[Freifunk Franken] Das Internet ist kein Rechtfreier Raum

CSG freifunk at csg.cx
Di Nov 17 17:47:17 CET 2015 

Hallo,

zur VPN-Verschlüsselung:
Ich habe vor einiger Zeit auf einem 841ND fastd mit
salsa20-Verschlüsselung eingerichtet, um die Geschwindigkeit zu testen.
Den exakten Wert weiß ich leider nicht mehr, allerdings war die
Bandbreite doch recht stark durch die CPU begrenzt. Surfen war möglich,
mehr aber auch nicht.
Tatsächlich bringt dir die Verschlüsselung des VPN-Traffics aber keinen
Vorteil. Dadurch kann am Gateway-Server immernoch der gesamte Traffic
abgeschnüffelt werden. Dann kann man eben nicht mehr passiv an der
Netzwerkschnittstelle des Servers lauschen, sondern braucht zusätzlich
noch Zugriff auf den Server, was für Geheimdienste o.Ä. vielleicht eine
Hürde, aber kein Hindernis ist.

zur Verschlüsselung des WLAN-Netzes (zumindest habe ich das aus AES bzw.
TKIP in der Mail von Peter J. Philipp herausgelesen):
Verschlüsselung ist mmit der Hardware durchaus möglich, aber wenig
praktikabel: Wenn die Router untereinander meshen sollen, gibt es zwei
Fälle:
    (1) Alle Router haben den gleichen Schlüssel (WPA-PSK) --> Bringt
gar nichts, da der Key in die Firmware geschrieben werden muss, was
einfach auslesbar ist
    (2) Alle Router verwenden einen Authentifizierungsserver (RADIUS)
und handeln die verschlüsselte Verbindung jedes mal neu aus
(WPA-Enterprise): Das würde tatsächlich etwas bringen, allerdings wären
dann alle Server abhängig von diesem Authentifizierungsserver. Im
Zweifelsfall würde das heißen: Wenn keine (VPN-)Verbindung zum
Auth-Server möglich ist (z.B. durch Ausfall des Internets), ist auch
kein Meshing mehr möglich.

Die einzige Möglichkeit, der Überwachung entgegenzuwirken, ist,
möglichst viele Knoten aufzubauen, die untereinander meshen. Wenn die
Daten von Router zu Router weitergegeben werden, müssten alle
Funkstrecken überwacht werden, da der Freifunk-interne Traffic nicht
mehr über einen zentralen VPN-Server läuft.

zum Thema MITM: Verwendet End-To-End Krypto, dann passiert nichts. Auch
das Problem mit Daten abschnorcheln am Freifunk-VPN-Server fällt damit
weg. Wenn End-To-End Krypto verwendet wird, machen auch die oben
genannten Punkte (Verschlüsselung WLAN-Netz + Verschlüsselung
VPN-Tunnel) keinen Sinn mehr und benötigen nur unnötig Rechenaufwand, da
die Kommunikation ohnehin schon verschlüsselt ist.

Viele Grüße
Anton

Am 17.11.2015 um 16:48 schrieb Johnny:
> Ich dachte immer, dass wir den tunnel nicht verschlüsseln, da nur eine
> end-to-end-verschlüsselung wirklich sinnvoll ist, und
> somit der anwender sich selbst um die verschlüsselung kümmern sollte,
> wenn er dies wünscht.
> Die CPU-Last ist aber sicherlich auch ein Argument was dagegen spricht.
>
> Gruss Johnny
>
>
> On 17.11.2015 14:02, Peter J. Philipp wrote:
>> Das weiss ich leider nicht.  Ich würde denken da muss irgendwas auf dem
>> Chip sein für AES oder TKIP?
>> Da das ja 150 Mbit router sind soweit ich weiss.  Treiber dafür haben
>> Freifunk warscheinlich nicht, sonnst würden wir es ja nutzen um zu
>> verschlüsseln.  Ich weiss noch vor ein paar jahren wurde mir gesagt wir
>> verschlüsseln nicht da die CPU zu lahm ist.  Aber als ich fastd
>> studierte wurde mir klar das wir eine kryptographische summe wenigstens
>> mit rein schreiben um MITM zu unterdrücken.
>>
>> Grüsse,
>>
>> -peter
>>
>> On 11/17/15 13:27, Emil Lefherz wrote:
>>> Ne Verschlüsselung gibt die Hardware nicht her, oder?
>>> Das wäre eine sinnvolle Idee. bei einem globalen Netzwerk wie dem
>>> Internet macht nationales Recht meines Erachtens nach eh wenig Sinn.
>>>
>>> lg emil
>>>
>>> On 11/17/2015 01:19 PM, Peter J. Philipp wrote:
>>>> Um den Leuten es klar zu machen... Na klar werden auch wir überwacht.
>>>> Das kann ich nicht beweisen aber es macht nur Sinn.  Wo würde ich uns
>>>> überwachen?  An den tunnel servern oder genauer gesagt vor den Tunnel
>>>> Servern.  So weit ich weiss wird der Tunnel nicht verschlüsselt und da
>>>> bemächtigen sich der BND und Verfassungsschutz.  Alles was die
>>>> brauchen
>>>> ist ein schreiben an die provider der Tunnel Server zu machen und
>>>> können
>>>> dann heimlich in Freifunk internen sachen rumschnüffeln.  Wir sind
>>>> auch
>>>> nicht besonderlich dagegen sonst hätten wir schon längst die Tunnel
>>>> verschlüsselt.
>>>>
>>>> Grüsse,
>>>>
>>>> -peter
>>>> _______________________________________________
>>>> franken mailing list
>>>> franken at freifunk.net
>>>> http://lists.freifunk.net/mailman/listinfo/franken-freifunk.net
>>>>
>>> _______________________________________________
>>> franken mailing list
>>> franken at freifunk.net
>>> http://lists.freifunk.net/mailman/listinfo/franken-freifunk.net
>> _______________________________________________
>> franken mailing list
>> franken at freifunk.net
>> http://lists.freifunk.net/mailman/listinfo/franken-freifunk.net
>
> _______________________________________________
> franken mailing list
> franken at freifunk.net
> http://lists.freifunk.net/mailman/listinfo/franken-freifunk.net

Mehr Informationen über die Mailingliste franken