[ANNOUNCE] eSVDRP v0.1 - sichere SVDRP-Verbindungen

    Hi Leute!


    Nachdem mir etobi das Projekt auf vdr-developer.org angelegt hat (danke nochmal!) hier mal der offizielle Announce zu dem kleinen Stück Code.


    Was ist eSVDRP?
    eSVDRP sichert eine SVDRP-Verbindung mit einer DES-Verschlüsselungen in dem es als Proxy zwischen dem Client und dem VDR mit dem SVDRP-Port hängt. Nach einem extra eSVDRP-Handshake, verhält sich das protokoll exakt wie das SVDRP-Protokoll.


    Wie stetze ich es richtig ein?
    da eSVDRP unverschlüsselt mit dem VDR reden muss, läuft der eSVDRP auf einem Rechner im gleichen LAN bzw. besser noch auf dem gleichen Rechner wie der VDR. Danach kann mit einem eSVDRP-Clienten zum eSVDP verbunden werden. Um übers Internet gesichert auf seinen VDR zugreifen zu können wird dann einfach der eSVDRP-Port per port-forward zugänglich gemacht.


    Wo bekomme ich einen eSVDRP-Client?
    Das einzige Programm was bis jetzt eSVDRP versteht ist die Android-App VDR-Control. eSVDRP ist extra dafür geschrieben worden aber universell einsetzbar. Allerdings steht der eSVDRP-Sourcecode auf der Projektseite zum Download bereit und darf frei verwendet werden. Daraus lässt sich auch der Handshake ableiten um eigene eSVDRP-Clienten zu schreiben.


    Projekt-URL: eSVDRP auf vdr-developer.org


    Es wird wohl noch eine art esvdrp-clienten für die Konsole geben der als Beispielcode für einen Client dienen soll, aber das kann noch etwas dauern. Ist einfach zu warm zum Coden zur Zeit.


    Grüsse,
    Markus

    Könnte man das nicht auch einfach per stunnel mit alten Hausmitteln realisieren ? Fällt mir gerade so ein, denn die Idee mal was an SVDRP zu tun ist gut, hab aber noch nie drüber nachgedacht wie man da konkret mal was auf die Beine stellt.


    Grüz
    Hibbel

    - HTPC mit zerbasteltem Yavdr 0.6 , Origen ae X15e, MCE Remote, Asus P5N7A-VM, 1x Digibit R1, Kodi und vdr an Pana 46PZ85E
    - Diverse HTPCs im Umfeld bei Familie und Freundenm die sich vor mir fürchten, mit allen möglichen gruseligen Konfigurationen.
    Auch gern Debian, aber wehe jemand kommt mir mit Suse.

    stunnel oä. wollt ich nicht nehmen, da ja ziel der ganzen sache ist das auch in anderen Programmen zu verwenden die aber evtl. auf embedded Devices laufen (wie eben vdr-control auch) wo das gegenstück zu stunnel, etc. nicht existent ist und ich etwas platform-unabhängiges wollte. Zur zeit ists zwar java-abhängig. aber ich denke entweder bindings oder eine native implementierung in anderen Sprachen sollten möglich sein. Gibt ja genug Cracks in der Szene.

    Huh, auf welcher Plattform gibt es bitte kein Openssl aber die nötigen Libraries und Java für diese DES Lösung?


    stunnel auf der Serverseite bedeutet ja nicht, dass auf Clientseite auch stunnel laufen muß. Und Embedded-Applikation die gegen Openssl linken gibt es ja wohl wie Sand am Meer...


    Das soll jetzt keine Kritik an Deiner Arbeit sein, Verschlüsselung war einer meiner ersen Vorschläge für die iPhone App, aber ich verstehe nicht, warum es proprietär sein muß.

    wo ist denn das proprietär?
    das is ne ganz normale DES-Chiffre. und SSL deshalb nicht weil ich mich nicht mit irgendwelchen zertifikaten rumstreiten wollte auf Android. der DES-Schlüssel dient ja gleichzeitig als authentifizierung. ausserdem sollte es so einfach wie möglich für den user werden.


    und da sind denk ich 4 zeilen config-file auf serverseite und einen schlüssel eingeben auf der anderen seite noch die einfachste lösung.

    oe6jwf
    Das war die erste kombination die ich zum laufen gebracht habe. den Chiffre auf AES umzustellen wäre wohl auch kein problem und schwebt mir auch schon vor. Sind ja erst bei Version 0.1 :)


    slime
    SSL ist unter Android ein ziemlicher Krampf deshalb kein SSL. Wenn dann evtl. wie angesprochen noch AES kommt ists denk ich SSL auf jedenfall ebenbürtig. Wie verschlüsselt wird ist ja erstmal egal hauptsache die Verbindung ist soweit sicher, das keiner damit schindluder treiben kann.

