[Discuss] router verliert alle routen

Michael Blizek (spam-protected)
Mo Nov 17 06:17:00 CET 2008 

Hi!

On 19:06 Sun 16 Nov     , Bernd Petrovitsch wrote:
> On Son, 2008-11-16 at 18:43 +0100, Michael Blizek wrote:
> [...]
> > On 18:12 Sun 16 Nov     , Bernd Petrovitsch wrote:
> [...]
> > > Wozu?
> > > Hintern Tunnel - spätestens am Backbone - ist sowieso alles
> > > unverschlüsselt. D.h. drüber muß ich sowieso https/imaps/,... oder TLS
> > > o.ä. verwenden, wenn ich auf Verschlüsselung Wert leg'.
> > > Und dann bringt ein 2. Mal teilweise verschlüsseln drunter wenig - mbMn
> > > nur zusätzlichen CPU/Strom-Verbrauch.
> > 
> > Bei einer End-to-end Verschluesselung muss der andere Teilnehmer auch
> 
> Der andere Teilnehmer ist idR ein sshd, imapd oder sonst ein Daemon. Und
> wenn man https/imaps/TLS/... haben will und die "andere Seite" es nicht
> spielen will, sucht man sich einer andere andere Seite.
> BTW wenn die andere Seite nicht https/imaps/TLS/... spielen will, wird
> sie kaum openvpn+Verschlüsselung spielen wollen (und drüber IP fahren).
> 
> > mitspielen. Der Tunnel macht deswegen Sinn, weil sich die Funkverbindungen
> 
> Tunnel? Es ging um Verschlüsselung am Layer3/4.
> 
> > viel leichter abhoeren lassen, als der Backbone.
> 
> Nochmal:
> Die Frage war: Welches akute Problem löst man mit dem Verschlüsseln am
> Layer 3/4 auf einem Teil der Strecke?
> Antwort: Keines, weil man sowieso weiter oben sichere Protokolle
> end-to-end verwenden *muß*, wenn man Wert drauf legt, daß niemand[0]
> mitliest.
> Deshalb ist es *vollkommen* sinnlos "unten" auf einem Teil der Strecke
> nochmal zu verschlüsseln.
> q.e.d
> 
> Und genau darauf zielte die unbeantwortete Frage ab: Welches Problem
> willst du lösen?
> Meinetwegen ist WLAN-Traffic "leichter" abhörbar wie Backbone-Traffic
> (für wen BTW?). Aber das erschweren desselben bringt nichts
> nennenswertes.

Es kommt darauf an, wo du die Schwachstellen siehst. Fuer mich ist die WLAN
Verbindung *die* Schwachstelle. Der Tunnel bis zum letzten Funkfeuer Router
sichert dir diese Verbindung ab.

Bei SSL/TLS liegt die Schwachstelle beim Schluesseltausch. Wenn bei 20% von
allen Seiten eine Warnmeldung auftaucht, dass das Zertifikat self-signed oder
abgelaufen abgelaufen ist und jeder es nur noch wegklickt, ist ein man-in-the-
middle Angriff moeglich... Wenn man ueberhaupt die Moeglichkeit hat, SSL/TLS
zu verwenden. Es geht an ein einigen wichtigen Stellen, aber kaum ueberall.
	-Michi

Mehr Informationen über die Mailingliste Discuss