wir weniger Ressourcen zur Verfügung haben, weil wir nicht so viel Bandbreite haben oder nur einen ganz, ganz kleinen Computer, dann ist vielleicht die Bridge das Richtige für uns, weil die einfach nicht so viel schaufeln muss, wie ein Middle Relay. Und die Adresse einer Bridge ist nicht öffentlich. Die wird über verschiedene Kanäle so ein bisschen vorsichtiger verteilt. Wenn Leute sagen, der Internetzugang wird zensiert, ich kann nicht auf Tor zugreifen, dann können die sich über verschiedene Kanäle ans Tor-Projekt wenden, zum Beispiel über so ein Telegram-Bord oder die können E-Mail schreiben oder die können Button in ihrem Tor-Browser drücken. Und erst dann kriegen sie die Adresse von einigen Bridge Relays zur Verfügung gestellt. Genau, wir reden jetzt also in diesem Talk über Middle Guard und Bridge Relays. Da werden wir jetzt gleich sehen, wie macht man sowas denn. Wenn wir das von zu Hause machen wollen, dann brauchen wir irgendeinen Computer mit Linux drauf. Es muss jetzt nicht Linux sein. Es gibt auch für andere Betriebssysteme hervorragende Dokumentationen. Also wenn ihr jetzt irgendwie sagt, ich will das aber mit Windows machen, dann geht das auch, wenn ihr so drauf seid. Genau, aber Dokumentation gibt es für alle. Aber hier als Beispiel nehmen wir jetzt Linux. Ihr braucht eine Portweiterleitung auf eurem Router, damit der Server, den ihr konfiguriert, aus dem Internet erreichbar ist. Ihr braucht eine öffentliche und selten wechselnde IP. Selten wechselnd ist ihr jetzt sehr relativ gemeint. Also wenn ihr eine dynamische IP-Adresse habt, wo euer Provider irgendwie einmal am Tag die Verbindung trennt und dann kriegt ihr eine neue IP, das ist völlig in Ordnung. Da kommt das Netzwerk mit klar. Wenn eure Adresse jetzt dauernd wechselnd und ihr aus einem Grund dauernd Verbindungsabbrüche zu Hause habt, dann ist das vielleicht nicht optimal. Weil jeder Verbindungsabbruch bei euch bedeutet dann auch ein Verbindungsabbruch für den aktiven Circuit im Tor-Netzwerk. Also es sollte halbwegs stabil sein, aber eine dynamische IP, die einmal am Tag wechselt, ist völlig in Ordnung. Und ihr braucht natürlich ein bisschen Bandbreite zum Abgeben. Wenn ihr jetzt über so ein Klingeldraht angebunden seid und die Bits schleppen sich so zu euch in die Wohnung, dann müsst ihr vielleicht ein bisschen nach euch selber gucken. Also ihr braucht ein bisschen Bandbreite zum Abgeben, damit sich die ganze Sache lohnt. Wie viel sehen wir gleich noch? Was gibt es allgemein für Anforderungen an Relay? Das gilt jetzt sowohl, wenn ihr euch eine Kiste zu Hause unter ein Schreibtisch stellt, als auch wenn ihr irgendwo bei einem ISP im Internet eine mietet. Das wäre cool, wenn da mehr als 2TB Traffic zur Verfügung stehen im Monat. Am besten wäre es, wenn es da gar keine Begrenzung gibt. Ihr solltet eine Geschwindigkeit von ungefähr größer, gleich 16 Ambit, die Sekunde haben. Eure Maschine braucht mehr als ein Gigabyte RAM und so 200 MHz Deutsch. Also das ist alles nicht so wahnsinnig schlimm. Und wenn ihr eine Bridge betreibt, ist das jeweils noch ein bisschen weniger, einfach weil die nicht so intensiv genutzt wird. Also es braucht wirklich nicht viel. Das kann jetzt auch irgendwie so ein kleiner Singleboard-Computer wie ein Raspberry Pi sein. Da kann man schon Relay drauf betreiben. Schöner ist natürlich immer mehr Wumms, aber