Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

iCloud Private Relay: So funktioniert Apples kommender VPN-Service

Viele Mac- und iPhone-Besitzer nutzen kommerzielle VPN-Dienste. Sie wollen damit im Internet möglichst wenig Spuren hinterlassen, welche mit ihnen und ihren persönlichen Informationen verknüpft werden können. Der gesamte Datenverkehr läuft dabei durch ein virtuelles privates Netzwerk, wodurch es etwa Providern nicht möglich ist, das Surfverhalten aufzuzeichnen. Zudem erhalten Webseitenbetreiber nicht die tatsächliche, sondern eine vom VPN-Dienstleister zur Verfügung gestellte IP-Adresse.


iCloud Private Relay behebt Schwachpunkt von VPN
Viele – wenn nicht alle - der derzeit existierenden Angebote weisen allerdings in Sachen Datenschutz und Sicherheit einen Schwachpunkt auf. Der Netzwerkverkehr läuft zwar verschlüsselt durch einen Tunnel, viele Informationen können allerdings prinzipbedingt vom VPN-Dienstleister mitgelesen werden. Dazu zählen etwa die IP-Adresse des Nutzers und die URLs der aufgerufenen Webseiten. Mit iCloud Private Relay bietet Apple künftig einen Service an, der dieses Defizit behebt. Die Funktionsweise des im neuen kostenpflichtigen Dienst namens iCloud+ enthaltenen Datenschutzfeatures erläuterte Craig Federighi, der Software-Chef des iPhone-Konzerns, jetzt in einem Interview mit Fast Company.

Zweistufiges Verfahren sorgt für Datenschutz
Damit niemand das Surfverhalten nachvollziehen kann, kommt bei iCloud Private Relay ein zweistufiges Verfahren zum Einsatz. Eine aufgerufene URL wird zunächst in verschlüsselter Form an Apples Server geleitet, das kalifornische Unternehmen erfährt also nicht, welche Webseite der Nutzer aufrufen will. Anschließend anonymisiert das System die tatsächliche IP-Adresse und leitet die Anfrage dann an ein von Apple zertifiziertes Unternehmen weiter. Dieses kann die nach dem Zufallsprinzip verschleierte IP-Adresse also nicht dem Nutzer zuordnen. Die Server von Apples Partnerfirmen, bei denen es sich beispielsweise um große Provider handeln kann, entschlüsseln dann die URL, rufen die gewünschte Webseite auf und leiten diese an Apples Rechner weiter. Von dort aus gelangen sie schließlich auf Mac, iPhone oder iPad und werden dort von Safari dargestellt.

Datenschutz-Feature ausschließlich in Safari verfügbar
Apple und der zwischengeschaltete Dienstleister erhalten also niemals gleichzeitig IP-Adresse und aufgerufene URL. Ein Tracking anhand dieser Informationen ist somit ausgeschlossen, auch dem Zugangsprovider bleiben die Daten vollständig vorenthalten. Zudem können Webseiten-Betreiber den genauen Standort des Nutzers nicht ermitteln, da ihnen lediglich die ungefähre Region mitgeteilt wird. iCloud Private Relay kommt stets automatisch zum Einsatz, wenn ein Besitzer von Mac, iPhone oder iPad in seinen iCloud-Account eingeloggt ist. Allerdings funktioniert Apples neues Datenschutzfeature laut Craig Federighi ausschließlich mit Safari und steht in anderen Browsern nicht zur Verfügung. Auch in Apps kommt das Verfahren folglich nicht zum Einsatz. In einigen Ländern wie beispielsweise China, Südafrika, Weißrussland und Saudi-Arabien bietet Apple iCloud Private Relay aus rechtlichen Gründen nicht an.

