Zum Inhalt springen

IPv6/Privacy: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen Versionsunterschied
VisuellWikitext
K Textersetzung - „Obsoleted by“ durch „Ersetzt durch“
 
(36 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''IPv6 Privacy Extensions''' - RFC 4941
'''IPv6/Privacy''' - IPv6 Privacy Extensions


== Beschreibung ==
== Beschreibung ==
; Privacy Extensions nach RFC 4941
; Erzeugung des Interface-Identifiers
Erzeugung des Interface-Identifiers
* Die Erzeugung des Interface-Identifiers aus der global eindeutigen MAC-Adresse ermöglicht die Nachverfolgung von Benutzern
* Die Erzeugung des Interface-Identifiers aus der global eindeutigen MAC-Adresse ermöglicht die Nachverfolgung von Benutzern


; Privacy-Extensions (PEX, RFC 4941)
;Privacy Extensions ([[RFC/8981]])
* hebt die permanente Kopplung der Benutzeridentität an die IPv6-Adressen auf
* Hebt die Kopplung der Benutzeridentität an die IPv6-Adressen auf
 
* Zufällig generiert und regelmäßig gewechselt
; Zufällig generiert und regelmäßig gewechselt
* Indem der Interface-Identifier zufällig generiert wird und regelmäßig wechselt, soll ein Teil der Anonymität von IPv4 wiederhergestellt werden


; Täglich wechselndes Präfix wünschenswert
; Täglich wechselndes Präfix wünschenswert
* Im Privatbereich lässt das Präfix allein recht sicher auf einen Nutzer schließen
Im Privatbereich lässt das Präfix allein recht sicher auf einen Nutzer schließen
* Daher ist aus Datenschutzgründen ein vom Provider dynamisch zugewiesenes Präfix wünschenswert
* Daher ist aus Datenschutzgründen ein vom Provider dynamisch zugewiesenes Präfix wünschenswert
** in Verbindung mit den Privacy Extensions
* in Verbindung mit den Privacy Extensions z. B. täglich wechselnd
** z. B. täglich wechselnd


<!--
; Whois-Datenbank
; Whois-Datenbank
* Statische Adresszuteilung erfordern meist ein Eintrag in der öffentlichen Whois-Datenbank
Statische Adresszuteilung erfordern meist ein Eintrag in der öffentlichen Whois-Datenbank
* In Deutschland hat der Deutsche IPv6-Rat Datenschutzleitlinien formuliert, die auch eine dynamische Zuweisung von IPv6-Präfixen vorsehen
* In Deutschland hat der Deutsche IPv6-Rat Datenschutzleitlinien formuliert, die auch eine dynamische Zuweisung von IPv6-Präfixen vorsehen
-->


== Stateless Address Autoconfiguration (SLAAC) ==
; [[Stateless Address Autoconfiguration]] ([[SLAAC]])
Nutzt auf einigen Betriebssystemen per Vorgabe die Hardware-Adresse der Netzwerkschnittstelle
Nutzt auf einigen Betriebssystemen per Vorgabe die Hardware-Adresse der Netzwerkschnittstelle
 
* Solche Adressen sind im Internet leicht wiederzuerkennen
; Solche Adressen sind im Internet leicht wiederzuerkennen


; Abhilfe schaffen die Privacy Extensions
; Abhilfe schaffen die Privacy Extensions
Zeile 35: Zeile 32:
* Die ersten 64 Bit gehören dem Netzwerk-Präfix, das der IPv6-Router im Netzwerk bekannt gibt und das der Rechner in die globale IPv6-Adresse übernimmt.
* Die ersten 64 Bit gehören dem Netzwerk-Präfix, das der IPv6-Router im Netzwerk bekannt gibt und das der Rechner in die globale IPv6-Adresse übernimmt.


== Betriebsysteme ==
= Betriebsysteme =
; Linux
{| class="wikitable options big"
* <s>leiten ohne Eingriff ihre globale IPv6-Adresse aus der Hardware ab</s>
| Linux ||
* <s>damit offenbaren sie Informationen über den Benutzer</s>
* leiten ohne Eingriff ihre globale IPv6-Adresse aus der Hardware ab
 
* damit offenbaren sie Informationen über den Benutzer
; Windows
|-
* <s>erzeugt immer eine temporäre IPv6-Adresse</s>
| Windows ||
* <s>die dem Nutzer mehr Privatheit verschafft</s>
* erzeugt immer eine temporäre IPv6-Adresse
 
