Enigmabox: Sichere Internet- und Telefonverschlüsselung “out of the box”?

it-sicherheit 12
Fachbeitrag

Enigma, ehemals im Einsatz als Kryptografiegerät und aus dem griechischen für “Rätsel”, ist zurück . Unter dem Namen Enigmabox bietet ein Schweizer Unternehmen eine Lösung zur Verschlüsselung und Routing des Daten- und Telefonverkehrs an. Diese kommt als Appliance zum Kunden und wird zwischen dem Internetanschluß und Router installiert.

Wie funktioniert die Enigmabox?

Die kleine rote Appliance leitet zunächst den Datenverkehr verschlüsselt und über andere Länder an einen sogenannten Exit-Server. Durch diesen Weg der Daten kann der Datenverkehr nicht nachvollzogen werden und der Websitebetreiber sieht als IP-Adresse nur die des Exit-Servers. Diese sind derzeit in Ungarn und Frankreich angesiedelt, sollen aber auf andere Länder erweitert werden und im Falle eines Behördenzugriffs umziehen. Der Betreiber und Verkäufer der Enigmabox ist der Verein Enigmabox mit Sitz in der Schweiz.

Zur technischen Funktionsweise ein Zitat von der Website des Anbieters und Betreibers:

cjdns ist ein verschlüsseltes Mesh-VPN. Jeder Teilnehmer generiert sich seine eigene IPv6-Adresse, gestützt mit einem öffentlichen und privaten Schlüssel. Nur mit dem privaten Schlüssel kann der Teilnehmer seine Daten empfangen und entschlüsseln. Alle Teilnehmer, die eine Verbindung zueinander aufgebaut haben (sog. Peerings), können mit allen verbundenen Teilnehmern kommunizieren. Dabei musst Du nicht direkt mit ihnen verbunden sein; cjdns kümmert sich automatisch um das Routing und leitet die Daten über mehrere Stationen zur richtigen Zieladresse weiter. Selbstverständlich verschlüsselt, und niemand außer dem Empfänger kann die Daten lesen – auch nicht die Teilnehmer, welche Deine Daten weiterleiten. Die Daten werden ECC-verschlüsselt; cjdns benutzt die NaCie-Bibliothek.

Ist das denn auch sicher?

Die Vorteile eines solchen Appliance Geräts sind:

  • Open Source Betriebssystem und Root Zugang.
  • Verschlüsseltes Mesh-VPN mit cjdns.
  • Verschlüsselte Telefonie.
  • Appliance Bauform (Unabhängigkeit vom Client Betriebssystem).
  • Integrierte Firewall, sowohl in der Appliance als auch im Exit-Server.

Welche Schwachstellen gibt es?

Die Schwachstellen in einem solchen System und der Enigmabox sind schon diesem immanent:

  • Der Nutzer muss der Sicherheit des Exit-Servers vertrauen.
  • VPN Verbindungen sind wegen des Protokolls cjdns nicht mehr möglich.
  • Es gibt keine 100% Sicherheit, bspw. kann der Nutzer auch weiterhin anhand der Browser-Metadaten identifiziert werden.

Die Sicherheit der Lösung steht und fällt mit der Sicherheit des oder der Exit-Servers. Wer diesen kontrolliert, oder Zugriff nehmen kann, hat auch Zugriff auf die Daten. Des Weiteren ist die Anbindung der Exit-Server von Bedeutung für die Geschwindigkeit der Verbindung. Fällt der Exit-Server aus oder wird dieser durch Behörden abgeschaltet, ist zudem keine Verbindung mehr möglich, es sei denn diese ist redundant ausgelegt und ein weiterer Exit-Server kann die Verbindung übernehmen.

Ist das ein erster Schritt in das “Darknet”?

Diese Frage ist mit “Ja” zu beantworten. Das Darknet ist dabei kein fest definierter Begriff, sondern umschreibt den Zusammenschluss von mehreren Nutzern zu einem eigenen “Mesh”-Netzwerk, ein “parallel” Internet. Ein interessamter Artikel hierzu findet sich an dieser Stelle.