Kommentare

maculi
maculi08.06.21 09:31
Grundsätzlich ist dergleichen zu begrüßen, aber wenn das nur in Safari funktioniert und andere Programme leer ausgehen, dann ist das doch ziemlich halbherzig. Als ob andere Apps nicht auch online wären. Über die läßt sich dann immer noch viel zu viel Unfug treiben. Also , der Ansatz ist gut, aber bitte Systemweit zur Verfügung stellen.
+2
sonorman
sonorman08.06.21 09:36
Ich finde das großartig. Der Schutz von Apps wird ja bereits im Bereich Tracking erhöht, daher glaube ich, dass über kurz oder lang auch die von Private Relay profitieren werden. Besser als (teuer) bezahlte VPNs mit meist dubiosem Hintergrund ist das allemal.

Und gut, dass mein Primärbrowser nach wie vor Safari ist. Das wird auch immer besser. Habe mir kürzlich mal wieder Firefox angesehen (den ich früher einige Jahre genutzt hatte), aber ich sehe keinen Grund dafür von Safari wegzugehen.
+33
MikeMuc08.06.21 09:41
Ich verstehe nicht, warum / wieso Apple die IP vom User nicht erfährt. Es steht doch im Artikel selber drin, das die zuerst an Apple übertragen wird und dort anonymisiert wird. Genau die Stelle ist doch der Knackpunkt an dem wer auch immer (in diesem Fall Apple selber) das einfach protokolliert. Ggf sogar muß, wenn sie von einem Staat dazu gezwungen werden. Das kann sogar in den USA heimlich angeordnet werden. In dem Moment müßte Apple diesen Dienst dann einfach einstellen :wenn sie ehrlich bleiben wollen -/
0
Rumpelstilzchen
Rumpelstilzchen08.06.21 09:50
maculi
Grundsätzlich ist dergleichen zu begrüßen, aber wenn das nur in Safari funktioniert und andere Programme leer ausgehen, dann ist das doch ziemlich halbherzig. Als ob andere Apps nicht auch online wären. Über die läßt sich dann immer noch viel zu viel Unfug treiben. Also , der Ansatz ist gut, aber bitte Systemweit zur Verfügung stellen.

Da kann ich nur voll und ganz zustimmen. Allerdings das die IP in klar bei Apple ankommt ohne vorher irgendwie, ich bin kein Techniker und weiß auch nicht ob das anders geht, verschlüsselt zu sein macht mir Kopfschmerzen. Jm2c
+2
Moebius3k08.06.21 10:01
Ich kann sonorman nur zustimmen. Ein echt tolles Feature. Klar, 100% Sicherheit gibt es damit natürlich auch nicht, aber je weniger in den Besitz von Daten kommen desto besser.

@Redaktion und andere Betatester: Funktioniert Private Relay bei euch schon? Die Redaktion hat gestern noch in einem Artikel geschrieben, dass die Aktivierung noch nicht funktioniert. Bei mir hingegen war sowohl auf dem iPad Air sowie beim M1 iMac nach Beta-Installation Private Relay automatisch installiert. Beim iMac kam noch zusätzlich die Frage, ob man die E-Mail Adresse in Mail verbergen will. Funktioniert soweit tadellos.
+3
nobillgates08.06.21 10:03
Rumpelstilzchen
maculi
Grundsätzlich ist dergleichen zu begrüßen, aber wenn das nur in Safari funktioniert und andere Programme leer ausgehen, dann ist das doch ziemlich halbherzig. Als ob andere Apps nicht auch online wären. Über die läßt sich dann immer noch viel zu viel Unfug treiben. Also , der Ansatz ist gut, aber bitte Systemweit zur Verfügung stellen.
Da kann ich nur voll und ganz zustimmen. Allerdings das die IP in klar bei Apple ankommt ohne vorher irgendwie, ich bin kein Techniker und weiß auch nicht ob das anders geht, verschlüsselt zu sein macht mir Kopfschmerzen. Jm2c