man kann da klein anfangen. Das tut auch ein alter Laptop oder so. Das ist alles möglich und die Einstiegshürde ist da eigentlich relativ gering. Und wenn ihr euch so ein Ding bieten wollt, dann gibt es das so ungefähr ab 5 Euro. Muss man ein bisschen suchen und ich bezahle jetzt, glaube ich, für mein Relay gerade 7 Euro im Monat. Aber auch das ist ein machbarer Einstieg, würde ich sagen. Das kann man jetzt natürlich nicht so allgemein sagen. Aber wenn man sich vor Augen führt, das ist eine Schachtel Kippen so, dann geht es schon. Jetzt ist natürlich die Frage, wie wähle ich mir meinen ISP aus? Da gibt es ein Diagramm auf den Seiten des Torprojekts. Es stellt das Tor-Netzwerk als kleine Bläschen dar, wo wir die einzelnen Autonomensysteme im Tor-Netzwerk sehen können. Und es wird discouraged, einen von den Großen zu nehmen. Ihr solltet euch eure Server jetzt vielleicht nicht unbedingt bei Hatsnow oder DigitalOcean oder OVH-Mieten, wenn ihr ein Tor-Relay betreiben wollt. Das liegt daran, dass das Tor-Netzwerk davon profitiert, wenn das Netzwerk divers ist. Das ist das, was wir eben vermeiden wollen, dass es irgendwelche Punkte im Netzwerk gibt, wo ein einzelner Akteur viele Relays überwachen könnte. Deswegen wäre es cool, wenn man ein neues Relay macht, dass man dann einen ISP nimmt, der vielleicht noch nicht so breit im Netzwerk vertreten ist. Als ich mir meinen ausgesucht habe, habe ich einfach mal in dieses Diagramm reingeguckt und habe dann mit dem Mauszeiger so ein bisschen rumgesucht mittlerer Größe genommen und geguckt, ob man sich da vielleicht ein Server bieten kann. Es gibt aber auch auf den Seiten des Tor-Projekts eine Liste mit Anbietern, wo die schon mal gefragt haben, ob die das cool finden, wenn man da ein Relay betreibt oder nicht. Da gibt es auch manche, die sagen, das wollen wir nicht. Und manche sagen, cool, cool, macht das gerne bei uns. Da kann man dann einfach mal durchgucken und findet dann schon ein Anbieter. Wie geht das dann konkret? Wir haben jetzt unsere Kiste entweder bei uns unter dem Schreibtisch oder irgendwo im Internet. Wir haben jetzt als Beispiel mal ein Ubuntu-System, die Paketquellen des Tor-Projekts hinzuschügen. Das ist wichtig, damit wir immer auf der aktuellsten Version von Tor laufen. Das ist eigentlich schon alles, was man dazu sagen muss. Da bearbeitet ihr eine Datei in der Configurus-Paketmanagers und dann seid ihr an die Paketquellen angebunden. Dann installieren wir hier noch so ein bisschen Rammstein, GPG Key des Projekts. Und dann können wir relativ schnell schon Tor installieren. Und das ist neben dem Tor-Caring, der zählt ja eigentlich nicht so richtig, das einzige Paket, das wir für den Betrieb eines Middle Relays benötigen. Das gucken wir uns jetzt auch mal an, wie wir das konfigurieren, wenn wir den Middle Relay betreiben wollen. Wie gerade schon gesagt, ist das hier zusammengefasst. Wenn wir unseren Knoten als Middle Relay konfigurieren, dann fängt der als Middle Relay an und macht sich so ein bisschen mit dem Netzwerk bekannt. Und wenn das Netzwerk feststellt, okay, das Ding kann irgendwie halbwegs stabile Verbindungen halten und hat irgendwie eine ganz okaye Bandbreite und so. Dann wird der Knoten irgendwann automatisch zum Guard Relay. Da müssen wir gar nichts machen. Das können wir dann einfach später sehen. Wir haben jetzt diese Flagg dazugekriegt