Infrastruktur

Server

Informationen zu unseren Tor Server findest du auf dieser Seite.

Sicherheit

Sicherheit ist uns wichtig. Hier ein paar ausgewählte Dinge die wir in dem Bereich machen:

  • Zugriff auf unsere Server (SSH) erfordert 2-Faktor Authentifizierung (Pubkey und Passwort)
  • authorisierte SSH Schlüssel werden in Hardware (Yubikey) ausgegeben
  • wo dies unterstützt wird, werden Software Updates automatisch installiert (inkl. automatischem Reboot wenn nötig)
  • unsere Domain ist DNSSEC signiert
  • unsere Email Domain unterstützt DANE
  • unsere Webseite ist statisch generiert
  • es kommt HSTS zum Einsatz (ohne Preloading)
  • wo dies möglich ist verwenden wir 2-Faktor Authentifizierung für alle externen Services (njal.la, 1984.is, Stripe, Github, Twitter, Mastodon, ...)
  • um BGP Hijacking Angriffe zu erschweren, werden /24 (IPv4) und /48 (IPv6) Prefixe bekanntgegeben und ROAs wurden erstellt (teilweise)
  • wir verwenden CAA, TLSA und SSHFP DNS Records
  • wir verwenden Certificate Transparency Logs um Zertifikate zu erkennen die unauthorisiert für unsere Domains ausgestellt wurden

Auf unserer Wunschliste

  • DNSSEC für Reverse Zonen
  • HSTS Preloading (dies erfordert eine zweite Domain da Leute auf unsere Tor DirPorts (80) mit ihrem Browser zugreifen können sollten, wenn sie unsere Exit IP Adressen in ihren Logs sehen)

Verwendete Dienste von Drittanbietern

Primär aus Verfügbarkeitsgründen (wir haben kein 24/7 Team) werden einige Infrastruktur Dienste (DNS und Email für die Domain appliedprivacy.net) nicht direkt von uns auf unseren eigenen Servern betrieben, aber wir versuchen unsere Anbieter sorgfältig auszuwählen. Die Anbieter sind hier erwähnt um anderen praktische Unterstützung zu bieten die ähnliche Anforderungen haben.

DNS

Wir verwenden njal.la in Kombination mit 1984.is für DNS da sie:

  • DNSSEC und sicherheitsrelevante DNS Records (CAA, TLSA and SSHFP) unterstützen
  • 2-factor Authentifizierung unterstützen (TOTP, Yubikey)
  • Tor-freundlich sind
  • leistbar/kostenlos sind

Email

Wir verwenden mailbox.org als Emails Provider da sie:

  • generell datenschutzfreundlich sind (z.B. minimale Informationen beim Erstellen des Accounts erforderlich)
  • Tor-freundlich sind und sogar einen kleinen Tor Exit Server betreiben
  • explizit Benutzer dazu ermuntern ihre Emails über Tor abzurufen
  • einen Onion Service für ihre Email Server anbieten
  • DKIM unterstützen
  • DANE unterstützen
  • 2-Faktor Authentifizierung unterstützen
  • leistbar sind