Firefox bietet schon lange DNS over Https an .
Wenn ich dann noch zb NorthVPN zuschalte, bin ich schon ziemlich unsichtbar für den Empfänger meiner Anfrage.
Der Safari ist in Punkto Einstellungs- und Erweiterungsmöglichkeiten an Armseligkeit kaum zu unterbieten. Für mich ein absoluter no-go.
-6
Metty
Metty08.06.21 10:04
Die Zukunft wird zeigen, ob die iCloud Private Relay Server nur in den USA stehen oder ob es überall in der Welt entsprechende Relay Server geben wird. Wenn die nur in den USA stehen, dann ist der Datenschutz nur Schall und Rauch wert, denn das amerikanische Gesetz zwingt Apple im Bedarfsfall die Daten trotzdem heraus zu geben.
Sollte es entsprechende Server auch in Europa geben könnte ich der Sache schon mehr Wert abgewinnen.
Wie schon zuvor erwähnt würde es noch mehr Sinn machen, wenn alle Netzwerkverbindungen über die Relay Server laufen würden und nicht nur der von Safari. Ich werde so lange bei meiner bestehenden VPN Lösung bleiben.
+5
Moebius3k08.06.21 10:20
Es scheint, als ob die Server weltweit stehen. Ich sitze hier in Österreich und hab mich jetzt mit Private Relay aktiv in meinen Amazon Account eingeloggt. Dabei wurde mir als Standort vom Zugriff Schweden angezeigt. Und zumindest Netflix zeigt mir in Safari die Top 10 für Österreich an.
+4
Dupondt08.06.21 10:21
MikeMuc
Ich verstehe nicht, warum / wieso Apple die IP vom User nicht erfährt.

Danke für den Hinweis, ich habe den Satz im letzten Absatz präzisiert. Apple bekommt die IP, aber nicht die URL, der externe Dienstleister hingegen die URL, aber nicht die IP. Eine Verknüpfung dieser beiden Parameter ist also ausgeschlossen.
+11
subjore08.06.21 10:38
Es wäre cool, wenn man auswählen könnte wo genau die VPN Server stehen sollen
Dann kann man endlich einfach Inhalte aus anderen Ländern verwenden.
+1
JackBauer
JackBauer08.06.21 10:43
Mal sehen wie performant das Ganze am Ende ist - damit steht und fällt es.
subjore
Es wäre cool, wenn man auswählen könnte wo genau die VPN Server stehen sollen
Dann kann man endlich einfach Inhalte aus anderen Ländern verwenden.

Das wäre u.U. sogar hinderlich. Betreiber sperren gern VPN-Server aus, wenn ihr Service nur in ihrem Land verfügbar sein soll. Passierte mir ständig mit NordVPN. Ob sie es sich natürlich getrauen, einen Giganten wie Apple auszuschließen oder ob Apple selbst verhindert, dass man so surft, ist am Ende eine andere interessante Frage.
+2
Macmissionar08.06.21 11:36
Dann kann man ja zukünftig endlich die Zensur in Deutschland auch umgehen. Gutenberg.org ist bis heute gesperrt.

Wir sind nicht besser als Nordkorea, was dieses Thema betrifft.
A Mac is like a Wigwam: No Windows, no Gates, no Backdoors, Peace, Harmony – and an Apache inside.
-8
tranquillity
tranquillity08.06.21 11:50
Macmissionar
Dann kann man ja zukünftig endlich die Zensur in Deutschland auch umgehen. Gutenberg.org ist bis heute gesperrt.

Wir sind nicht besser als Nordkorea, was dieses Thema betrifft.

Aua. Du verwechselst Zensur mit Urheberrecht.
Und dein Vergleich mit Nordkorea ist ziemlich arm. Er relativiert ungemein die Lage der Menschen dort. Peinlich!
+10
frodo200708.06.21 12:12
sonorman
Und gut, dass mein Primärbrowser nach wie vor Safari ist. Das wird auch immer besser. Habe mir kürzlich mal wieder Firefox angesehen (den ich früher einige Jahre genutzt hatte), aber ich sehe keinen Grund dafür von Safari wegzugehen.

