Gluon 2014.4 Embedding SSH keys

Woher sollten wir die Resourcen (Zeit, Geld) für ein Code-Audit nehmen, womöglich gar für ein externes.
Zumal bei unseren Entwicklungszyklen sowieso nur herauskäme, dass die Firmware „vom letzten Jahr“ als conforming testiert worden ist.

Was der Frage des Beamtentums eine völlig bneue Bedeutung gibt. (kann jetzt jeder wie er will ernst nehmen oder als Ironie sehen)

Jeder Schrauber in einem Computer-Laden hat Zugriff auf sensible Daten, jeder Admin in jeder noch so obskuren Provider-Bude, das ist mir alles bewusst und ich weiß auch, dass auch dort die Datenschutzdiskussionen ins Leere laufen.

Freifunk kommt aber explizit mit einem anderen Anspruch daher. Um dem gerecht zu werden, sollte es mittelfristig eine Lösung geben. Einen „TÜV“ - eine „Abnahmestelle“ - mag sein dass das alles ähnlich verlangsamt wird wie bei Debian, mag sein dass das alles nicht mehr praktikabel und handhabbar wird, aber so lange nirgendwo darüber wirklich ernsthaft diskutiert wird und nach Lösungen gesucht wird, sehe ich persönlich Freifunk immer im Nischenbereich bleiben.

Vertrauen ist gut, Kontrolle besser - allein - wie oben beschrieben - es gibt zur Zeit keine Kontrollmöglichkeit.
Wenn die Mentatilät hier beim Schwerpunkt „lass uns schöne Scripte basteln, lass uns jeden Tag 1000 Router unters Volk bringen“ bleibt, sehe ich Freifunk auf dem Abstellgleis.

Eine bestehende Kontrollmöglichkeit ist das manifest. Darin sind Signaturen enthalten, die überprüft werden können. Wer den signierenden Personen nicht traut, darf die Software nicht installieren!

Das mit dem Manifest mag so sein, allein - wer sich hier die Mühe macht und nach dem Stichwort „Manifest“ sucht, wird nichts erbauliches finden, außer einem geschlossenem Thema

Auf der Seite, die die Ruhrgebietsfirmware anbietet - nichts zu finden. Auch wenn, wie soll ich jemandem vertrauen, den ich nicht kenne? Also geht das wieder mir der Delegation von Verantwortung los und schnelle sind wir wieder beim „Berufsbeamtentum“ (was abermals jeder auslegen kann wie er mag)

Ich hoffe dass bei der Diskussion auch ein wenig auf die Menschen und deren besondere Belastung acht gegeben wird, die solche Router an den Mann und die Frau auf der Straße bringen - und für etwas gerade stehen müssen, das nicht überprüfbar ist - also nichts als Händler in Sachen Glauben sind, aber auftreten als würden sie reine Wissenschaft betreiben.

Guckst Du da, MD5 und Manifest:

http://images.freifunk-ruhrgebiet.de/stable/sysupgrade/

Das Manifest zur Installation signieren kann nur wer in der site.conf steht.

Aktuell sind es im Ruhrgebiet:

pubkeys = {
	'6f6104f1e069dd4390fd7b88eb12b27241ba0eb1f87d36c4b9f7724d81d67f72', -- Chris
	'4bcf080d3937310ea3f5ee3678bff5c839679b69c8b2529ba1371b710dd046b6', -- Philip
},

good_signatures = 1

Wenn es hinreichend Leute gäbe, die sich da ggf. in die Haftung nehmen lassen wollten, dann könnte man das natürlich hochdrehen… also 5 pubkeys und mindestens 3 Signaturen…
Aber es zwackt ja so schon an der Zeit bei allen, die irgendwelche Hüte „aufhaben“

Da dran orientieren sich ja bisher auch mehr oder weniger alle Diskussionen. Die Signaturen, ob 2 oder 5 etc. helfen letztlich auch nicht weiter - siehe den Fall Truecrypt.
Mir fällt nix sinnvolles zum Thema ein.

Hier: Autoupdater — Gluon 2014.3 documentation

Wenn die Images gebaut werden, wird für den Autoupdate-Prozess eine Datei mit dem Namen manifest.stable (für die stable Variante) erstellt. Darin jeweils Zeilen mit folgendem Inhalt:

• Typ des Geräts
• Software-Version
• Signatur des Images
• Dateiname des Images

Die Datei manifest.stable selbst, ist wiederum signiert.

In den Knoten ist hinterlegt, woher sie neue Software bekommen, und wie viele Signaturen nötig sind um eine neue Software zu akzeptieren. Beispiel:

stable = {
mirrors = {‚http://images.freifunk-muensterland.net/stable/sysupgrade‘,},
good_signatures = 1,
pubkeys = {
‚418e932e0206d94a975569dd586b907d36306e91eb2f87603f774f872c1e2d95‘, – Paulo
},
},

Ein Router schaut regelmäßig an der angegebenen Stelle nach und sucht nach neuer Software. Nur wenn eine neuere Software vorliegt und alle Signatur-Kriterien erfüllt sind, installiert er sich selbst eine neue Software. So ziemlich jeder Software-Update auf allen Geräten dieser Welt (incl. Microsoft/Apple/Android) funktioniert so, oder ähnlich.

