[Freifunk-Bonn] OT: bzgl. WPA - Re: Fragen im Zusammenhang mit der Installatzion eines Routers

[hede]

Am Sat, 23 May 2015 16:53:37 +0200 schrieb Simon Müller <simon.f.mueller at gmail.com>:

>  In dem Moment in dem der
> Schlüssel bekannt ist kann der gesamte Traffic der über ein WLAN läuft
> mitgelesen werden(shared media).

Das ist so direkt nicht korrekt. Für WEP galt das noch, aber WEP ist aus anderen Gründen eh nicht mehr empfehlenswert. 

Bei WPA dagegen wird der PSK (der Schlüssel, den man eingibt) nicht direkt verwendet, sondern daraus Sitzungsschlüssel abgeleitet, die für jeden Clienten eindeutig sind (PTK). Ein Client kann daher den Traffic eines anderen Clienten nicht direkt lesen. 

Nicht direkt, denn wenn man in der auth-Phase die nounces mitließt, dann geht das indirekt schon. Im Gegensatz zu WPA-Enterprise via EAP ist wpa-psk in dem Punkt also tatsächlich im Nachteil.

> Daher ist es sowohl in unverschlüsselten
> WLANS wie auch in Verschlüsselten, bei denen der Schlüssel mehreren
> Personen bekannt ist ratsam, nur Ende zu Ende verschlüsselte Kommunikation
> zu betreiben z.B. indem man  "HTTPS"-Seiten aufruft.

Korrekt und das ist generell ratsam. Wobei https bzw. die darin automatisiert freigeschaltete Chain of Trust natürlich auch seine Schwächen haben. 

Wirklich ratsam wäre es, den mitgebrachten Zertifikatsspeicher der Browser und Betriebssysteme zu ignorieren und für wirklich wichtige Verbindungen die Hashes einzeln über vertrauenswürdige Kanäle zu verifizieren. 

Gerade wenn es aber auf die Sicherheit von https wirklich ankommt (z.B. bei Banken) wird das aber am ehesten torpediert, indem diese ständig ihre Schlüssel wechseln und diese Schlüsselwechsel im Vorfeld auch nicht ankündigen! Eigentlich das schlimmste, was man in dem Zusammenhang machen kann... 

... jetzt wirds aber doch langsam zu off-topic, insbesondere da:

> Freifunk ist absichtlich nicht verschlüsselt um jedem den Zugang zu
> ermöglichen.

korrekt

Grüße
hede