Höchstens uBlock Origin wäre für mich ein Grund.
+1
pünktchen
pünktchen08.06.21 12:34
Dupondt
Apple bekommt die IP, aber nicht die URL, der externe Dienstleister hingegen die URL, aber nicht die IP. Eine Verknüpfung dieser beiden Parameter ist also ausgeschlossen.

Ich verstehe es immer noch nicht. Wenn am Ende die URL von Apples Servern an die IP ausgeliefert wird dann sehen sie doch immer noch wer was bekommt. Wie soll das auch sonst funktionieren?
+1
Chm08.06.21 12:39
Und wie kann der Partner den Apple für die Entschlüsselung der URL ins Boot holt (und dessen Namen wir nicht erfahren) die von Safari verschlüsselte URL entschlüsseln? Wo kommt da der Schlüssel her und wie gelangt er an den Dienstleister ohne, dass Apple den Schlüssel bekommt???
0
Chm08.06.21 12:51
Chm
Und wie kann der Partner den Apple für die Entschlüsselung der URL ins Boot holt (und dessen Namen wir nicht erfahren) die von Safari verschlüsselte URL entschlüsseln? Wo kommt da der Schlüssel her und wie gelangt er an den Dienstleister ohne, dass Apple den Schlüssel bekommt???

---

Ich habe es jetzt verstanden:
Es wird asymetrisch verschlüsselt, und die Nutzer bekommen den öffentlichen Schlüssel des Dienstleisters durch Apple geliefert, dieser kann dann mit seinem privaten Schlüssel entschlüsseln. Allerdings muss man hier wieder Apple vertrauen, dass die das nicht heimlich umschlüsseln
0
Unwindprotect08.06.21 13:03
pünktchen
Dupondt
Apple bekommt die IP, aber nicht die URL, der externe Dienstleister hingegen die URL, aber nicht die IP. Eine Verknüpfung dieser beiden Parameter ist also ausgeschlossen.

Ich verstehe es immer noch nicht. Wenn am Ende die URL von Apples Servern an die IP ausgeliefert wird dann sehen sie doch immer noch wer was bekommt. Wie soll das auch sonst funktionieren?

Hier meine Vermutung des Ablaufs:

Apple kriegt im Prinzip Deine IP und eventuell (keine Ahnung) die verschlüsselte URL ohne sie entschlüsseln zu können. Sie wissen also nicht was Du anschauen willst, aber sie kommunizieren ja mit Dir direkt - also müssen sie eh Deine IP kennen.

Die Dienstleister (vermutlich einfach AWS & Co) kriegen die verschlüsselte URL, haben aber den dazugehörigen Schlüssel (die URL wurde für den Dienstleister verschlüsselt). Da sie die URL über Apple kriegen, kennen sie nicht die IP des ursprünglichen Nutzers. Der Dienstleister ruft die Seite ab und verschickt die Daten verschlüsselt an Apple. Apple kann die verschlüsselten Daten nicht lesen und weiß nicht welche URL dahinter steckte. Aber sie wissen, dass es die Daten für Deine Anfrage waren (anhand der noch verschlüsselten URL als ID).

Apple schickt Dir die verschlüsselten Daten und Safari stellt sie dar.

Wer kennt was und was nicht?

Apple:
kennt Deine IP und sonst nichts

Dienstleister:
kennt die URL der Seite
er kennt Deine IP nicht
Bei HTTPS kennt der Dienstleiter auch den _individuellen_ Inhalt Deiner Anfrage an die Webseite nicht. Was heißt das? Wenn Du z.B. eingeloggt bist, dann kriegst Du vom Webserver ja eventuell nur für Dich zusammengestellte (private) Inhalte. Zwischenstellen können die nicht sehen (wegen HTTPS). Der Dienstleister könnte natürlich selbst mit einer eigenen HTTPS-Session den Inhalt abrufen, aber das sind dann nicht _Deine_ Inhalte.

