We're building a personal UMA Authorization Server to run under FreedomBox. The project, just launched, is at <a href="https://github.com/HIEofOne">https://github.com/HIEofOne</a> We hope to leverage the easy installation and management features of FreedomBox. A standard open source personal AS is useful for all sorts of personal machine-to-machine transactions from health records to IoT.<div><div><br></div><div>An UMA AS needs to be acceptable to large corporations and government servers. Personal domains and letsencrypt SSL certificates will be essential lest these institutions decide that personal servers are insecure.</div><div><br></div><div>Personal domains can be as little as $4/year and I would not consider that a significant barrier for typical AS users. I hope FreedomBox supports an easy setup for this kind of use-case, including a solution to the dynamic DNS config. </div><div><br></div><div>Best,</div><div><br></div><div>Adrian<br><br>On Saturday, November 21, 2015, Bjarni Runar Einarsson <<a href="mailto:bre@pagekite.net">bre@pagekite.net</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello Freedombox folks!<br>
<br>
tl;dr: There are security risks involved in running PageKite<br>
relays which I wanted to warn you about. I'm also wondering if<br>
folks here are interested in collaborating to build a<br>
community-run free-of-charge network of PageKite relays.<br>
<br>
<br>
Sorry, this got long...<br>
<br>
It's been a while since I posted anything here; for those of you<br>
who don't remember me, I'm the author of PageKite (owner/operator<br>
of <a href="https://pagekite.net/" target="_blank">https://pagekite.net/</a>) and the lead developer on Mailpile.<br>
I've been lurking on this list for ages.<br>
<br>
For the rest of this e-mail I'm going to just assume that<br>
FreedomBox, Mailpile and similar personal-home-server solutions<br>
will never succeed in reaching the masses without PageKite (or<br>
something just like it). Folks who disagree may want to stop<br>
reading now. :-)<br>
<br>
Unfortunately, if we consider PageKite.net's current business<br>
model (my paycheck...), it's pretty clear that it will hinder<br>
adoption if every single user has to pay a small fee to connect<br>
to the network. Freedom is important, but folks are also very<br>
price-sensitive about network services. People are so used to<br>
free stuff online, that convincing them to pay a subscription for<br>
something like PageKite is a very hard sell.<br>
<br>
If we want efforts like the FreedomBox to succeed, eliminating<br>
friction like this is important. When I am wearing my Mailpile<br>
hat, I struggle with this same concern.<br>
<br>
(Makers of embedded server products currently solve this exact<br>
issue by purchasing PageKite accounts in bulk and including the<br>
expected costs in the price of the hardware that is sold. This is<br>
a viable model, but I suspect it's not one that appeals strongly<br>
to this particular community...)<br>
<br>
In any case, it would be *really cool* if PageKite service were<br>
available free of cost, provided and supported by a community,<br>
similar to the Tor relay network. I haven't tried to build such a<br>
thing yet and I'd like to tell you why... and why I might be<br>
about ready to change my mind and work on this.<br>
<br>
I'm bringing this conversation to the FreedomBox list, because of<br>
two things: it appears <a href="http://freedombox.me" target="_blank">freedombox.me</a> is trying to clone<br>
<a href="http://pagekite.net" target="_blank">pagekite.net</a>, with less friction and no money involved;<br>
community-run-relays might be a natural evolutionary direction<br>
for that project. I also saw in Plinth's github someone<br>
requesting the ability for one FreedomBox to be a PageKite relay<br>
for another. Both of these ideas must be approached with care, or<br>
users will be harmed.<br>
<br>
<br>
The main concerns:<br>
<br>
0) Users of a pagekite.me-style service are completely at the<br>
mercy of the person who provides them with a sub-domain. Adding<br>
some volunteers and decentralization to the mix at the relay<br>
stage doesn't actually solve the main social/political problems -<br>
the domain owner still controls everything.<br>
<br>
1) PageKite relays can be abused in much the same way as Tor exit<br>
nodes - if anyone can volunteer to run a relay, some will do so<br>
for antisocial reasons, in particular to spy on the traffic. Or<br>
worse; to manipulate the traffic, injecting ads, malware etc.<br>
Using your friends' relays is NOT a solution, few people are more<br>
interested in spying on you than your friends, relatives and<br>
coworkers.<br>
<br>
2) Phishing campaigns regularly try to use PageKite relays to<br>
anonymize their operations. If they succeed, then PageKite relays<br>
get automatically blacklisted in various firewalls, preventing<br>
