Hi,
Ich habe mich in letzter Zeit tiefer mit der von WLAN genutzten Kryptographie beschäftigt und hatte die Idee, das man die mesh links mit SAE und einem statischen key verschlüsseln könnte.
Mir ist bewusst, dass so zwar keine Authentizität hergestellt werden kann, jedoch kann man nicht mehr ohne weiteres denn gesamten traffic mittels monitor mode schnorcheln.
Mich würde eure Meinung hierzu interessieren.
Grüße
Simon
Gibt ein Gluon package/feature dafür:
https://gluon.readthedocs.io/en/latest/package/gluon-mesh-wireless-sae.html
Mir ist jedoch nicht bekannt das es eine Community verwendet.
Hii simon
As per my knowledge, Deine Idee klingt interessant. Die Nutzung von SAE mit einem statischen Key könnte tatsächlich den Traffic vor einfachem Mitschnorcheln schützen. Allerdings bleibt das Problem der fehlenden Authentizität bestehen, was ein Risiko darstellen kann. Es wäre wichtig, das gesamte Sicherheitskonzept zu betrachten, um mögliche Schwachstellen zu identifizieren. Vielleicht gibt es auch alternative Methoden, die sowohl Verschlüsselung als auch Authentizität gewährleisten können.
I hope this will help you.
Respected community member
Hi carriee,
Ja Authentizität kriegen wir so nicht hin, die Frage ist ob das bei Freifunk überhaupt möglich ist, da ohne authentifizierte firmwares man auch einfach Teil des meshes werden und so mitlesen kann.
Ich glaube SAE ist vorerst das beste was wir kriegen können.
Genau, das Package das TomH angesprochen hatte wäre eine Idee. Bin selber nicht so der Fan von halbergarer Security, also hätte die Befürchtung, dass ein Laie dann nur ließt, hey Freifunk ist ja verschlüsselt, also sicher! Und evtl. aus einem falschen Sicherheitsgefühl anders/unvorsichtiger handelt. Und als Resultat es das Gegenteil bewirken könnte. Technisch gesehen macht das hinzufügen von SAE aber natürlich eigentlich nichts kaputt.
Ein Problem ist aber evtl. noch, dass man dann die entsprechenden SSL/TLS libraries dann mit reinzieht und die Firmware größer wird. 4/32er Geräte werden das nicht mehr unterstützen können. Und diese Geräte würden dann mit Geräten mit der SAE Firmware inkompatibel sein bzgl. meshing.
Frage mich jetzt aber, ob man evtl. dem gluon-mesh-wireless-sae package (und/oder wpa_supplicant) evtl. ein optionales SAE noch beibringen könnte? So als Migrationsmöglichkeit?