Was könnte passieren:
Sobald jemand den Dienstleister und Apple zusammen verpflichtet das jeweilige Wissen zusammenzulegen, könnte man die URL wieder zuordnen. Dann ist aber immer noch nicht der eigentliche HTTPS verschlüsselte Inhalt bekannt. Um an diesen zu kommen müsste man eine HTTPS-Terminierung dazwischen machen - aber das machen die Zertifikate im Browser nicht mit - es sei denn der Browser wird instruiert den Terminator-Zertifikaten zu vertrauen.

Im großen und ganzen ist das also durchaus ein hoher Grad an Sicherheit.
+8
rafi08.06.21 21:34
Metty
... Relay Server ... Wenn die nur in den USA stehen, dann ist der Datenschutz nur Schall und Rauch wert, denn das amerikanische Gesetz zwingt Apple im Bedarfsfall die Daten trotzdem heraus zu geben.
Sollte es entsprechende Server auch in Europa geben könnte ich der Sache schon mehr Wert abgewinnen.

Nein, es spielt keine Rolle wo die Server stehen (ausser für dir Performance).
Es ist ein US Unternehmen und damit sind die Daten nicht sicher.
Safe Harbor wurde deshalb gecancelt.
0
Frost08.06.21 22:43
rafi
Es ist ein US Unternehmen und damit sind die Daten nicht sicher.
Safe Harbor wurde deshalb gecancelt.

Richtig gleiche Problematik ja auch mit Microsofts Office 365 Cloud und den ganzen darin verfuegbaren Anwendungen.
Sie (Microsoft) versuchen jetzt (auch weil Teile im Bund diese unbedingt nutzen wollen), dies mit einer neuen Konstruktion zu umgehen, in der Microsoft eine von Microsoft unabhaengige Tochterfima grundet, welche keine Verbindung zum Mutterkonzern besitzt und diese Tochterfirma dann die Microsoft Cloud Server fuer Europa betreibt (wie auch immer sie dies machen wollen).
Dann in der Hoffnung das der Durchgriff der NSA auf die Daten in diesem Fall nicht funktioniert, so recht glauben mag ich aber auch an dieses Konstrukt nicht,
selbst wenn es Micorsoft gelingt dies technisch auf die Beine zu stellen.

Aber eine Konstruktion wie hier bei Apple bei der sich der eine, (EU) Teil der Infrasturktur, nicht komplett in einer vom amerikanischen Mutterkonzern befindlichen unabhaengigen Firma befindet und fuer die Apple Konstruktion muessten es nun schon zwei von ihren jeweiligen amerikanischen Mutterkonzernen unabhaengige Firmen in der EU sein, der kann nicht funktionieren.
-1
Fatty&Little
Fatty&Little09.06.21 00:26
sonorman
aber ich sehe keinen Grund dafür von Safari wegzugehen.
Wieso kann Safari nicht automatisch Cookies beim Schliessen löschen?
Gerade Apple, mit dem Anspruch auf Datenschutz, bietet diese Standardfunktion nicht im eigenen Browser.
Abgesehen davon, ist die Relayfunktion super, sowie die anderen Vorstellungen der Keynote
0
Terendir11.06.21 10:37
frodo2007
sonorman
Und gut, dass mein Primärbrowser nach wie vor Safari ist. Das wird auch immer besser. Habe mir kürzlich mal wieder Firefox angesehen (den ich früher einige Jahre genutzt hatte), aber ich sehe keinen Grund dafür von Safari wegzugehen.

Höchstens uBlock Origin wäre für mich ein Grund.

Adguard für Safari kann schon gut mithalten. Man hat sogar für die Einschränkung der Filterregeln eine clevere Möglichkeit gefunden: Es wird einfach für jede Filterkategorie ein eigenes Safari-Addon erstellt und damit nicht das Filterlimit überschritten. Prinzipiell bleibt uBlock aber natürlich das mächtigere Addon.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.