    Was denkst du was ein ssh plugin tun sollte ?


    Grüz
    Hibbel

    - HTPC mit zerbasteltem Yavdr 0.6 , Origen ae X15e, MCE Remote, Asus P5N7A-VM, 1x Digibit R1, Kodi und vdr an Pana 46PZ85E
    - Diverse HTPCs im Umfeld bei Familie und Freundenm die sich vor mir fürchten, mit allen möglichen gruseligen Konfigurationen.
    Auch gern Debian, aber wehe jemand kommt mir mit Suse.

    Es gibt doch schon ein "Konsole Plugin". Dort kann man dann auch eine SSH-Verbindung stellen. Oder was genau meinst du?


    Mit Android kenne ich mich nicht aus, aber jede mir bekannte Sprache bietet Anbindung an OpenSSL. Ich sehe da irgendwie das Problem nicht. Die "Server-Software" wäre mit stunnel dann auf jedem Fall bereits fertig.

    Mit proprietär meine ich die lösung wie man rankommt. Wenn es SSL wäre, könnte man jeden x-beliebigen stunnel oder openssl s_client als wrapper nehmen. Das ist fast auf jedem System drauf und könnte sich dann als "Standardlösung" für den verschlüsseltem Zugang zum vdr etablieren, während sich sicher nur die wengistens ein Extra-Programm kompilieren um von einem client auf den vdr zuzugreifen...


    Ich verstehe Deine Motiviation, schnell etwas für die Android-App auf die Beine zu stellen, aber wäre es nicht sinnvoller eine Lösung zu schaffen, die auch andere Nutzer hat und sich damit quasi eine Standard-Schnittstelle etabliert?


    Zum Thema SSL und Zertifikate: das läßt sich doch durchaus losgelöst betrachten, d.h. wenn Du nicht das Zertifikat sondern ein statisches Passwort zur Authentifizierung benutzt, kannst Du das Zertifikat lediglich für die Verschlüsselung nutzen (ohne Prüfung der Keychain). Jedes selbstsignierte Cert würde auf Server und Client-seite also reichen. Auf vdr-Seite überhaupt gar kein Problem, beim Android weiß ich es nicht, aber da geht mit Sicherheit was...

    Zitat

    Original von gEistiO
    http://mobile.synyx.de/2010/06…-signed-ssl-certificates/


    Hier wird mal eben die ganze SSL-Zertifikatsprüfung abgestellt. Das kann nicht die richtige Lösung sein.


    Allerdings wird dadurch irgendwie auch klar, wo das Problem sein könnte. Einziger Weg, um das sicher zu kriegen, wäre, wenn man z.B. den Fingerprint des Zertifikats im Handy eintippen müsste (einmalig, wird gespeichert). Nur wenn Fingerprint stimmt, wird der Verbindung vertraut. Ohne einen solchen Abgleich ist die ganze Verschlüsselung für die Katz.

    Zitat

    Original von hampelratte
    Mal eine andere Frage. Unterstützt eSVDRP auch mehrere Clients? Das wäre nämlich mal eine echte Verbesserung zu dem blockierenden SVDRP-Server.


    war zumindest in meiner gedankenwelt mal vorgesehen. hab aber noch keine implementierung dafür im kopf. mal sehn kommt bestimmt.


    Zu der SSL geschichte:
    Das tool steht ja noch voll am anfang und sollte als Lösung gedacht sein einfach und ohne viel Aufwand (auch auf Programmiererseite) eine verschlüsselte svdrp-verbindung herzustellen. Ich schließe nicht aus das SSL irgendwann einmal gehen wird in welcher form auch immer.

    DES != sicher


    just my two cents



    PS mit einem ssh tunnel ist es deutlich sicherer und total einfach :)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden