Sichere Firmware-Downloadmöglichkeit

Hallo,

ich würde gerne Freifunk-Router aufsetzen, allerdings scheint es keine sichere Möglichekeit zu geben, sicher Factory-Images herunterzuladen. Unter Freifunk Regio Aachen - Firmware sehe ich beispielsweise keine GPG-signierte Manifest-Datei und ein Zugriff auf den Server per HTTPS führt zu einer Zertifikatswarnung, da das Zertifikat für eine andere Domain ist. In Wuppertal haben andere das Thema schon diskutiert:
Kein https:// für firmware-download? - #4 von Pinky

Gerade für Nutzer von Freifunk, einem unvertrauenswürdigen WLAN, sollte sicherer Ende-zu-Ende-Verschlüsselung ja am Herzen liegen, weswegen ich hoffe, dass es hier keine Blockadehaltung dazu gibt.

P.S.: das Forum erlaubt mir nicht zwei Links hinzuzufügen mit der Begründung, dass neue Benutzer nur zwei Links zu Beiträgen hinzufügen dürfen, daher ist die erste URL nicht vollständig.

Korrigiert ein Mod sicher gleich

1 Like

In der Tat, für die Initiale Installation fehlt ein sicheres Download Angebot.

Bei den Autoupdates per sysupgrade image wird mittels der manifest Datei die Integrität sichergestellt.
http://images.freifunk-aachen.de/stable/sysupgrade/

Bei der erst Installation hilft das natürlich nicht.

Welcher Weg steht uns denn ohne bezahlte Zertifikate für das an sich broken https zur Verfügung?

Gibt es gpg für eine Organisation? Das wären dann auch mehrere einzelne personalisierte Unterschriften wie bei der Manifest Datei oder?

Kostenlose Zertifikate für HTTPS gibt es aktuell hier:

Demnächst auch hier:

Ansonsten kostet ein Zertifikat auch nur 6 USD/Jahr, falls StartTLS aus irgendeinem Grund nicht geht, um die Zeit bis Lets Encrypt zu überbrücken. Das spende ich auch gerne, wenn es sonst scheitert.

GPG wäre auch wünschenswert, speziell für Organisationen gibt es da nichts soweit ich weiß, aber einzelne Signaturen von den Firmwareentwicklern wären ja auch hilfreich.

Neben der Firmware wären natürlich auch gesicherte Downloads für die ECDSA-Keys nett, die für die Manifest-Datei genutzt werden. Bisher scheint es die ja nur in den Firmware-Images zu geben.

Sinnvollere Lösung ist den Firmware Download unter .freifunk.net anzubieten.

Das SSL Zertifikat vom Förderverein Freie Netzwerke e.V. anfordern. Die sind sind bei StartSSL als Organisation registriert

Anleitung siehe im Wiki
HTTPS für subdomain.freifunk.net

Super, wer kann das denn umsetzen? Gibt es einen Issue-Tracker für solche Themen?

Man könnte es im Gluon als Issue fielen, also nicht auf Aachen spezifisch — aber es betrifft ja auch die anderen Domänen.

Ich weiß, dass das Thema auf offene Ohren gestoßen ist und dein Vorschlag möglichst bald umgesetzt werden soll. Vielleicht sogar schon am Mittwoch beim Hackathon. (Möchtest du auch kommen?)

der Request für Aachen befindet sich seit einer Woche im Issue-Tracker - bisher keine Antwort… (und warum wundert mich das nicht…?)

Um dem Henne-Ei-Problem auszuweichen, kannst Du die ECDSA-Keys auch im Github-Repository finden: site/site.conf at v2019.1.x · ffac/site · GitHub

Das ist dann immerhin mal eine https-Verbindung. Aber natürlich immer noch keine schöne Lösung.

Ja, 17:30 Uhr wird aber eventuell etwas knapp.

Gibt es eine öffentliche URL zu dem Issue?

Danke, aber das scheint nicht der richtige Link zu sein.
In http://0.updates.freifunk-aachen.de/stable/sysupgrade/stable.manifest
scheint nur eine Signatur zu sein, die sich vom Key 52a4c8a66d757dda4f2183314374fdb310e6837a8b85d0c55f18b5edccaaf454 überprüfen lässt, der aber nicht in der site.conf ist. Außerdem verstehe ich eigentlich den autoupdater so, dass der drei Signaturen für stable erwartet und nicht nur eine. Ebenso scheinen für den beta-Branch und den experimental-Branch die Manifest-Dateien komplett zu fehlen.

Jo, hast Recht. Historische Gründe :smile:
Bis hier reichte eine Signatur für die Updates:

Da siehst Du auch noch den von Dir erkannten Key 52a4…
Der ist dann in einem späteren Commit noch rausgeflogen. (In der aktuell installierten Firmware ist der aber noch drin.)

D.h. die aktuelle Firmware wurde mit einer Signatur eingespielt. Um die wiederum zu updaten werden dann aber 3 Signaturen gebraucht.

EDIT: es tut sich was … :wink: (URL hab ich nicht gefunden - ich kommuniziere über email mit dem Ticketsystem)

Aachener Firmware-Images jetzt unter:
https://images.aachen.freifunk.net/
erreichbar!

5 Likes

Super, vielen Dank! Ich habe mal versucht alle Links im Wiki anzupassen.

dir auch vielen Dank für deine Mühe - transparente Weiterleitungen existieren aber … :wink:

Das ist auch gut. Kennst Du eigentlich HSTS? Damit kann man Browsern direkt sagen, dass bestimmte Seiten nur per HTTPS angesprochen werden sollen, das würde idealierweise genutzt:

https://hstspreload.appspot.com/

Dafür sollte dann am besten alles unter *.freifunk.net per HTTPS erreichbar sein (zumindest für die Preload-Liste).

Das wird nicht ganz so einfach möglich sein. Die *.freifunk.net Zonen werden an verschiedene Communities weiterdelegiert, sodass dutzende Webserver von ebenso vielen Adminteams administriert werden.
Wäre ein größerer Community-Effort das zu harmonisieren. Müsste mal jemand organisieren.

Also ich (der Server) sende den HSTS-Header - was dann eher für den Browser heisst: »schön, dass du auf mir gerade verschlüsselt surfst - das hätte ich gerne immer so, merk’ dir das!«. Und der Port 80 sagt zu allem »HTTP/301 Moved Permantly → Location: https://mein-servername/und/wo/du/grade/bist«

das halte ich für ausreichend :wink:

1 Like