[Berlin-wireless] freifunk PKI

[Daniel Golle]

Hallo Sven-Ola!

On May 3, 2010, at 3:07 PM, Sven-Ola Tuecke wrote:
> was man in jedem Fall machen koennte: die Gateway-Betreiber weisen sich aus, z.B. mit einem CA-CERT. Und bieten damit einen verschluesselten Datenpfad bis zum Gateway/Tunnelendpunkt. Dann kann man sich immerhin sicher sein, dass nur der Gateway-Betreiber schnueffeln kann.
Ja, das ist ein gutes Beispiel! Genau an sowas dachte ich. Ausserdem sind ja auch andere freifunk-Anwendungen ausser der gemeinsamen Nutzung von Internet-Anschluessen, wie z.B. freifunk-internes SIP-VoIP denkbar... Auch hier kann natuerlich auf Applikation-Level-Security z.B. durch SRTP gesetzt werden, aber es wird schnell deutlich, dass eine per-Application-Loesung schnell noch unuebersichtlicher wird, als selbst komplexe IPSec setups... Bisher gibt es fuer OpenWrt nur openswan, und damit werden wir vermutlich nicht weit kommen... Fuer mich ist die Frage vor allem die, ob ich etwas Zeit in die Umsetzung von SIP-TLS/SRTP mit freeswitch auf OpenWrt stecken muss, und damit nur einer Applikation "geholfen" ist... Oder ob mich daran versuche, racoon2 auf OpenWrt zum Laufen zu bekommen und den Weg in Richtung IPSec ebne... Fuer beide Techniken muessen irgendwie Zertifikate ausgestellt werden, durch CAcert oder who-ever-u-dont-trust. Ich halte den IPSec-Ansatz aus den oben genannten Gruenden fuer besser, vorallem wenn sich ein freifunk-way-of-IPSec in irgendeiner Form etablieren (und in ferner Zukunft Teil der Firmware werden) kann.

-Daniel