und jetzt fungieren wir auch als Guard. Das ist richtig, richtig einfach das zu konfigurieren. Ich habe mich da am Anfang ein bisschen vorgegruselt, weil ich eben schon mal mich versucht habe, damit zu beschäftigen, wie Tor im Detail funktioniert und dass ja alles kompliziert aus. Aber wenn wir da mitmachen wollen, ist das überhaupt nicht kompliziert. Wir bearbeiten die Konfigurationsdatei von Tor. Das ist ein ETC Tor RC üblicherweise. Und da tragen wir einen Nickname für unser Relay ein, weil wir jetzt irgendwelche Optionitäten in die Welt rausrufen wollen oder so, dann ist das der richtige Ort dafür. Da können wir uns einfach irgendeinen String auswählen. Dann brauchen wir eine Kontaktadresse. Das ist wichtig, falls irgendwas mit unserem Relay falsch ist. Die Kontaktadresse, die ist nicht Pflicht. Wenn ihr wollt, dann könnt ihr euer Relay auch komplett anonym betreiben. Also so anonym, wie ihr halt euren Server gemietet habt, aber ihr müsst da jetzt keine Adresse eintragen. Es wird aber schon sehr darum gebeten, einfach damit Menschen vom Torprojekt euch anschreiben können, wenn sie merken, da ist irgendwas kaputt, da habt ihr vielleicht irgendwas falsch konfiguriert. Dann können die sich bei euch melden und sagen, hey, lass uns das mal zusammen angucken, vielleicht musst du da nur eine Kleinigkeit ändern und dann bringen wir deinen Relay wieder ins Laufen. Gute Frage? Weiß ich nicht, keine Ahnung, steht in der Doku. Ich gebe jetzt nur mal so die flotte Übersicht, aber wir finden gleich noch einen Link, wo so Details dann nachzulesen sind. Zu der Kontaktinfo auch noch der Hinweis, wie immer, wenn eine E-Mail-Adresse im Internet steht, wird das von Spamern immer gescraped. Das heißt, ihr wollt vielleicht die irgendwie so ein bisschen obfusskieren und da das Ad-Zeichen rausnehmen oder so, dann kriegt ihr etwas weniger Schrott an die E-Mail-Adresse. Als nächstes müssen wir dann den Port angeben. Das ist hier die öffentliche IP unseres Servers und dann ein beliebiger Port, über den dann Verbindungen zum Tor-Relay hergestellt werden können. Wohl wäre das, wenn man das auf einem Port macht, der allgemein erreichbar ist. Deswegen ist unser Beispiel Relay hier jetzt auch auf Port 443 konfiguriert, weil der wirklich aus jedem Internetcafé erreichbar sein sollte. Das Gleiche machen wir dann auch nochmal mit V6, mit demselben Port. Den Eintrag gibt es, den OA Port Eintrag gibt es, dann einfach zweimal hintereinander. Dann machen wir noch explizit, dass wir kein Exit-Relay sind, damit eben nicht die Leute mit den lustigen Mützen bei uns vor der Tür stehen. Und wir sagen noch, dass wir den lokalen Socksport abschalten, dass wir eben nicht für lokale Verbindungen von Clients zur Verfügung stehen. Und damit ist dann unser Relay auch schon fertig. Also das ist echt nicht schlimm. Das sind sechs Zeilen und keine sechs Zeilen über den Bediener, die man besonders viel nachdenken muss. Das ist wirklich schnell getan. Wir aktivieren dann den Tor-Demon, starten Tor neu und dann läuft unser Relay. Das ist wirklich, wirklich simpel. Und wir gucken uns das Gleiche auch nochmal für den Bridge Relay an. Das ist nur minimal komplizierter und vielleicht der bessere Einstieg, wenn man das von zu Hause machen möchte, weil es eben etwas weniger Leistung und Bandbreite frisst. Für den Bridge Relay brauchen wir zusätzlich noch