Hadmut Danisch

Ansichten eines Informatikers

Datenschutz bei IPv6

Hadmut
23.11.2011 15:19

Gerade diskutieren wir darüber, da kommt ein Artikel über die Deutsche Telekom bei Heise.de.

Nachtrag:An dem Artikel erscheint mir einiges nicht plausibel, so als ob jemand was nicht richtig verstanden hat. Ob das die Datenschützer, der Artikelautor oder ich wäre, will ich mal offen lassen. So ist mir nicht klar, inwieweit ein Wechsel des Präfixes zwischen /56 und /64 helfen soll, den Nutzer zu verschleiern, solange sich die ersten 56 Bit nicht ändern.

Und mir ist auch nicht klar, wie die Telekom die geforderten 32 Bit des Präfixes zur Verschleierung freigeben soll. Ein IPv6-Segment hat immer ein /64 Präfix. Gibt man davon 32 Bit zur Verschleierung frei, müßte man dem Kunden also ein /32 zuweisen. Ich weiß jetzt nicht aus dem Stand, wie groß der Adressbereich der Telekom ist, aber ich glaube mich dumpf entsinnen zu können, daß selbst große Provider unter IPv6 nur ein /22 bekommen sollen. Was nach gesunden Maßstäben für 2^26 = 67.108.864 Netzwerke der Größe /48 und damit eigentlich locker und luftig für ganz Deutschland reicht. Damit könnte man aber nur 2^8 = 256 Netzwerke der Größe /32 erzeugen, also nicht mal ein Stadtviertel abdecken.

Oder anders gesagt: Dieser Datenschutzer da erwartet (falls ich ihn richtig verstanden habe), daß für jeden Privatanschluß insgesamt 2^(64+32) = 2^96 = 79.228.162.514.264.337.593.543.950.336 IP-Adressen zur Verfügung gestellt werden, um den Datenschutz zu erreichen (was ihnen wegen des immer noch konstanten Präfixes nicht mal was nutzen würde). Haben die vielleicht die Sache mit den Potenzen und dem Logarithmus nicht richtig verstanden?


19 Kommentare (RSS-Feed)

Alex
23.11.2011 16:43
Kommentarlink

Hadmut, könntest Du Dir die Zeit nehmen, einen ipv6 Überblick ähnlich zu Deinem DNS Überblick zusammenzuschreiben?
Eventuell auch grob Verteilt, damit Du nicht alle Arbeit machen musst.

Wäre vieleicht hilfreich, weil ipv6 für viele (mich eingeschlossen) noch eher unklar ist.
(Und eigentlich sind die technischen Details auch nicht alle interessant)


Hadmut
23.11.2011 16:51
Kommentarlink

Ach, zu IPv6 gibt’s doch schon unzählige Bücher, Einführungen, Wikipediaseiten und, und, und…

Muß ich da wirklich das n+1te schreiben?

IPv4 läuft ja auch in allen Haushalten, obwohl mindestens 95% der Haushalte das nicht richtig verstanden haben.


IPv6 ist affengeil. Da baut man von einem Rechner zwei Verbindungen zu zwei anderen Endpunkten auf. Den einen nenne ich L und den anderen O. Schon habe ich man einen neuen Kanal und kann LOL übertragen. Da können sich die Spitzel den Arsch absuchen.

Carsten

“Die politische Sprache … ist dazu da, Lügen als Wahrheiten und Mord als respektabel erscheinen zu lassen.”
George Orwell


LeoN
23.11.2011 19:52
Kommentarlink

yasar
23.11.2011 21:06
Kommentarlink

Soweit ich das beurteilen kann, macht die telekom Ihr scpielchen mit /56 nur damit die Leute jetzt nicht anfangen Ihre Homepage bei sich selbst zu hosten, insbeosdere die vielen kleinen Mini-Betriebe. Außerdem wollen die vermutlich den Leuten, die nicht mit dyndns & co. umgehen können Feste präfixe verkaufen.

vermutlich haben die einfach ein Problem dynamisch ein /64-Präfix im 24-Stunden-takt zu vergeben. Das würde im Prinzip reichen, um ähnliche Anonymytät wie vorher zu erreichen, sofern der Kunde (bzw. der Routerhersteller des Kunden) sein LAN ordentlich konfiguriert.