* die dem Nutzer mehr Privatheit verschafft
; Den IPv6-Entwicklern fiel schnell auf dass dieses Verfahren die Privatsphäre von Rechner und Nutzer gefährdet
|-
|}
Den IPv6-Entwicklern fiel schnell auf dass dieses Verfahren die Privatsphäre von Rechner und Nutzer gefährdet
* Solche statischen IPv6-Adressen wirken wie eine eindeutige Hardware-ID, die der Rechner bei jedem Kontakt zu einem IPv6-tauglichen Server überträgt.
* Solche statischen IPv6-Adressen wirken wie eine eindeutige Hardware-ID, die der Rechner bei jedem Kontakt zu einem IPv6-tauglichen Server überträgt.
* Brisant ist das bei Geräten wie Tablets oder Smartphones, denn sie werden in der Regel nur von einer Person genutzt.
* Brisant ist das bei Geräten wie Tablets oder Smartphones, denn sie werden in der Regel nur von einer Person genutzt.
Zeile 61: Zeile 60:
* man muss es aber per Hand aktivieren
* man muss es aber per Hand aktivieren


=== Windows ===
= OS =
[[IPv6/Privacy Extension/Windows]]
{| class="wikitable gnu big"
 
|-
=== Linux ===
! !! Beschreibung
; Alle großen Linux-Distributionen aktivieren IPv6, die Privacy Extensions jedoch nicht
|-
* Das bemerkt man schnell an den aus der Hardware-Adresse abgeleiteten Adressen, die im hinteren Teil die Bytes ff und fe enthalten.
| Windows || [[IPv6/Privacy/Windows]]
 
|-
; Die Privacy Extensions lassen sich über das Sysctl-System dauerhaft einschalten
| Linux || [[IPv6/Privacy/Linux]]
* Am einfachsten gelingt das, wenn man für jede Netzwerkschnittstelle im Computer eine Zeile in die Datei /etc/sysctl.conf nachträgt.
|-
net.ipv6.conf.IF.use_tempaddr = 2
| Android || [[IPv6/Privacy Extension/Android]]
 
|-
Den Platzhalter IF müssen Sie dabei durch die Schnittstellenbezeichnung ersetzen, also etwa eth0 für die erste Ethernet-Karte oder wlan0 für das WLAN-Interface.
| Mac OS X || [[IPv6/Privacy/Mac OS X]]
 
|-
; Testweise können Sysctl-Werte auch über die Shell eingeben werden
| iPhone und iPad (IOS) || [[IPv6/Privacy/IOS]]
sysctl net.ipv6.conf.wlan0.use_tempaddr=2
|}
 
* Damit Linux die Netzwerkschnittstelle mit einer temporären IPv6-Adresse versorgt, müssen Sie die Schnittstelle einmal aus- und wieder einschalten (etwa über den Network Manager).
* Anschließend zeigt ifconfig an der Schnittstelle eine weitere IPv6-Adresse, deren hinterer Teil
nicht mehr aus der Hardware-Adresse abgeleitet wurde.
* Dass es sich tatsächlich um eine temporäre Adresse handelt, zeigt der Befehl ip -6 addr show
über den Bezeichner "temporary" in seinen Ausgaben an.
* Bei Ubuntu muss zusätzlich der Wert net.ipv6.conf.default.use_tempaddr=2 in der Datei
/etc/sysctl.conf setzen.
 
; Vorgaben ändern
 
; Vorgaben zum Wechseln der temporären IPv6-Adresse lassen sich via sysctl
anpassen
* Die Sysctl-Schlüssel
 
net.ipv6.conf.IF.temp_valid_lft
net.ipv6.conf.IF.temp_prefered_lft
 
* setzen die maximale Zeit in Sekunden, in der Linux die Adresse für eingehende und
ausgehende Anfragen nutzt.
* Der letzte Schlüssel hat typischerweise den Wert 86400 (24 Stunden), eingehende Pakete
akzeptiert Linux sieben Tage an dieser Adresse.
* Den Platzhalter IF müssen Sie dabei wie oben durch den Schnittstellennamen ersetzen.
 