das Paket OBS4 Proxy. Der ist dafür zuständig, dieses unauffällige Paket zu inschnüren. Dann bearbeiten wir wieder dieselbe Konfigurationsdatei. Da sagen wir dann noch mal explizit, dass wir ein Bridge Relay sind. Wir denken uns wieder in lustigen Nickname aus. Wir geben unsere Kontaktinformationen an. Wir geben den OAA-Port an. Diesmal nicht in V6, weil Bridge ist das leider noch nicht unterstützen. Das kommt bestimmt noch, aber bisher nur V4. Dann geben wir noch die Option Server Transport Listen Address an. Das ist der Port, über den unser OBS4 Proxy erreichbar ist. Sowohl der als auch der OAA-Port müssen von außen erreichbar sein. Der Extended OAA-Port ist im Prinzip egal. Der ist nur dazu da, dass Tor und der Proxy miteinander reden können. Der muss auch nicht von außen erreichbar sein. Das heißt, den können wir einfach auf den Wert Auto setzen. Und Tor sucht sich dann einfach selber einen aus. Dann sagen wir wieder, dass wir kein Exit Relay sind. Wir deaktivieren den Socksport und dann läuft unsere Bridge. Wir aktivieren den Diemen, starten den neu. Dann dauerts ein Waldchen und unsere Bridge wird mit dem Netzwerk bekannt gemacht. Nach einer Weile geht unsere Bridge dann über diese Verteilmechanismen, die ich vorhin schon erwähnt habe. Das heißt, wenn wir raus an Leute, die sagen, Hilfe, ich werde zinsiert, gib mir eine Bridge. Dann wollen wir natürlich noch sehen, dass da was funktioniert. Da können wir als erstes in unser System-Log gucken. Wenn da steht, Self-Testing indicates, your OAA-Port is reachable from the outside. Excellent, Publishing Server Descriptor. Dann ist das ein gutes Zeichen. Das bedeutet, dass die Ports, die wir konfiguriert haben, in einem Selbsttest den Tor automatisch nach dem Neustart durchführt, als von anderen Relays erreichbar erkannt wurden. Das heißt, unser Relay redet mit dem Netzwerk und es sieht erst mal alles ganz gut aus. Weiterhin können wir dann die Relay-Suche des Torprojekts benutzen. Das dauert schon mal ein paar Stündchen, bis unser Relay da auftaucht. Da können wir dann einfach den Nickname oder den Fingerprint, der wird automatisch generiert, in diese Suchmaske eingeben und dann gibt es da eine schöne bunte Übersicht über unser Relay. Und auch, welche Flags dem Relay zugewiesen wurden zum Beispiel. Wenn da in der Relay-Suche steht, euer Relay hätte eine Bandbreite von 0 Ambit, dann werdet nicht nervös. Die Bandbreite wird dynamisch anhand der tatsächlichen Benutzung berechnet. Das heißt, wenn unser Relay noch neu ist, dann steht da immer 0 Ambit. Das muss uns jetzt aber nicht fertig machen, sondern da warten wir dann einfach, bis das Relay tatsächlich ein bisschen benutzt wird. Das braucht ein bisschen, bis das anläuft. Was auch noch ganz schön ist, ist, wenn man sich das Paket VNSTAT installiert, dann kann man automatisch Statistiken über die Traffic-Nutzung aufzeichnen und kann dann eben sehen, ah, okay, so viel verbrauche ich im Monat. Gerade wenn unser ASP das eventuell ein bisschen limitiert, wie viel Traffic wir nutzen dürfen, dann ist das ganz praktisch und ganz hübsch ist auch noch nix. Nix ist ein halbgraphisches Frontend für Tor. Das können wir hier sehen. Da haben wir das dann alles auch noch mal mit bunt und sich bewiegenden Diagrammen und da können wir auch die aktiven Verbindungen sehen. Das heißt, da haben wir dann auch noch mal ein