[Freifunk-Bonn] OT: bzgl. WPA - Re: Fragen im Zusammenhang mit der Installatzion eines Routers
Simon Müller
simon.f.mueller at gmail.com
Di Mai 26 16:15:23 CEST 2015
danke für die Richtigstellung und Ergänzung, ich war zugegebenermaßen etwas
oberflächlich.
LG, Simon
Am 26. Mai 2015 um 15:27 schrieb hede <ffunk5279 at der-he.de>:
> Am Sat, 23 May 2015 16:53:37 +0200 schrieb Simon Müller <
> simon.f.mueller at gmail.com>:
>
> > In dem Moment in dem der
> > Schlüssel bekannt ist kann der gesamte Traffic der über ein WLAN läuft
> > mitgelesen werden(shared media).
>
> Das ist so direkt nicht korrekt. Für WEP galt das noch, aber WEP ist aus
> anderen Gründen eh nicht mehr empfehlenswert.
>
> Bei WPA dagegen wird der PSK (der Schlüssel, den man eingibt) nicht direkt
> verwendet, sondern daraus Sitzungsschlüssel abgeleitet, die für jeden
> Clienten eindeutig sind (PTK). Ein Client kann daher den Traffic eines
> anderen Clienten nicht direkt lesen.
>
> Nicht direkt, denn wenn man in der auth-Phase die nounces mitließt, dann
> geht das indirekt schon. Im Gegensatz zu WPA-Enterprise via EAP ist wpa-psk
> in dem Punkt also tatsächlich im Nachteil.
>
> > Daher ist es sowohl in unverschlüsselten
> > WLANS wie auch in Verschlüsselten, bei denen der Schlüssel mehreren
> > Personen bekannt ist ratsam, nur Ende zu Ende verschlüsselte
> Kommunikation
> > zu betreiben z.B. indem man "HTTPS"-Seiten aufruft.
>
> Korrekt und das ist generell ratsam. Wobei https bzw. die darin
> automatisiert freigeschaltete Chain of Trust natürlich auch seine Schwächen
> haben.
>
> Wirklich ratsam wäre es, den mitgebrachten Zertifikatsspeicher der Browser
> und Betriebssysteme zu ignorieren und für wirklich wichtige Verbindungen
> die Hashes einzeln über vertrauenswürdige Kanäle zu verifizieren.
>
> Gerade wenn es aber auf die Sicherheit von https wirklich ankommt (z.B.
> bei Banken) wird das aber am ehesten torpediert, indem diese ständig ihre
> Schlüssel wechseln und diese Schlüsselwechsel im Vorfeld auch nicht
> ankündigen! Eigentlich das schlimmste, was man in dem Zusammenhang machen
> kann...
>
> ... jetzt wirds aber doch langsam zu off-topic, insbesondere da:
>
> > Freifunk ist absichtlich nicht verschlüsselt um jedem den Zugang zu
> > ermöglichen.
>
> korrekt
>
> Grüße
> hede
> --
> _______________________________________________
> Freifunk-Bonn mailing list
> Freifunk-Bonn at lists.bonn.freifunk.net
> http://lists.kbu.freifunk.net/cgi-bin/mailman/listinfo/freifunk-bonn
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.kbu.freifunk.net/pipermail/freifunk-bonn/attachments/20150526/e971432b/attachment.htm>
Mehr Informationen über die Mailingliste Freifunk-Bonn