Öffentlicher Schlüssel

Kann mir jemand erklären, was es mit dem „öffentlichen Schlüssel“ auf sich hat, der nach Neuinstallation ausgegeben wird?
Wo kommt denn da ein „privater Schlüssel“ dazu?
Mag sein, das ich das in der falschen Kategorie poste. Ich bin da ziemlich unbedarft.

dein Router generiert bei der Neuinstallation ein Schlüsselpaar aus privatem und öffentlichen Schlüssel - dieser Schlüssel identifiziert deinen Knoten.
Der öffentliche Schlüssel ist zum Eintragen (und damit Bekanntmachen) deines Routers bei den »Supernodes«, damit dein Knoten sich dort mit seinem privaten Schlüssel anmelden (also den VPN-Tunnel aufbauen) darf.
In den meisten aktuellen Firmwares ist das Bekanntmachen bei den Supernodes nicht mehr nötig, weil sich einfach pauschal jeder Router dort (erstmal) anmelden darf - dass du das bei der Installation überhaupt noch präsentiert bekommst, ist noch eine Altlast in der Firmware… :wink:

Shiva hat sich ein bisschen ungeschickt ausgedrückt…
Der private Schlüssel wird nie an die Supernodes übertragen. Er ist sozusagen geheim und nur dein Router kennt ihn. Den öffentlichen Schlüssel deines Knotens darf jeder wissen.

Eine Supernode hat auch einen privaten und einen öffentlichen Schlüssel.
Wenn der Router sich mit der Supernode verbinden will, nutzt er den öffentlichen Schlüssel von der Supernode (ist in der Firmware eingebaut) und verschlüsselt die Daten mit diesem Schlüssel. Zusätzlich schickt der Router seinen öffentlichen Schlüssel und signiert die gesamten Daten mit seinem privatem Schlüssel. Diese verschlüsselten Daten kann man nur mit dem privatem Schlüssel von der Supernode entschlüsseln und an der Signatur kann die Supernode prüfen, ob die Daten wirklich von dem Router stammen. Also ist die Verbindung zur Supernode schon mal verschlüsselt.

Die Supernode kennt jetzt den öffentlichen Schlüssel des Knotens und schickt die Antwort auf die Daten mit dem öffentlichen Schlüssel des Routers verschlüsselt an den Router. Diese Antwort wird zusätzlich mit dem pivatem Schlüssel der Supernode signiert. Dadurch weiß der Router, dass die Antwort wirklich von der Supernode kommt und außerdem kann niemand die Antwort ohne den privaten Schlüssel des Routers entschlüsseln.
Also ist auch die Verbindung von der Supernode zum Router verschlüsselt.

3 Likes

Ich habe mir gerade gedacht, dass ich hier noch ein Detail anmerken sollte, falls man das hier in der SuFu findet.
Über diese in dem vorherigem Beitrag aufgebaute verschlüsselte Verbindung einigen sich Supernode und Router über ein von beiden kombiniert erstelltes, möglichst zufällig generiertes „Passwort“. Mit diesem „Passwort“ wird ein Verschlüsselungsverfahren wie salsa2012 initialisiert mit dem dann die weitere Kommunikation verschlüsselt wird, weil das einfach einen viel höheren Datendurchsatz ermöglicht.

Für vermutlich 95 Prozent aller Gluon-Communities ist die Ausgabe des public Fastd-Keys eine Altlast, die man per Site.conf abschalten können sollte.

1 Like