bisschen Bestätigung, dass alles funktioniert. Gerade wenn wir in nix sehen können, dass Aktivverbindungen zu anderen Knoten im Netzwerk aufgebaut werden. So, jetzt habe ich gerade schon erwähnt, es könnte sein, dass unser ASP die Datennutzung limitiert oder dass wir vielleicht auch bei unserem Heimanschluss nicht ganz so viel abgeben wollen. Dann können wir Accounting betreiben und auf verschiedene Weisen die Menge an Traffic, die über unser Relay geht, eingrenzen. Das können wir zum Beispiel machen, indem wir die Bandbreite limitieren. Da gibt es dann einmal ein Parameter für die durchschnittliche Bandbreite und die maximal zur Verfügung stehende. Da müssen wir dann ein bisschen Mathematik betreiben und überlegen uns dann, wie viel Daten sollen im Monat darüber gehen und dann können wir uns die entsprechende Bandbreite ausrechnen, die wir haben müssen. Oder wir können sagen, wir wollen hart die Datenmenge limitieren. Da gibt es dann die Option Accounting Start. Da sagen wir dann, zähle bitte jeden Tag ab 0 Uhr und wenn 50 Gigabyte voll sind, dann hörst du einfach auf. Ab dem Moment nimmt unser Relay dann keine Verbindung mehr entgegen und schillt halt so den Rest des Tages rum. Am nächsten Tag um 0 Uhr fängt es dann wieder an und nimmt wieder Verbindungen entgegen, bis die 50 Gigabyte voll sind. Das sind so unsere beiden Optionen, die wir haben, um das ein bisschen zu limitieren. Jetzt müssen wir noch ein paar Sachen beachten. Das sind jetzt noch so die letzten Details. Gerade eben schon gesagt, wir sollten kein Exit Relay in unserer Wohnung betreiben. Wenn wir ein Exit Relay betreiben wollen, dann ist das total cool. Das ist auch die Art von Relay, die am meisten gebraucht wird, weil einfach die wenigsten Leute das betreiben. Das heißt, wenn ihr sagt, ich will ein Exit Relay machen, dann macht euch damit vertraut. Macht vielleicht erst mal ein Mittel Relay und dann guckt mal, wie das so läuft. Schließt euch mit anderen Leuten zusammen, aber macht das nicht zu Hause unter eurem Schreibtisch. Ihr müsst euer Relay absichern. Euer Relay ist, wenn ihr das in Betrieb nehmt, Teil einer Infrastruktur, die für viele Menschen sicherheitskritisch ist. Dann müsst ihr auch euren Teil der Verantwortung übernehmen und euren kleinen Teil des Systems sicherhalten. Das heißt, ihr solltet automatischer Updates aktivieren. Ihr solltet SSH-Otentifizierung mit Passwort ausschalten und stattdessen Public Keys benutzen und so was. Ihr solltet also so ein bisschen darauf achten, dass euer Relay in einem okayen Zustand ist. Wenn ihr mehrere Relays betreibt, weil ihr so richtig auf den Geschmack gekommen seid, dann solltet ihr in der Konfiguration den Wert MyFamily setzen. Das sieht in der Praxis dann so aus. Da schreibt man dann MyFamily und die Fingerprints aller Relays in der entsprechenden Familie. Das dient einfach dazu, dass die Kleins dann sagen können, ich möchte nicht mehrere Relays, die von einer einzigen Person oder von einer einzigen Entität betrieben werden nutzen. Damit können die euch dann nicht aus dem Weg gehen, aber sie können eben darauf achten, dass sie immer nur ein Relay von euch benutzen. Wenn ihr das nicht macht, dann wird das als bösartig interpretiert. Das heißt, wenn ihr ein Haufen Relays betreibt und diesen Wert nicht setzt, dann kommt das so ein bisschen verdächtig rüber und dann kann es sein, dass