Gibt es denn Alternativen?

Eine Alternative mit einer ähnlichen Funktionsweise, aber ohne die Notwendigkeit einer speziellen Appliance (dafür mit erheblichen Performanceeinbußen) ist das sogennante TOR-Projekt. Des Weiteren können VPN-Verbindungen zu Proxy Servern genutzt werden, oder auch VPN-Verbindungen zu eigenen Servern. Selbst die im Privatbereich stark vertretene Fritz Box bietet die Möglichkeit über das Internet eine VPN-Verbindung aufzubauen.

12 Kommentare zu diesem Beitrag

  1. Auch die Browser Metadaten werden jetzt durch die Box effektiv blockiert und das Netzwerk wächst. Wer eine Plug and Play Lösung für verschlüsseltes Internet haben möchte der sollte sich die Box kaufen. Am Anfang fühlt man sich total einsam da die Box erst den Datenverkehr mit anderen Nutzern im Enigmabox Netz freigibt wenn der Nutzer dies in der Box freischaltet.

    Jetzt gibt es auch einen Twitter Klon genannt Teletext (ein sogenannter Marktplatz wo man sich treffen kann) um Nachrichten mit anderen wie bei Twitter austauschen zu können. Man bekommt aber nur die abonnierten Tweets.

    • Die Box ist nur bei ganz einfachen PCs als Plug&Play zu verstehen. In Netzwerken hinterlässt die Box schwerwiegende Veränderungen in der Netzstruktur, so dass die Peripherie teilweise nicht mehr erkennbar ist. Support ist in solchen Fällen vom Verein Enigmabox nicht zu bekommen. Darum ist die Box nur für Personen mit gutem Hintergrundwissen zu empfehlen.

  2. Ich kann vor dem Verein nur warnen. Seit nun über 8 Monaten warte ich auf die zugesagte Erstattung des Kaufpreises für das zurückgeschickte Gerät. Nur Vertröstungen per Mail, man würde dann und dann zahlen. Mein Geld habe ich aber noch nicht zurück.

    Hat jemand einen Ansprechperner mit Namen dort oder einen Kontakt, um zu vermitteln?

    Danke und Gruß
    Karsten

    • Grüezi
      ich habe das gleiche Problem – keine Rückzahlung – keine email-antworten
      ich versuche den “Herren” auf die Spur zu kommen
      mit freundlichen Grüssen
      Peter Marti

  3. Hallo, Leider muss ich meinem Vorredner Recht geben. Vor dem Verein ist tatsächlich zu warnen. Unser Problem war in vielen Teilen ähnlich wie das oben beschriebene.

    Technik: Die BOX schaltet auf Grund ihrer Restriktionen entscheidende Services von zB. Swisscom aus, in unserem Fall ist es Swisscom TV – es gab noch weitere Probleme. Für komplexe Computeranlagen ist die Box unbrauchbar. Plug & Play, wie auf der Website von ENIGMABOX angegeben ist sind reine Wunschgedanken und es muss sehr viel Zeit, Geduld und manchmal noch Geld in eine Konfiguration investiert werden, die dann letztlich doch nicht funktioniert, da die System eigenen Restriktionen der Box gross sind. Ein PC Laie kann die Box nicht konfigurieren.

    Was aber dann kommt, wenn man die Box an den Verein ENIGMABOX zurück sendet ist noch viel ärgerlicher als das Suchen nach der richtigen Konfiguration:

    Auch wir warten und warten und warten auf unser Geld. Per Mail gesendete Zahlungserinnerungen die den ausstehenden Betrag freundlich erbitten … werden vom Verein ENIGMABOX konsequent nicht beantwortet. Die eingeschrieben gesendete Mahnung wird ebenso nicht beantwortet. Anrufe beim Präsidenten des Vereins, Herrn Vital Burger, werden folgenlos und wortkarg entgegen genommen. Seine Versprechen, sich der Sache an zu nehmen und sich um die Auszahlung des Betrages zu kümmern finden entweder nicht statt oder sind wirkungslos.