Und wenn die den Präfix statisch vergeben würden, würden einige Einnahmen wegfallen.

Daher nehmen sie whrscheinlich die “Zwischenlösung” einem Kunden halt /56 zuzusweisen und so zu tun, als ob das eine besondere Dienstleistung wäre, das er dann da sich seine 8 weiteren Bit zusmmenwürfeln kann.

So gesehen wäre der Vorschlag von Lutz Donnerhacke vermutlich sinnvoller als die Telekom-Lösung. Ob mir Lutz’s Lösung wirklich gefallen würde weiß ich noch nicht. Außer einigen kleinen lokalen Spielereien habe ich noch kein praktische Erfahrung mit V6. Da muß ich noch drüber nachdenken.


Christian
24.11.2011 10:14
Kommentarlink

Die Telekom hat ganz bestimmt kein Problem damit, alle 24 Stunden ein /64-Präfix zu verteilen. Sie verteilt ja nach ihren Plänen nun alle 24 Stunden ein /56er – bzw. auf Knopfdruck sogar früher, wenn der Kunde das will.

Und ja: Feste Präfixe will man wie gehabt bei den festen IPv4 den DSL-Business-Kunden verkaufen. Ist ja auch legitim, ein Produkt in verschiedenen Ausprägungen zu verschiedenen Preisen anzubieten. Die Privatkunden wollen ja oft gerade keine feste Adresse (Präfix), weil sie anonym bleiben wollen.

Für mich klingt das eher so, als wolle man den Heinis, die aus Unverständnis jetzt mit Datenschutzt kommen eine kleine Hokuspokus-Lösung vorstellen um zu zeigen: Wir tun was. Wir sind uns ja einig, dass wegen des Pool-Präfix, das man jederzeit per Trennung/Verbindung neu würfeln kann, eigentlich keine providerseitige Datenschutz-Maßnahme nötig wäre. Trotzdem schreien die Leute nach Datenschutz. Also gibt man ihnen was: Guckt mal, wir geben euch 8 Bit vom Präfix zum zu Hause würfeln, die andern 56 Bit würfeln wir weiterhin. Wer’s kapiert, hat vermutlich vorher schon gar nicht geschrien, wer’s nicht kapiert ist beruhigt, weil Maßnahmen ergriffen wurden.


Hadmut
24.11.2011 10:45
Kommentarlink

Ja, genau so kommt’s mir auch vor.


yasar
24.11.2011 12:49
Kommentarlink

@Christian

ich hatte es so verstanden, daß die einmalig ein /56 dem Kunden statisch zuweisen und dann die 8 Bit den Kunden auswürfeln lassen.

jetzt habe ich nochmal nachgeschaut, Du hast recht. Der /56 wird “regelmäßig getauscht”, wobei ich keine Angabe herauslese, welcher zeitraum mit “regelmäßig” gemeint ist. Nur daß man halt das mit “Knopfdruck” auch früher haben kann.


Rainer
24.11.2011 13:09
Kommentarlink

Die Telekom hat ein /19-Netz (2003::/19), was man bei RIPE nachlesen kann (Inverse Lookup nach org, Suchterm ORG-DTA2-RIPE). Ist glaube ich mit der größte Adressbereich, der bewilligt wurde (neben jap. und franz. Telekom).
Das reicht demnach für 2^(56-19) Kunden, ca. 137,5 Mrd. Es wäre also Spielraum da, aber wozu? Der Bereich ist sicher auch so groß gewählt, damit die Telekom intern ne leichte Adressverwaltung hat, z.B. Trennung von Privat- und Geschäftskunden, Trennung nach geographischen oder organisatorischen Punkten.

