Steven J. Murdoch beschrieb auf dem heute zu Ende gehenden CCC-Kongress 23C3, wie er mittels TCP-Timestamps bestimmte PCs sogar durch ein anonymisierendes Tor-Netz (The Onion Router) hindurch identifizieren konnte. Die grundlegende Technik ist schon länger bekannt: An individuellen Abweichungen der TCP-Zeitstempel kann man bei mäßig großen Gruppen (einige Dutzend bis wenige Hundert PCs) und hinreichender Beobachtungszeit im Stundenbereich einzelne Rechner wiedererkennen.

NTP erlaubt zwar, PCs bis auf maximale Abweichungen von wenigen Millisekunden zu synchronisieren, aber das erschwert lediglich das einfache Auswerten von ICMP-Timestamps. Die per TCP-Timestamps gemessene Clock Skew (Taktabweichung) setzt noch drei Zehnerpotenzen tiefer an, außerdem erwies sie sich als von der NTP-Synchronisierung weitgehend unabhängig. Ferner nutzt Murdoch die gleichermaßen individuelle Drift (mit der Temperatur leicht schwankende Taktfrequenz), indem er Prozessorlast auf der zu identifizierenden Maschine provoziert. Damit soll ein PC sogar dann wiedererkennbar sein, wenn er den Internet-Provider oder den Standort wechselt.

Fatal für die Anonymisierungsdienste ist nun, dass die TCP-Skew über viele Router – also auch Anonymisier-Server – hinweg messbar ist: Murdoch erprobte die Technik (PDF-Datei) im Labor über vier Tor-Server hinweg. Durch Identifizieren der einzelnen Tor-Server sei selbst der Weg durchs Tor-Netz rekonstruierbar. Wie Tor und ähnliche Anonymisierungsdienste funktionieren, erläutert der Beitrag "Mit Tarnkappe durchs Internet" in der aktuellen c't-Ausgabe 1/07. (ea/c't)