    Eine seriöse Kundenbeziehung hat anderen Charakter, darum warnen auch wir vor dem Kauf der ENIGMABOX.

    Fachstelle Extremismus und Gewaltprävention, FEXX

  4. Ich verwende die Enigmabox seit den Anfängen als es sie gab und kann nur Gutes über sie berichten. Als ich mal ein Problem hatte wurde mir per Mailsupport gut und sehr Zeitnah geholfen. Ein Netzwerk dahinter zu konfigurieren ist kein “Hexenwerk” aber man muss sich etwas mit der Funktionsweise vertraut machen, was leider für manche Anwender schon zu viel verlangt zu sein scheint, vor allem wenn es sich um Institutionen handelt, bei welchen ahnungslose Profilneurotiker als Netzwerkadministratoren fungieren! xD

  5. War doch klar und dann die Preise, außerdem gilt weiterhin: Erst überlegen und dann ins WWW gehen und wer sein Leben und Tun bei Fakebook und Konsorten offenlegt ist selber schuld. Die wirklich “Bösen sind lange nicht so blöd, um dieses Medium für Ihre Schweinereien zu benutzen”…

    • Die wirklich Bösen kommen gar nicht umhin das Internet zu nutzen. Die tummeln sich ausnahmslos alle (auch) im Internet und begehen mit Hilfe dessen ihre Schwerstverbrechen.

  6. Der vermeintliche Anstrich des sogenannten Schweizer Vereins Enigmabox klingt im ersten Moment seriös: „Wir tun etwas für Ihre Privatsphäre“… Unter dem Eindruck von Edward Snowdens Enthüllungen und die Werbung vom ASR-Blog sollte das doch eine gute Sache sein?! So edel, so gut. Das wars dann eigentlich schon.

    Man kann die Box für überteuerte 350,- CHF kaufen (momentan ca. 350 €) oder man kann sich die selbe Hardware auch für 120,- € im Internet besorgen. Zusätzlich lässt sich auf Basis des Banana PI und dem Aufspielen der dazu notwendigen Firmware für einen Gesamtbetrag von ca. 70,- € das Ganze auch selbst zusammenfriemeln.

    Als selbsternannter Bastelkönig habe ich das auch getan und habe dann das Machwerk in Betrieb genommen, mit einem 30-tägigen Testzugang. Zum Verständnis: Zum Betrieb ist stets ein handelsüblicher VPN-Zugang ZUSÄTZLICH notwendig, der im Jahresabo stolze 120,- € / CHF kostet. Die Box dient lediglich zur hardwarebasierten Verschlüsselung, also dementsprechend keine Wundertüte erwarten.

    Wenn man die überteuerte Box fertig kauft, bekommt man einen USB-Stick, der das benötigte Zertifikat enthält, wenn man den PI selbst baut, dann bekommt man einen Link zum Download der Zertifikatsdatei per Mail zugesendet. Ausprobiert…und funktioniert. Der Aufwand war in meinem Fall erheblich größer, da ich die Box zwischen Modem und Router setzte, um nicht für jedes Endgerät eine Extra Box + je einen VPN- Zugang bezahlen zu müssen. (Der empfohlene feuchte Traum der Betreiber)

    Zusätzlich arbeite ich mit DynDNS & festen IP-Adressen, die Box gibt eine Adresse vor, was für ein übler Aufwand das alles umzustellen und anzupassen! So fertig, alles funktioniert. Dann kam der 10.04.2015…die Box spielte wohl, wie in der Benutzeroberfläche eingestellt, automatisch das neue Update ein…Ergebnis: Internet offline + Internal Server Fehler 500….Ende!

