[WLANnews] Automatisierte Vergabe von öffentlichen IP-Adressen/-Netzen

Bartsch, Rene renne.bartsch at gmail.com
Do Mär 28 20:21:44 CET 2013 

Am 28.03.2013 19:27:36, schrieb Ruben Kelevra:

> 
> > Eine Idee, die mir jetzt noch kam, ist den Präfix aus dem Hash-Wert des
> > öffentlichen Schlüssels des TINC-VPN-Knotens zu berechnen. Ist jemand in
> > Mathe fit genug, um die Kollisionswahrscheinlichkeit bei der Transfomation
> > einen 4096-Bit RSA-Schlüssels in einen 32-bit Hashwert zu berechnen bzw.
> > welches Hashverfahren die geringste Kollisionswahrscheinlichkeit hat?
> Das Problem stellt sich nicht wirklich, denn TINC bedeutet wir müssen
> sowieso (halb)automatisch einen Schlüssel akzeptieren, was bedeutet
> das wir eine Funktion benötigen die das tut. Dabei könnten wir
> Kollisionen durch ein Verweigern des Eintrags abfangen und dann
> einfach einen anderen Schlüssel berechnen.
> 
> Andere Option wäre ein paar Bit weniger zu Hashen und eine
> fortlaufende Nummer als Rückgabewert anzuhängen.> @gmail.com>


Sobald ein Tinc-Knoten den öffentlichen Schlüssel eines anderen Knoten hat, verteilt er diesen an alle anderen Knoten weiter.

Wenn wir in einem Rechenzentrum, bevorzugt in DECIX-nähe, einen Router mit einem öffentlichen /32er IPv6-Präfix betreiben, kann jeder Nutzer auf seinem Freifunknoten einen Tinc-Knoten betreiben.
Der Nutzer generiert in Tinc die RSA-Schlüssel und trägt den öffentlichen Schlüssel und seine Email-Adresse im Webinterface des Routers ein. Dieser speichert das Quadruple zufällige gewählte oder gehashte Netzadresse, CIDR, öffentlicher Schlüssel und Email-Adresse in seiner Datenbank. Anschließend schickt der Router dem Nutzer eine Bestätigungsmail mit Host-Dateien für Tinc. Diese Hostdatei trägt der Nutzer in Tinc ein und klickt auf einen Bestätigungslink in der Email, wodurch der Router die Host-Datei des Nutzers in Tinc einfügt. In bestimmten Zyklen (z.B. alle 6 Monate) bekommt der Nutzer eine Email mit einem Bestätigungslink für die weitere aktive Nutzung des IPv6-Präfixes. Unterlässt er die Bestätigung wird der Präfix nach drei Monaten für andere Nutzer freigegeben.

Wenn jeder Nutzer sein /64er Netz über Tinc bekommt, spielt es auch keine Rolle, welche Infrastruktur verwendet wird (Batman-Adv, OLSR, ...). Wenn in Tinc 2.0 die Ende-zu-Ende-Verschlüsselung integriert wird, kann zwischen Tinc-Gateway und lokalem Netz auch keiner mehr mitlauschen.

Grüße,

Renne


-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.freifunk.net/pipermail/wlannews-freifunk.net/attachments/20130328/326b2c64/attachment.html>

Mehr Informationen über die Mailingliste WLANnews