Tuesday, June 30, 2015

Freifunk: Abstand vom Internet gewinnen - Projekt Metaschnorchel

(Kontext: Ich grübel über Sandkastenspiele im VDS Kontext nach)

Wenn man sich "das" mit VDS & TKG gibt, dann möchte man als Freifunk Verein (oder Gruppe) möglichst wenig mit TKG zu tun haben wie es scheint. 

Dazu ist es IMHO hilfreich, wenn die Communities nicht Betreiber des Meshnetzes sind oder sich so aufführen.  Betreiber ist derjenige der  rechtliche und tatsächlichen Kontrolle ausübt (mehr in einem speziell Fall hier: http://www.kanzlei.biz/nc/urteile/16-03-2012-bgh-v-zr-98-11.html ).
Damit man nicht als Betreiber der Mesh-Netzes gesehen wird  kann es sinnvoll sein bestimmte Merkmale anzustreben:
  • Freifunk Communities sind nicht Eigentümer der Mesh-Knoten. - Bei Privatpersonen / Unternehmen ist das ja eh kein Problem. Die Knoten gehören den Menschen da draußen. Dies sollte aber insbesondere bei Verwendung von Spendengeldern berücksichtigt werden. D.h. Eigentum übertragen (und nicht nur hinstellen). Es gibt auch andere Gründe warum man Hardware nicht besitzen will. Haftung, Gewährleistung, Erwartungshaltungen, Wartung etc. 
  • Freifunk Communities haben in der Regel keinen Zugang zu Mesh-Knoten. - Meint z.b. SSH Keys. Sollten man doch bitte vermeiden. Ist wie ich es verstehe heute auch schon gegeben.
  • Das Mesh-Netz ist ohne Gateway funktionsfähig - Wenn Infrastruktur der Freifunk Vereine/Gruppen nicht essentiell für die Nutzung zum Datenaustausch ist, dann kann ich mir vorstellen das man gut argumentieren kann das man nicht der Betreiber ist, sondern eben nur einen Dienst anbietet: Gateway ins Internet.
  • Das ist heute bei Gluon Communities nicht so ganz plausibel, es sei denn man baut Layer 2 Dienste  auf. Also eher nicht.  Die Mindestfunktion die das Netz autonom beherrschen sollte ist vermutlich:
    • IP Addressvergabe - vielleicht ist der Distributed DHCP von @tcatm ein erster Schritt in die Richtung? Toll wäre es ein (lokales) Mesh ohne Uplink schaffen könnte IP Adressen zu vergeben. Gibt es andere Ansätze oder wurde das schonmal gelöst?
    • Irgendeine Form von Dienste Discovery. Wie man das technisch macht habe ich keine Idee aber in einem lokalen Mesh könnte ich mir Multicast DNS durchaus vorstellen.  Würde ad-hoc funktionieren und es gibt eben auch Client Dienste.
  • Es gibt lokale Dienste - Dürfte die Plausibilität erhöhen. 
Was wir dann hätten wäre ein Netz welches
- ohne zentrale Infrastruktur der Communites funktioniert
- demonstrierbar  Kommunikation ermöglicht
- dessen Hardware den Knotenbetreibern gehört / in Gemeinbesitz ist und die Knotenbetreiber die alleinige Kontrolle über die Knoten haben.
UND
einige Freifunk Communities bieten auf dieser Basis einen Dienst "Internet Gateway" an.

Könnte VDS resistent sein. Oder Selbsttäuschung?
Und auch unabhängig von VDS klingt das alles sehr wünschenswert. 
Meinungen?

Sunday, June 21, 2015

VDS vs Messenger: Deep Packet Clusterfuck

Im Kontext Freifunk beschäftige ich mich gerade mit möglichen VDS Auswirkungen auf Community Netze. Dabei kam ich auch an Messaging Diensten und Internet Telefonie vorbei:

(TKG Änderung: §113b) "im Fall von Internet-Telefondiensten auch die Internetprotokoll-Adressen des anrufenden und des angerufenen Anschlusses und zugewiesene Benutzerkennungen" sowie "bei der Übermittlung einer Kurz-, Multimedia- oder ähnlichen Nachricht; hierbei treten an die Stelle der Angaben nach Satz 1 Nummer 2 die Zeitpunkte der Versendung und des Empfangs der Nachricht;" 

Wenn man an eine "Kurznachricht ähnliche Nachricht" denkt und kurz überlegt was heutzutage benutzt wird, dann kommt man sofort aus Messengerdienste, also WhatsApp, Skype, BBM, Threema etc. Ist das eine Kurznachricht ähnliche Nachricht? Ja. Wird das vom Entwurf erfasst? Mir persönlich unklar, auch weil ich über Abrenzung TKG/TMG stolpere. ECO meint Messaging Dienste werden nicht erfasst.