Was mich ja mehr wundert bei IPV6 ist, dass auch Provider wie SixXS mal eben /32 für die Leute raushauen, und wenn das voll ist, wird mehr angefragt. Wenn das jeder Provider täte, sind die Bereiche nach 5 Jahren wieder alle. Da nützt es auch nicht viel, dass erst ein Achtel des gesamten Adressraums für Unicast freigegeben wurde.
Aber vielleicht benehmen sich die Provider gut. Soviele ISPs kann es doch auch nicht geben? Ein paar Zigtausend?


Hadmut
24.11.2011 13:38
Kommentarlink

Toll. Sie haben ein /19. Wenn ich die Datenschützer richtig verstehe, wollen sie 32 Bit zum „Kundenwackeln”, womit für den Kunden 32+64 Bit verbraten werden, also noch 32 Bit als Präfix bleiben, würde dann für 2^(32-19)=8192 Kunden reichen.

Sagenhaft, wie die schon wieder Adressraum verbraten.


Alex
24.11.2011 14:40
Kommentarlink

Interessant wäre noch zu wissen, wieviel von dem /56er Anteil regelmäßig getauscht wird.
_Vermutlich_ wird die Telekom als Pool die /32er oder gar /48er Fix haben müssen (vermutlich im lokalen pool der Region die /48er.

Wenn das so ist, – und wir annehmen, dass die meisten User ihr weiteres flexibles Byte eher fix lassen, dann würde ich doch erwarten, dass die tatsächliche randomisierung deutlich schlechter ist, als wenn die Telekom /48 bis /64 randomisiert.
Vor allem kombiniert mit der Möglichkeit, dass der router eine “spezielle” Wahl des 6ten Bytes trifft, wird die Verfolgung der IP doch noch leichter machbar:
Eine Telekom-adresse würde doch dann lauten:
Te:Le:Kom:Region:Zufall:Router-Wahl:-Rest-
also eine vermutlich recht schnell zuordbare kombination


Hanz Moser
24.11.2011 15:05
Kommentarlink

>> Wer’s kapiert, hat vermutlich vorher schon gar nicht geschrien, wer’s nicht kapiert ist beruhigt, weil Maßnahmen ergriffen wurden.

“Wenn Sie sich jetzt fragen, warum die Mathematiker so viel Wind um dieses ‘neutrale Element’ machen, obwohl es ja eigentlich in etwa ‘nichts’ macht, müssen Sie nur mal die Politik anschauen. Stellen Sie sich politisches Handeln ohne solch ein neutrales Element vor. Man müsste dann jedes Mal wenn ein Thema Gegenstand der Diskussion ist etwas tun, das irgendetwas verändert, anstatt durch die Verknüpfung des Diskussionsgegenstandes mit dem neutralen Element, der Diskussion nämlich, den alten Zustand beizubehalten.
Wer jetzt glaubt, dass ich hier ein wenig spotte und Beispiele dafür hat, dass das ja nicht immer so geht, in der Politik, den muss ich noch ein wenig vertrösten. In einer guten halben Stunde kennen Sie nämlich auch inverse Elemente.”


Stuferus
24.11.2011 16:59
Kommentarlink

Bin ich froh, das ich über sixxs schon lange ein /64 ipv6 netz habe, und eig. die telekom nur brauche um von der getunnelten verbinung weg zu kommen. dh mir würde 1 (eine) ipv6 adresse (static) genügen, da ich eh dann mein ipv6 kram da druch tunnel mit sixxs.

nu ja.. mal sehn was das noch wird.
grüsse


| Sagenhaft, wie die schon wieder Adressraum verbraten.

Du kannst ein Konzept so groß machen, wie Du willst, die Verschwenderidioten kriegen alles klein.