legitimate users from accessing their kites.<br>
<br>
3) Fly-by-night makers of cheap home-server devices may try to<br>
freeload off the community network without contributing anything<br>
back.<br>
<br>
Points 1) and 2) are critical security issues, point 0) begs the<br>
question "what's the point?" I am not sure whether 3) is a bug or<br>
a feature!<br>
<br>
Neither of the security risks is theoretical; Tor exit node<br>
manipulation is common and I shut phishers down on <a href="http://pagekite.me" target="_blank">pagekite.me</a> on<br>
a regular basis. I have managed these risks at <a href="http://pagekite.net" target="_blank">pagekite.net</a><br>
through careful monitoring and manual oversight - and by charging<br>
money so I know who my users are and they know who they're doing<br>
business with.<br>
<br>
<br>
Addressing these concerns in a community pagekite service:<br>
<br>
0) Centralized control can be reduced somewhat by having multiple<br>
service domains and multiple providers of DNS and pagekite<br>
authentication, and by encouraging users to use their own<br>
domains. While domains cost money, users will be jeopardize their<br>
freedom/security in exchange for a free sub-domain.<br>
<br>
1) End-to-end encryption may prevent tampering and spying on<br>
content; protecting metadata from the relay operators is largely<br>
impossible unless everyone uses Tor (in which case you might as<br>
well just use a Tor hidden service and skip PageKite).<br>
<br>
For e2e crypto, we have to deal with TLS certificates which has<br>
made this impractical until now. Letsencrypt.org may help, but<br>
it's unclear to me whether anything prevents the relay operator<br>
from simply using <a href="http://letsencrypt.org" target="_blank">letsencrypt.org</a> to set up their own MITM<br>
anyway. Hopefully <a href="http://letsencrypt.org" target="_blank">letsencrypt.org</a> monitor things well enough and<br>
warn certificate owners about re-issued certs...<br>
<br>
Another attack vector, if the TLD owner and the relay operator<br>
are one and the same (this is currently the case with both<br>
<a href="http://pagekite.me" target="_blank">pagekite.me</a> and <a href="http://freedombox.me" target="_blank">freedombox.me</a>), then the owner of the TLD can<br>
register a wild-card certificate and use that to MITM their<br>
usres. Most users will never notice a thing. Security improves if<br>
DNS management and relay operations are separated. This attack<br>
can also be thwarted by only ever using sub-sub-domains<br>
(foo.bar.freedombox.tld).<br>
<br>
All of these risks can be mitigated if the users know how to use<br>
browser plugins like Certificate Patrol, or know how to manage<br>
self-signed certificates and navigate scary browser warnings. For<br>
non-technical users, neither is appealing.<br>
<br>
Clear-text HTTP relaying in a volunteer-run PageKite network<br>
should be strictly forbidden; relay operators that offer<br>
clear-text HTTP relaying should be blacklisted. (Who watches the<br>
watchers?)<br>
<br>
2) Phishing abuse has no solution except active policing of<br>
relayed domains, or a high-friction non-anonymous signup process<br>
(preferably involving money). It may be possible to automate<br>
policing to a certain extent, but this will always be an arms<br>
race.<br>
<br>
<br>
Conclusion:<br>
<br>
I think <a href="http://letsencrypt.org" target="_blank">letsencrypt.org</a> *may* be enough of a game-changer that it<br>
is worth revisiting how to create a volunteer-operated relay<br>
network and make the DNS side of the PageKite solution easily<br>
installable, so a more diverse ecosystem can emerge.<br>
<br>
On the other hand, it might still be premature - the demand isn't<br>
there yet, is it? It's certainly not urgent.<br>
<br>
Are there folks on this list that would be interested in<br>
participating and providing resources to such an effort? I've got<br>
my hand tentatively raised... :-) I've also had the domain<br>
<a href="http://pagekite.org" target="_blank">pagekite.org</a> registered for ages, for exactly this use-case.<br>
<br>
All the best,<br>
 - Bjarni<br>
</blockquote></div></div><br><br>-- <br><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><br><div dir="ltr">Adrian Gropper MD<span style="font-size:11pt"></span><br><br><span style="font-family:"Arial",sans-serif;color:#1f497d">PROTECT YOUR FUTURE - RESTORE Health Privacy!</span><span style="font-family:"Arial",sans-serif;color:#1f497d"><br>HELP us fight for the right to control personal health data.</span><span style="font-family:"Arial",sans-serif;color:#1f497d"></span><span style="font-family:"Arial",sans-serif;color:#1f497d"><br>DONATE:
<a href="http://patientprivacyrights.org/donate-2/" target="_blank"><span style="color:#0563c1">http://patientprivacyrights.org/donate-2/</span></a></span><span style="color:#1f497d"></span>
</div></div></div></div></div></div></div><br>