=== Android ===
; Googles Smartphone-Betriebssystem setzt auf Linux auf
* das zufällige und wechselnde IPv6-Adressen erzeugen kann
* Andererseits hat Google die dafür nötigen Vorgaben nicht gesetzt, sodass bislang jede Android-
Version ohne die Privatsphäre schützenden IPv6-Adressen auskommen muss.
* Auch lassen sie sich nicht einfach einschalten, denn die Mobilfunk-Provider und Handy-Hersteller
vernageln den dafür nötigen Root-Zugang.
* Zwei Befehle genügen und ein gerootetes Android surft über die wechselnden und nicht aus der
Hardware abgeleitetden IPv6-Adressen.
* Wie auch auf iPhones bleibt nur der Weg über das nachträgliche
  Freischalten des Root-Zugangs oder über die Installation von
Custom-ROMs:
* Mit dem für solche Verwaltungsaufgaben nötigen Root-Benutzer
lassen sich dann wieder die Sysctl-Werte setzen, die die
Privacy Extensions für IPv6 aktivieren.
* Steht auf dem Telefon das Kommando sysctl bereit, reichen die Befehle
 
su
sysctl -w net.ipv6.conf.default.use_tempaddr=2
sysctl -w net.ipv6.conf.all.use_tempaddr=2
 
* Nach einem Neustart vergisst Android diese Einstellungen jedoch wieder.
* Man kann die beiden Befehle allerdings in eine Datei namens /data/local/userinit.sh schreiben.
* Existiert diese Datei, führt Cyanogenmod die darin aufgelisteten Befehle beim Systemstart aus.
 
=== Mac OS X ===
; Auch Apples Betriebssystem Mac OS X über die Privacy Extensions ermittelte IPv6-
; Adressen erzeugen und einsetzen
* Allerdings hat Apple dafür keinen Schalter vorgesehen.
* Das Programm IPv6 Anonymizer von c't
** zeigt den Status der Privacy Extensions,
** schaltet sie an oder aus und
** sorgt dafür, dass die Funktion auch
beim Neustart zur Verfügung steht.
 
; Kommandozeile
* Die Privacy Extensions lassen sich im Terminal (im Dienstprogramme-Ordner) mit einem Befehl aktivieren
 
sudo sysctl -w net.inet6.ip6.use_tempaddr=1
 
* Damit das klappt, müssen Sie mit einem Benutzer angemeldet sein, der den Mac verwalten darf.
* Leider verschwindet die Einstellung nach einem Neustart.
 
=== iPhone und iPad (IOS) ===
; Noch schlechter als auf dem Apple-Desktop sah es bis vor kurzem unter den Mobil-
; Betriebssystemen für iPhones und iPads aus
* Bis zur Version 4.3 waren auch dort die Privacy Extensions abgeschaltet. Erst das Update aktiviert die Erweiterung.
* Im Unterschied zu Mac OS X steht aber auf den Mobilbetriebssystemen für iPhone und iPad kein vom Hersteller vorgesehener Weg offen, die Privacy Extensions zu aktivieren oder abzuschalten.
* Will man auf Geräten mit der IOS-Version kleiner als 4.3 die Privacy Extensions einschalten, hat man nur dann eine Chance, wenn man einen Administrator-Zugang zum Betriebssystem hat (Jailbreak): In diesem Fall reicht der Aufruf von
sudo sysctl -w net.inet6.ip6.use_tempaddr=1
 
Eintrag in die Datei /etc/sysctl.conf
net.inet6.ip6.use_tempaddr=1
 
Starten Sie dazu im Terminal einen Editor mit root-Rechten und fügen Sie die Zeile am Ende der Datei an.
sudo pico /etc/sysctl.conf
 
Nach einem Neustart der WLAN-Schnittstelle respektive einem Neustart des Geräts sollte die  Webseite http://ct.de/ip die zweite, über die Privacy Extensions erzeugte IPv6-Adresse anzeigen.
 
<noinclude>
<noinclude>


== Anhang ==
= Anhang =
=== Siehe auch ===
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
{{Special:PrefixIndex/{{BASEPAGENAME}}/}}
=== RFC ===
=== RFC ===
{| class="wikitable sortable options big"
{| class="wikitable options big col1center"
|-
! RFC !! Titel !! Jahr !! Status
|-
|-
! RFC !! Titel
| [https://www.rfc-editor.org/info/rfc4941 4941] || Privacy Extensions for Stateless Address Autoconfiguration in IPv6 || 2007 || Ersetzt durch: RFC 8981
|-
|-
| [https://www.rfc-editor.org/info/rfc4941 4941] || Privacy Extensions for Stateless Address Autoconfiguration in IPv6
| [https://www.rfc-editor.org/info/rfc8981 8981] || Temporary Address Extensions for Stateless Address Autoconfiguration in IPv6 || 2021 || Proposed Standard
|}
|}


