[WLANtalk] Ausschluss unbekannter Nodes

Nick nick at systemli.org
Sa Jun 12 16:35:56 CEST 2021 

Ich hatte da anscheinend Fomulierungsprobleme. Das mit dem unknown 
members war eine Frage: "Was ist das Prinzip hinter der hmac? Wird es 
dazu benutzt um unknown memers auszuschließen?". Allgemein ging es mir 
darum, was man damit so machen kann. Ich frage mich halt, ob wir damit 
"faulty nodes" erkennen können, oder das Netzwerk besser absichern 
können. Also eine automatisierung der Key-Verteilung. Eigentlich hätte 
ich auch nur schreiben können: "Any idea how we can use it?" Aber ich 
glaube leider bringt uns hmac doch nicht so viel.

Manche Backbone Links sind mittlerweile verschlüsselt in Berlin, aber 
mit einem sehr einfachen key. Einfach aus dem Grund, dass dann abhören 
erschwert wird. Wir hatten auch überlegt mit 802.11s und sae das nahfeld 
zu verschlüsseln. OWE läuft jetzt eh standardmäßig schon auf allen APs 
die wir mit ansible machen. Wir wollen hier niemanden ausschließen, aber 
einfach es für den user ein bisschen sicherer machen.

VG,
Nick

On 6/12/21 10:11 AM, Sven Roederer wrote:
> This is in reply to https://github.com/openwrt-routing/packages/issues/678 :
>
>> I'm very interested in MAC authentication for the Babel routing
>> protocol. However, I'm unsure if I can apply some of the parts to
>> a decentralized network like freifunk, where everyone can
>> participate. The basic idea is that I want to exclude unknown members
>> through mac authentication? How do your share a secret key between
>> neighbors (can I automatize the process?)? Any idea how we can use it?
> Moin,
>
> abgesehen vom technischen Aspekt einer solchen Implementierung stellt sich
> mir die Frage nach der Vereinbarkeit mit den Freifunk-prinzipien.
> "to exclude unknown members" wirft die Fragen auf:
> * Wie definieren sich diese "unknown member"?
> * Wer definiert diese "unknown member"?
>
> Nach meinem Verständnis gehört zu den Freifunk-Prinzipien auch freier Zugang
> und das nicht nur als WLAN-client, sondern auch zum Mesh.
> Für mich klingt das nach einer zentralen Möglichkeit einzelne Nodes zu
> blockieren und den freien Zugang zum Mesh zu beschränken.
> Wenn es sich um die Isolierung von vorsätzlichen Störern handeln soll, hilft
> eine so eine technische Umsetzung wohl eher auch nicht, denn am Ende ist der
> benötigte Schlüssel ja öffentlich zugänglich.
>
> Habe ich da irgendwo einen Interpretations- oder Denkfehler?
>
> Gruss Sven

Mehr Informationen über die Mailingliste WLANtalk