Knackpunkt ist also vor allem die Lagerung der privaten Signatur-Schlüssel.

Allerdings, die Lagerung der Keys ist essentiell, der Rest ist gut genug gelöst um relativ sicher zu sein…bleibt sowohl bei der Lagerung der Keys, als auch beim Vorsatz, die menschliche Komponente übrig…

Okay - ich weiß schon dass ich mir hiermit weitere Freunde mache

Was wäre denn, wenn man den Datenschutzbeauftragten eines Landes seiner Wahl für das Projekt Freifunk - hier: Signatur-Schlüssel / Code Audit / Manifest gewinnen könnte?

Der aus NRW hat nicht mal genügend Ressourcen um alle Hinweise auf unrechtmäßige Videoüberwachung[1] nachzugehen, von Code Audits sind diese Stellen (leider) weit entfernt.

Unabhängig davon, entführe ich hier gerade den Thread

[1] § 6b Bundesdatenschutzgesetz (BDSG)
Weitere Informationen: Jahresbericht 2013 LDI NRW: Bericht 2021

Das kocht hier aber ganz schön hoch. Erinnre ich da mal an ein WPA + Telekomrouter 921 Desaster, wo jeder asiatische Entwickler und interessierte Hacker per Standartpasswort über fast ein Jahr (oder länger) ins WLAN des Speedports kam. Ist da was passiert, jemand zu Schaden gekommen?

Ich kenne Leute, die fahren seit 25 Jahren Auto ohne sich anzuschnallen. Sollte man evtl. die Anschnallpflicht liberalisieren?
Entschuldigung, aber das ist kein Argument.
Ich möchte entscheiden können, ob / wann / wer Zugriff auf mein privates LAN hat oder bekommt.
Das Modul ist durchaus eine gute Sache. Es darf aber auf keinen Fall per default ein Schlüssel mitverteilt werden; nur auf Anforderung nach erfolgter Aufklärung (nicht nur irgendwo auf der HP, sondern deutlich und unmißverständlich)

Das sehe ich genau so, aber wenn es wieder gefixt wird … interessiert es am nächsten Tag auch keinen mehr.

Es ist doch gut, dass das es hier so aktiv verfolgt wird. Das wünsche ich für meine Com auch noch. Da sind leider noch Sicherheitslücken… omg.

Genau.
Mir geht es ja auch nicht darum das Modul zu bashen; das Modul ist superpraktisch und sinnvoll. Diskutieren über die Risiken, das ist mir wichtig. Nicht daß irgendwer auf die irrwitzige Idee kommt einfach nen Key auf alle Router zu verteilen (das wäre nen trojanisches Pferd allererster Kajüte) und Freifunk dadurch insgesamt ein negatives Image bekommt.

OptIn im Config-Mode „welche der mitgelieferten Keys zulassen“ wäre toll. (die brauchen dann natürlich auch aussagekräftige Beschreibungen)

Ich verstehe die Diskussion irgendwie nicht. Jede Community legt doch seine site.mk und seine site.conf offen. Damit hat jeder sicheheitsbewusste Anwender die Möglichkeit sich seine, auf seinen Knoten einzusetzende Firmware aus dem Quellen selbst zu bauen. Vorher kann er den Quellcode für sich selbst Auditen. Wer das nicht kann, wird wohl oder übel den Images der Communitys vertrauen müssen. Wenn er das nicht möchte kann er kein Freifunk Knoten hinstellen.

Und jeder Knoten Besitzer kann ohne Probleme zumindestens den Traffic mitschneiden der über seinen Knoten geht. Einfach opkg update und ein opkg install tcpdump hinterher und schon kann man wunderbar auf br-client mitlesen.

Genau deswegen ist es so wichtig das jeder der Freifunk nutzt dieses mit verschlüsselten Protokollen tut. Wer über Freifunk sich in ein Forum einloggt was kein https spricht, ist selber schuld. Oder wenn Nutzer noch unverschlüsseltes POP3 und SMTP benutzen über Freifunk.

Summa sumarum, wir haben alle Software als Open Source vorliegen. Jeder kann, wenn er es kann, den Code für sich Auditen und dann selbst kompilieren. Ansonsten muss er halt den Menschen der Communitys vertrauen welche Images herstellen.

Ich finde hinterlegte Keys schwierig. Die Pro Argumente sehe ich.

Wenn überhaupt, dann als Opt-In im Webinterface. Basis, nicht Expert.

Dazu sind die Wenigsten in der Lage.

Also quasi beim Abholen des Routers ne Kopie des Haustürschlüssels anfertigen lassen (falls er vergisst zu sagen, daß er das nicht möchte); weil man ja vertrauen muß …
Mit Verlaub, diese Aussage ist mehr als unverschämt und dreist.
Natürlich könnte ein böser Bub ne Hintertür einbauen, es könnte einem auch der Himmel auf den Kopf fallen …
Es geht darum, daß wenn ein Key mitverteilt wird, dieser nicht per default aktiv sein darf. Der Knotenbetreiber muß, wenn er den Key aktiviert, darüber aufgeklärt worden sein was die Aktivierung bewirkt / bedeutet; und das nicht unter Punkt 139 der AGB gedruckt in Microschrift sondern groß und deutlich / unübersehbar / unmissverständlich.

Genau das. Am besten übergroß, fett und in rot.