<p dir="ltr"><br>
Den 27 nov 2013 23:51 skrev "Tim Retout" <<a href="mailto:diocles@debian.org">diocles@debian.org</a>>:<br>
><br>
> On Wed, 2013-11-27 at 09:23 +0100, Anders Jackson wrote:<br>
> > Sorry, my fault. I was thinking of IPSec,<br>
> > <a href="http://en.m.wikipedia.org/wiki/IPsec">http://en.m.wikipedia.org/wiki/IPsec</a><br>
> ><br>
> > > I think IPv6 will eventually mean that everyone has static IP<br>
> > addresses<br>
> > > at home, but in the meantime not everyone can access IPv6-only<br>
> > services,<br>
> > > can they?  So do the transition mechanisms make it possible to run<br>
> > > services accessible by IPv4-only users?<br>
> ><br>
> > Do you need IPv4 access in to your machine? We would still have IPv4<br>
> > access through IPv4 NAT. If all Freedomboxes have IPv6, they have peer<br>
> > to peer access through encrypted connection. No need for fighting with<br>
> > NAT traversal through one or more NAT routers.<br>
><br>
> Ah, I see where you're going, but I think we may need more than this.</p>
<p dir="ltr">Like what more?</p>
<p dir="ltr">> Eben Moglen's recent talks have persuaded me that privacy requires both<br>
> secrecy and anonymity:<br>
> <a href="http://snowdenandthefuture.info/PartII.html">http://snowdenandthefuture.info/PartII.html</a></p>
<p dir="ltr">Of course it does, but the communication between the devices are encrypted, so Tor, or something like that, on top of IPsec on IPv6 will give you both secrecy and anonymity.</p>
<p dir="ltr">> Therefore, for the peer-to-peer element, I have come to believe that<br>
> governments should not able to see which other Freedomboxes you are<br>
> communicating with.  If we used IPSec, it would still be possible to<br>
> figure out who owned the addresses you were talking to.</p>
<p dir="ltr">Government, what about ISP and other companies, like MS and Google?<br>
It is still possible to figure out which other Tor nodes you talk to.</p>
<p dir="ltr">> Tor hidden services are easy to set up, they work even if the Freedombox<br>
> is behind a firewall, and they have the advantage that you keep the same<br>
> onion address even if your home IP is dynamic.  I envisage this<br>
> communication as happening mostly between the software on the boxes,<br>
> rather than directly from any user's browser, so the end user never has<br>
> to know that this is implemented on top of Tor.</p>
<p dir="ltr">And you seems to miss that you are talking about different levels in the communication stack.</p>
<p dir="ltr">> (This use of Tor is always encrypted end-to-end, and there are no "exit<br>
> nodes" which can see your raw traffic.  This avoids all the potential<br>
> issues discussed on this list a few weeks ago with sending the user's<br>
> unencrypted HTTP traffic over Tor.)</p>
<p dir="ltr">And with IPsec all traffic can be encrypted, not just HTTP traffic between Tor nodes.</p>
<p dir="ltr">> Note that a connection from e.g. my own mobile phone to my Freedombox<br>
> does not have the same anonymity requirement.  GCHQ is going to know my<br>
> phone and my home are linked together, because my identity is already<br>
> associated with them both, and this is fine.  This connection could very<br>
> well use an IPsec VPN, if we could figure out how to make that work.</p>
<p dir="ltr">IPsec isn't like TLS, SSL or SSH, it is in network layer the encryption is done.</p>
<p dir="ltr">> However, I also believe that in order to be at all useful, Freedomboxes<br>
> need to interoperate at some level with people who don't yet use<br>
> Freedomboxes.  So I still want to keep my same email address for now,<br>
> and hopefully my same XMPP address, etc.  To start with, I envisage that<br>
> we do not actually host these on the Freedombox, but intercept and<br>
> augment them (e.g. adding OpenPGP encryption to my email where<br>
> possible).</p>
<p dir="ltr">What does XMPP or Email addresses have anything to do with IPv4 or IPv6 adresses?<br>
I do run both my SMTP and XMPP traffic on IPv6 as we speak. I use IPv6 with Google and other big web sites daily.<br>
The only common protocol that I know of that actually uses IP-adresses in them that I know of is SIP. And that is worked on to solve.</p>
<p dir="ltr">> We can then start transparently re-routing mail I send to other<br>
> Freedombox users.  Deliver via their Tor hidden service address, rather<br>
> than over the open internet.</p>
<p dir="ltr">I can't see why that can't be done with IPv6? It is done already</p>
<p dir="ltr">> Later, if I want to, say, make my Freedombox's <a href="http://pump.io">pump.io</a> installation<br>
> available to the internet at large, we need a way for other people with<br>
> only IPv4 connections to see my site (ideally hosted on my own domain),<br>
> even though my home only has a dynamic IPv4 address.  This is where<br>
> tools like Pagekite come in, and I can't see how I'd achieve this with<br>
> IPv6.</p>
<p dir="ltr">I can't see why that will be a problem other than the usual mess with NAT, double NAT and other problems you get with IPv4 when trying to put a server on internet.<br>
But machines usually need to have dual stack anyway, so you can still do that if you really need IPv4.</p>
<p dir="ltr">But this is problems you don't have with IPv6, where you only need to open up the firewall and your server is public.</p>
<p dir="ltr">For IPv4 to be able to reach IPv6 there are other solutions for doing that, like NAT64. You are not the first with a need like that. ;-) </p>
<p dir="ltr">> --<br>
> Tim Retout <<a href="mailto:diocles@debian.org">diocles@debian.org</a>></p>
<p dir="ltr">/Anders J.<br>
</p>