Zeile 175: Zeile 93:
==== Projekt ====
==== Projekt ====
==== Weblinks ====
==== Weblinks ====
[[Kategorie:IPv6/Adresse]]


</noinclude>
</noinclude>
[[Kategorie:IPv6/Privacy]]

Aktuelle Version vom 5. Juli 2025, 10:16 Uhr

IPv6/Privacy - IPv6 Privacy Extensions

Beschreibung

Erzeugung des Interface-Identifiers
  • Die Erzeugung des Interface-Identifiers aus der global eindeutigen MAC-Adresse ermöglicht die Nachverfolgung von Benutzern
Privacy Extensions (RFC/8981)
  • Hebt die Kopplung der Benutzeridentität an die IPv6-Adressen auf
  • Zufällig generiert und regelmäßig gewechselt
Täglich wechselndes Präfix wünschenswert

Im Privatbereich lässt das Präfix allein recht sicher auf einen Nutzer schließen

  • Daher ist aus Datenschutzgründen ein vom Provider dynamisch zugewiesenes Präfix wünschenswert
  • in Verbindung mit den Privacy Extensions z. B. täglich wechselnd


Stateless Address Autoconfiguration (SLAAC)

Nutzt auf einigen Betriebssystemen per Vorgabe die Hardware-Adresse der Netzwerkschnittstelle

  • Solche Adressen sind im Internet leicht wiederzuerkennen
Abhilfe schaffen die Privacy Extensions
  • die zusätzliche, über Zufallszahlen generierte und wechselnde IPv6-Adressen erzeugen
Stateless Address Autoconfiguration
  • schiebt in der Mitte der nur 48 Bit langen MAC-Adresse zusätzlich die Bytes ff:fe ein
  • erzeugt daraus den Local Identifier, also die hinteren 64 Bit einer IPv6-Adresse
  • Die ersten 64 Bit gehören dem Netzwerk-Präfix, das der IPv6-Router im Netzwerk bekannt gibt und das der Rechner in die globale IPv6-Adresse übernimmt.

Betriebsysteme

Linux
  • leiten ohne Eingriff ihre globale IPv6-Adresse aus der Hardware ab
  • damit offenbaren sie Informationen über den Benutzer
Windows
  • erzeugt immer eine temporäre IPv6-Adresse
  • die dem Nutzer mehr Privatheit verschafft

Den IPv6-Entwicklern fiel schnell auf dass dieses Verfahren die Privatsphäre von Rechner und Nutzer gefährdet

  • Solche statischen IPv6-Adressen wirken wie eine eindeutige Hardware-ID, die der Rechner bei jedem Kontakt zu einem IPv6-tauglichen Server überträgt.
  • Brisant ist das bei Geräten wie Tablets oder Smartphones, denn sie werden in der Regel nur von einer Person genutzt.
  • Die für jeden Serverbetreiber und Netzbeobachter zugängliche MAC-Adresse erlaubt es damit, diese Person wiederzuerkennen.
Privacy Extensions for Stateless Address Autoconfiguration in IPv6
  • Daher definierten sie nachträglich das Verfahren "Privacy Extensions for Stateless Address Autoconfiguration in IPv6" (RFC 4941)
  • mit dem sich zusätzlich zu diesen statischen Adressen temporäre erzeugen lassen
  • die der Rechner für seine Anfragen ins IPv6-Internet einsetzt
Der Host Identifier dieser Adressen wird über Zufallszahlen ermittelt
  • Allerdings setzen längst nicht alle aktuellen Betriebssysteme diese Erweiterung ab Werk ein
Derzeit hat einzig Windows die Privacy Extensions eingeschaltet
  • Andere wie Mac OS und Linux beherrschen das Verfahren
  • man muss es aber per Hand aktivieren

OS

Beschreibung
Windows IPv6/Privacy/Windows
Linux IPv6/Privacy/Linux
Android IPv6/Privacy Extension/Android
Mac OS X IPv6/Privacy/Mac OS X
iPhone und iPad (IOS) IPv6/Privacy/IOS


Anhang

Siehe auch

RFC

RFC Titel Jahr Status
4941 Privacy Extensions for Stateless Address Autoconfiguration in IPv6 2007 Ersetzt durch: RFC 8981
8981 Temporary Address Extensions for Stateless Address Autoconfiguration in IPv6 2021 Proposed Standard

Links

Projekt

Weblinks

Abgerufen von „https://wiki.foxtom.de/index.php?title=IPv6/Privacy&oldid=148804