    Ich spielte darauf hin auf die SD-Karte des Banana PI manuell die neue Firmware auf, Oberfläche wieder da…aber oh Schreck: Das Zertifikat war dafür weg. Lange gesucht, aber nicht mehr gefunden…der Link in der Mail war bereits mit Fehler 404 tot… Der Support kann mir doch sicherlich weiterhelfen dachte ich: Falsch gedacht! Der kann nicht nur NICHT…Der WILL auch gar nicht! Der Reihe nach:

    Sie anonymisieren sich enigmamäßig hinter Pseudonymen a’la Agent XYZ…der geprellte Kunde soll ja nicht wissen, mit wem er es zu tun hat. Dann ging der Wahnsinn erst richtig los: Allenfalls Wortfetzen, Auszüge aus der Bedienanleitung, strunzdämlichen Missverständnissen / Verständnisproblemen (Der Support wurde wohl, kognitiv gesehen, ins örtliche Behindertenheim outgesourct) , keine Antwort mehr, sinngemäß: Selbst daran schuld, Du Idiot!.. Man könnte die Konversation auch als Support-Tourette-Syndrom bezeichnen…es hat lediglich noch ein bellendes “Arschloch-Wichser-Drecksau” gefehlt.

    Dann hatte ich es aufgegeben. Nach ca 15 E-Mails, ewigen hin & her, wollte ich dann nach meiner Selbstbau-Investition wenigstens meine überwiesenen 120,- CHF retten…dann der ultimative Burner: „Dies sei ein hoher ADMINISTRATIVER AUFWAND”. Da legst Di’ nieder! (Vor Lachen!) Kassieren immer wieder gerne…Gegenleistung: Fehlanzeige! So kenne ich die Schweizer! Input 100 = Output 0.

    Zusammenfassung: Sie sollten es sich sehr gut überlegen mit diesem sogenannten „Verein Enigmabox“ Geschäfte zu machen. Erstens ist der Support zwischen Lachnummer und Frechheit anzusiedeln, und zweitens kennt die sprichwörtliche Schweizer Geldgier wohl überhaupt keine Grenzen mehr.

    Fazit: Finger weg! Einen seriöseren VPN-Anbieter finden Sie allemal…das dürfte angesichts dieser Erfahren nicht so schwer sein…

  7. Den Ausführungen meines Vorredners sivis kann ich mich leider weitgehend anschliessen.
    Ich habe vor zwei Jahren die überteuerte Fix-Fertig Version der Enigmabox gekauft. Bis zum 31.05.2015 lief alles problemlos, aber dann wurde die Box durch ein Firmware-Update “abgeschossen”. Einen Tag später war auf der Webseite enigmabox.net unter “Blog” zu lesen, dass alle Boxen erneut upgedatet worden seien und nun wieder liefen. Merkwürdig, meine Box gibt nun schon seit zwei Wochen keinen Mucks von sich.
    Inzwischen sind nun schon ca. 20 E-Mails ausgetauscht worden. Die beiden Vereinsmitglieder, Robert Vogel und Vital Burger, antworten nie unter ihrem eigenen Namen, sondern schliessen jede Mail mit “Freundliche Grüsse Verein Enigmabox”.
    Die Antworten sind meistens schwer verständliche Einzeiler à la “Können Sie die Box pingen?”. Konstruktive Lösungsvorschläge meinerseits, wie zum Beispiel der Austausch der CF-Karte, werden komplett ignoriert.
    Ich werde es noch so ca. zwei Wochen lang versuchen, danach werde ich meine Box und das IP-Telefon wohl in den Elektronikschrott geben müssen. Wie gut, dass ich mich nach der anfänglichen Begeisterung NICHT für den lebenslänglichen Zugang entschieden habe!!!

  8. Schaut euch mal die TrutzBox an. Die kommt aus Deutschland, hat viel mehr Features und hat ein sauberes Sicherheitskonzept. Ich habe eine TrutzBox jetzt seit ein paar Monaten im Einsatz und sicheres Browsen (ohne Meta-Datenspuren zu hinterlassen), sicheres Mailen (mit verschlüsselten Meta-Daten) funktioniert problemlos mit anderen TrutzBoxen. Zukünftig kann man mit der TrutzBox sogar sicher (peer2peer verschlüsselt) Chatten, Telefonieren und sogar Video-Konferenzen mit mehreren Teilnehmen machen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.