Seit dem Update auf macOS Monterey 12.3 und auf iOS und iPadOS 15.4 ist Private Relay verfügbar. Mit diesem von Apple neu eingeführten Dienst wird das Surfen anonymer gemacht, um zum Beispiel das Tracking anhand der IP-Adresse des Geräts zu unterbinden. Der Dienst funktioniert aber nur mit Safari und setzt ein kostenpflichtiges Abo von iCloud+ voraus.
Aktiviert wird Private Relay auf dem Mac in der Systemeinstellung „Apple-ID“ unter „iCloud“. Auf dem iPhone und dem iPad ist Private Relay ebenfalls unter „iCloud“ in den Apple-ID-Einstellungen zu finden.
Nach der Aktivierung von Private Relay kann man dann zwischen zwei Varianten für „IP-Adressen Standort“ auswählen: Zum einen gibt es „Allgemeinen Standort beibehalten“, das ist die Standardeinstellung. Und zum anderen lässt sich „Land und Zeitzone verwenden“ auswählen. Bei der ersten Einstellung wird bei der Zuweisung der anonymisierten IP-Adresse der ungefähre geografische Standort des Geräts verwendet, bei der zweiten nur das Land und die Zeitzone.
Private Relay wird auf dem Mac in den Systemeinstellungen unter „iCloud” aktiviert.
Thomas Armbrüster
Verschlüsseln und Hashen
Für Private Relay arbeiten Apple und der Webdienste-Anbieter Cloudflare zusammen. Normalerweise werden beim Surfen sowohl die IP-Adresse des Geräts als auch der Name des Servers über eine verschlüsselte Verbindung weitergeleitet, sodass auf dem Zielserver immer zu sehen ist, woher die Anfrage stammt, und auf welche Seite zugegriffen werden soll beziehungsweise wonach gesucht wird.
So lässt sich mithilfe dieser Informationen ein persönliches Profil erstellen. Private Relay entkoppelt dies. Dazu wird der Verkehr über zwei Server geleitet, von denen den ersten Apple und den zweiten Cloudflare betreibt.
Die Webadressen und die Suchanfragen werden zuerst auf dem Mac, dem iPhone oder iPad verschlüsselt, und zwar mit einem öffentlichen Schlüssel von Cloudflare. Dann wird die verschlüsselte Anfrage zusammen mit der IP-Adresse an den Server von Apple (Ingress Proxy) gesendet. Dieser sieht, genauso wie der Internetprovider und der Mobilfunkanbieter, zwar die IP-Adresse, aber sonst nur verschlüsselte Informationen.
Apples Server erzeugt dann einen Geohash anhand der IP-Adresse, der nur noch den ungefähren Standort beschreibt. Dieser wird zusammen mit der verschlüsselten Anfrage an den Server von Cloudflare (Egress Proxy) weitergegeben. Dort wird dann zum einen mithilfe des privaten Schlüssels des Betreibers die Anfrage entschlüsselt, und zum anderen anhand des Geohashs eine globale IP-Adresse zugewiesen, und dann die Anfrage weitergeleitet.
Die ursprüngliche IP-Adresse des Geräts ist also weder bei Cloudflare noch beim Zielserver zu sehen. Für die globalen IP-Adressen für Private Relay gibt es einen Pool, aus dem eine zum ungefähren Standort passende zufällig zugewiesen wird. Dazu wird jeweils die in der Nähe liegende größere Stadt verwendet. Welche IP-Adressen in diesem Pool enthalten sind, kann man sich auf einer Webseite von Apple auflisten lassen.
Hat man in den Einstellungen für Private Relay die Option „Land und Zeitzone verwenden“ ausgewählt, wird nicht eine IP-Adresse genommen, die zur nächstgelegenen Stadt gehört, sondern nur zum jeweiligen Land und der Zeitzone passt. In Deutschland ist dies dann bei uns Berlin, auch wenn wir uns vom Münchner Umland aus eingewählt haben.
Man kann mit Private Relay aber nicht wie mit einem VPN-Zugang den Standort komplett verschleiern.
Ohne iCloud Relay wird die IP-Adresse des Macs an den Zielserver weitergeleitet und dort die genaue Position angezeigt.
Thomas Armbrüster
Ist Private Relay eingeschaltet, wird standardmäßig die eigene IP-Adresse durch diejenige einer nahe gelegenen größeren Stadt ersetzt.
Thomas Armbrüster
Man kann Private Relay auch so einstellen, dass die weitergeleitete IP-Adresse nur noch das Land und die Zeitzone anzeigt.
Thomas Armbrüster
Autor: Thomas Armbrüster, Autor
Thomas Armbrüster schreibt seit 1993 für die Macwelt.