eure Relays als nicht vertrauenswürdig markiert werden und gar nicht mehr benutzt werden. Das heißt, wenn ihr mehrere Relays habt, setzt auf jeden Fall diesen Wert. Ihr solltet auf jeden Fall den Traffic eurer NutzerInnen in Ruhe lassen. Tor ist eben eine Infrastruktur, die Privacy unterstützen soll und da sollten wir uns dann auch selber dran messen und nicht an dem Traffic, der durch unser Relay durchgeht, herum manipulieren. Wir sollten zum Beispiel auch nicht Onion-Adressen, die über unser Relay aufgerufen werden, Harvesten oder sowas. Wir lassen einfach die Finger davon. Wir haben den Anspruch, Privacy-Infrastruktur zu betreiben und dann müssen wir eben auch selber diese Werte verfolgen. Und wir sollten unser Relay beschützen. Das passiert jetzt, ist jetzt nicht so, dass das regelmäßig passieren würde oder so. Aber wenn jemand zu euch kommt und sagt, hey, ich würde gerne mal in dein Relay reingucken, hier hast du 100 Euro, dann sagt ihr Nein. Und wenn da jemand versucht, euch zu überzeugen, Zugang zu eurem Relay zu bekommen, dann schaltet das Relay besser ab, als dass ihr anderen Leuten da Einsicht gibt, die sie nicht haben sollten. So, ein paar Punkte habe ich noch. Ihr bekommt vielleicht Spam- und Contact-Info, also nehmt das Ad-Zeichen daraus, das ist ganz trivial. Die IP-Aurus-Relays wird höchstwahrscheinlich auf Block-Listen dann, das liegt einfach darin, dass es ein paar Leute gibt, die das Tor-Netzwerk nicht so ganz verstehen und die nehmen dann einfach die Liste aller Relays und sagen, das ist böse, das ist hier dieses mit Anonymen, das wollen wir nicht. Das heißt, wenn ihr den Relay von zu Hause betreut, dann seid euch bewusst, dass ihr vielleicht auf der einen oder anderen Block-Liste landen werdet und eure IP vielleicht ein etwas schlechteren Ruf hat, weil Leute ja nicht ganz verstehen, wie Tor funktioniert. Und ganz, ganz wichtig, die Community ist total lieb und wenn ihr Fragen habt, dann helfen die euch. Ich bin da selber schon mit relativ dusseligen Fragen in den Matrix Chat gekommen und da haben wir jedes Mal Leute super lieb geholfen, die freuen sich total, wenn ihr den Relay betreiben wollt und ihr kriegt da auf jeden Fall Hilfe, auch wenn euch irgendwie ein Schritt unklar ist so, die helfen euch auf jeden Fall. Es gibt da das Forum, es gibt eine Mailing-Liste, es gibt ein Matrix-Channel, es gibt ein IRC-Chat, also da könnt ihr auf vielen verschiedenen Wegen an die Leute herantreten und dann helfen die euch. Und ganz zuletzt, wenn ihr jetzt immer noch sagt, hm, klingt trotzdem noch ein kleines bisschen zu kompliziert, dann könnt ihr euch immer noch die Snowflake-Extension in eurem Browser der Wahl installieren. Das ist ein ganz, ganz niedrigschwelliger Weg, um das Tor-Netzwerk zu unterstützen. Da könnt ihr euch hier unter diesem Link zu einlesen und ja, wenn euch das mit dem Relay immer noch ein bisschen zu doll oder zu teuer ist, Snowflake installieren geht auf jeden Fall. Das war's jetzt. Hier ist der Link zur Dokumentation. Die sechs Zeilen sind da nochmal ein bisschen besser beschrieben und ein bisschen genauer beschrieben, als ich das gerade gemacht habe. Da könnt ihr euch durchklicken. Alles, was ihr braucht, könnt ihr von da kopieren. Das gibt es für jedes Betriebssystem und jede administrative Situation ist da abgedeckt. Also da ist der Link und legt los. Dankeschön.