Carsten

Ein interessanter Fall
http://images.zeno.org/Literatur/I/big/bwe1072a.jpg


Olytibar
24.11.2011 17:20
Kommentarlink

Ich weiß nicht, ob das bereits erwähnt wurde, aber: Als (Privat!)Kunde von Unitymedia bekomme ich bereits quasi-statische IPv4-Adressen. Es gibt keine Zwangstrennung und um eine neue IP zu bekommen muss ich mindestens 12 Stunden (oder sogar 24 Stunden, die genaue Zeit ist mir nicht bekannt) offline sein. Ich hatte in diesem Jahr erst 4 verschiedene IP-Adressen, der Wechsel hing jeweils mit dem Abschalten des Kabelmodems (+sonstige Netzwerktechnik) für mehrere Tage während Reisen zusammen.

Soweit ich das bis jetzt bezüglich IPv6 verstanden habe, ist es jedoch problemlos möglich, mehrere Prefixe mit unterschiedlichen Laufzeiten zu verteilen (siehe Kommentar von Lutz Donnerhacke). Wo liegt denn dann noch das Problem? Umsetzen, oder nicht umsetzen (und damit offenbaren, dass es einem primär gar nicht um Datenschutz, sondern etwas anderes geht).


Markus
24.11.2011 19:53
Kommentarlink

@Hadmut Also Wikipedia…. der Wikiartikel über v6 ist die Ursache meiner Verwirrung.

Warum ein Button? Warum ändern Modems, Router oder was auch immer nicht von sich aus in kurzen Abständen die IP? Leerlauf für mehr als 20 Sekunden, schnell neu verbinden, fertig.

Betriebssysteme mit so einem Button, der die MAC ändert, wären nett. Weil wer vertraut denn einem Provider, der jede Menge Daten über uns speichert, an Behörden weitergibt oder, das Gerücht hält sich nach wie vor, dicke Server vom Geheimdienst rumstehen hat, die alles auf Schlüsselworte scannen und mitschneiden können?


Hadmut
24.11.2011 21:02
Kommentarlink

@Markus: Wenn man die MAC ändert, bekommt man ganz andere Probleme. Beispielsweise kann dadurch DHCP durcheinanderkommen. Es ist möglich, aber noch lange nicht ratsam, da an allem herumzudrehen.

@Hinweis: Ich danke für das Lob. Ursprünglich hatte ich vor, das weiterzuschreiben, aber mit dem Wegfall der Kinderpornosperre ist auch das allgemeine Interesse an DNS deutlich geschrumpft. Deshalb hab ich’s nicht weiterentwickelt. Kann aber durchaus doch noch kommen. Danke für den Hinweis mit dem Link, werd ich mal so machen (bin aber gerade unterwegs).


kleiner Hinweis
24.11.2011 20:03
Kommentarlink

Hi,

ein kleiner Off-Topic-Hinweis, den ich leider nicht unter dem relevanten Artikel posten konnte:

Deine “Einführung in das DNS” (https://www.danisch.de/blog/2009/09/07/einfuhrung-in-das-domain-name-system/) ist großartig, vielleicht solltest du einen Permanentlink rechts unter “Seiten” ausführen, so dass man dieses großartige Werk leichter findet 😉

PS: Wird daran noch gearbeitet? Es steht dort etwas von Alpha-Version.

Gruß

Ein kleiner Hinweis


yasar
25.11.2011 10:25
Kommentarlink

@Markus

Die meisten Router können das. Man muß nur einstellen, daß man keine Dauerverbindung, sondern nur bei Bedarf die Verbindung aufgebaut haben will. Und schon wird die Leitung abgebaut, sobald keine Daten mehr übertragen werden.

Allerdings ist bei heutiger Software zu bachten, daß viele “im Hintergrund” nach Hause telefonieren, um Updates zu laden oder auf neue Versionen zu prüfen oder ganz profan Newsticker abrufen oder im messenger schauen, wer alles da ist. Daher ist fast immer Traffic auf der Leitung.