2015 SMS Kommunikationsmetadaten zu speichern und Messenger zu ignorieren klingt irgendwie sinnlos.
Hallo Schwerstkriminelle, Pro Tip: WhatsApp nutzen. Das WhatsApp mal "Privacy" versprechen würde hätte mir 2013 auch keiner geglaubt.

Also warten wir mal bis jemand aus dem Busch springt und auch Speicherung von "Messenger" Dienste fordert.  3...2...

Wie würde das den aussehen? Man muss in den Datenstrom reinschauen. Deep Packet Inspection nennt sich das. Ziemlich teure Technik. Aber würde das überhaupt helfen?

Halbwegs moderne Kurznachrichtendienste verschlüsseln ihre Kommunikation. Selbst Facebook/WhatsApp hat das mittlerweile begriffen. Zumindest die Verbindung zwischen Messenger und Server, die übliche Technik dazu heisst TLS (früher mal SSL genannt). "Bessere" machen dann noch Ende-Zu-Ende Verschlüsselung darauf. Nehmen wir mal threeema.ch als Beispiel, die machen das so. 
Das Problem dabei ist das moderne Kryptographie doch recht gut funktioniert. Eine gute TLS Implementation "macht man nicht mal eben so auf". Und Unternehmen haben begriffen das "schwer abhörbar" heute ein Verkaufsargument ist. TLS ist auch noch nicht das Maximum, da geht noch was. Und Kryptographie ist billig.

Da hilft auch Deep Packet Inspection nicht. Was nun? Der Provider kann speichern das vermutlich eine Nachricht versendet wurde. Nicht wohin. Und nicht mit welcher "Nutzerkennung". Das dürfte aber bei einer Strafverfolgung nur sehr unbefriedigende Erkenntnisse liefern.

Die nächste Stufe wäre dann die Verschlüsselung so zu gestalten, das ein Provider doch reinschauen kann. Sprich sie per Gesetz kaputtzumachen.
David Cameron hat sowas schonmal pauschal in die Welt gesetzt.
"But the question is are we going to allow a means of communications which it simply isn’t possible to read. My answer to that question is: no, we must not" (Source)

Was dann kommt hatten wir schon, siehe Crypto Wars.
Für die jüngeren Leser: Dies bedeutet das man den Zugriff auf starke Verschlüsselung reguliert.
D.h. zum Beispiel bestimmte Apps zu verbieten. Bestimmten Programm-Code zu verbieten. Gedruckten Programm-Code verbieten.  Ein Buch zu verbieten.

Und kein Szenario das ich für wahrscheinlich halte.
Für Internet-Telefonie gilt ähnliches.

tl;dr

  • VDS erfasst nur SMS & Friends. 
  • Heutzutage genutzte Messenger werden nicht erfasst. 
  • Es ist nicht möglich diese sinnvoll zu erfassen. Ein Rüstungswettlauf gegen Messenger Krypto kann selbst für "State Level Actors" schwierig sein. 
  • Crypto Wars anyone?

Also können wir bitte von dem VDS Knochen ablassen und die Sicherheitsbedürfnisse mit einem anderen Placebo befriedigen?

VDS vs Münster


Auf eine VDS Implementation freuen sich in Münster folgende Telekommunikationsgiganten, die die VDS bestimmt problemlos bewältigen werden:
  • Messe und Congress Centrum Halle Münsterland GmbH
  • AScode, Klausenburgweg
  • nicos Aktiengesellschaft, Mendelstraße
  • Offenes Usenet-Team e.V., Wesler Strasse
  • Ratiodata IT-Lösungen & Services GmbH, Gustav-Stresemann-Weg
  • RNT Regionale Nachrichten Technik GmbH, Grevener Strasse
  • The Phone House Services GmbH, Münsterstrasse 
  • Völkel Mikroelektronik Gesellschaft mit beschränkter Haftung, Otto-Hahn-Strasse
  • Webdiscount GmbH & Co. KG, Hafenweg
  • Zwei Löwen mediawerk GmbH, Hafenweg
  • 23Media GmbH, Grafschaft
  • Alarmruf - Wachzentrale Sievers GmbH & Co. KG, An den Loddenbüschen
  • endoo GmbH & Co. KG, Am Dornbusch
  • Globe Development GmbH, Königsberger Strasse
  • ICSmedia GmbH, Soester Straße
"Gewerbliche Betreiber öffentlicher Telekommunikationsnetze und Erbringer öffentlich zugänglicher Telekommunikationsdienste nach § 6 TKG". Quelle: BNetzA