Sicherheit & Verschlüsselung

MeshCore Verschlüsselung im Detail

Alles über AES-256-Verschlüsselung, PSK-Schlüsselverwaltung, das Sicherheitsmodell und kanalbasierte Verschlüsselung in MeshCore Mesh-Netzwerken

MeshCore entdecken → Weiterlesen

Wie MeshCore Ihre Daten schützt

MeshCore verwendet AES-256-Verschlüsselung, um Nachrichten zu sichern. Dies ist dieselbe militärische Verschlüsselung, die von Banken und Behörden verwendet wird. Jeder Kanal kann einen eigenen PSK (Pre-Shared Key) für private Kommunikation haben.

Das Sicherheitsmodell von MeshCore basiert auf symmetrischer Verschlüsselung: Jeder mit dem PSK kann Nachrichten ver- und entschlüsseln. Dies ist einfach aber effektiv für Mesh-Netzwerke mit einer geschlossenen Gruppe.

In diesem technischen Leitfaden erklären wir, wie die Verschlüsselung funktioniert, wie Sie Schlüssel verwalten, welche Sicherheitsmaßnahmen existieren und welche Einschränkungen es gibt. Für alle kryptografischen Details empfehlen wir die Seite MeshCore Verschlüsselung im Detail.

Sicherheitsebenen in MeshCore

🔐

Kanal-Verschlüsselung (AES-256)

Jeder Kanal kann mit einem PSK verschlüsselt werden. Nachrichten werden verschlüsselt, bevor sie über Funk gesendet werden. Nur Nodes mit dem richtigen PSK können mitlesen.

🔑

Geräte-Schlüssel

Jedes Gerät hat einen einzigartigen Geräteschlüssel für Admin-Funktionen. Dies verhindert, dass beliebige Personen Ihren Node umkonfigurieren können, selbst auf einem öffentlichen Kanal.

🛡️

Admin-Kanal-Sicherheit

Admin-Kanäle haben immer einen separaten PSK. Fernkonfiguration ist nur für autorisierte Nodes mit dem Admin-Schlüssel möglich.

AES-256-CTR Verschlüsselung

MeshCore verwendet AES-256 im CTR-Modus (Counter Mode). Dies ist eine Stream-Cipher, die effizient auf stromsparenden Embedded-Geräten funktioniert. Jedes Paket erhält einen einzigartigen Counter-Wert als Initialization Vector (IV).

Verschlüsselungsprozess:
1. PSK (256-bit) + Paket-Counter (IV) → AES-CTR
2. Klartext-Payload XOR verschlüsselter Stream → Ciphertext
3. Ciphertext + Counter werden über Funk gesendet
4. Empfänger: AES-CTR-Entschlüsselung mit gleichem PSK + Counter → Klartext

Der Vorteil des CTR-Modus ist, dass Ver- und Entschlüsselung dieselbe Operation sind (XOR). Dies ist schnell auf ESP32-Chips mit Hardware-AES-Beschleunigung. Der 256-Bit-Schlüssel ist extrem schwer per Brute-Force zu knacken (würde Milliarden Jahre dauern).

PSK-Schlüsselverwaltung

Schlüsselgenerierung

PSKs sind 256-Bit (32 Bytes) Zufallsschlüssel. Normalerweise als Base64 oder Hex-String dargestellt. Generieren Sie Schlüssel mit einem kryptografisch sicheren Zufallsgenerator, nicht "password123"!

Schlüsselverteilung

PSKs müssen sicher mit Gruppenmitgliedern geteilt werden. Per QR-Code, USB-Konfiguration oder über einen sicheren Kanal. Senden Sie niemals Schlüssel über unverschlüsselten Funk oder öffentliches Internet.

Schlüsselrotation

Wechseln Sie PSKs regelmäßig als Sicherheits-Best-Practice. Besonders wenn Gruppenmitglieder ausscheiden. MeshCore unterstützt mehrere Schlüssel gleichzeitig für einen reibungslosen Übergang.

Standard-Schlüssel

Der Primärkanal hat oft keinen PSK (öffentlich). Sekundärkanäle verwenden meist eigene PSKs. Es gibt einen Standard-Schlüssel "AQ==", aber der ist unsicher, weil ihn jeder kennt!

Technische Spezifikationen

Parameter Wert Beschreibung
Verschlüsselungsalgorithmus AES-256-CTR Advanced Encryption Standard, 256-Bit-Schlüssel, Counter-Modus
Schlüssellänge 256 Bits (32 Bytes) Militärisches Sicherheitsniveau
IV (Initialization Vector) Paket-Counter Einzigartiger Wert pro Paket, verhindert Replay-Angriffe
Hardware-Beschleunigung Ja (ESP32) ESP32 hat Hardware-AES für schnelle Ver-/Entschlüsselung
Performance-Einfluss <1 ms pro Paket Vernachlässigbarer Overhead dank Hardware-AES
Forward Secrecy Nein Symmetrischer Schlüssel, kein PFS wie bei TLS

Vorteile der MeshCore-Verschlüsselung

🔒

Militärische Sicherheit

AES-256 ist von der NSA für streng geheime Dokumente zugelassen. Mit heutigen Computern praktisch unknackbar.

Effizient auf Embedded Hardware

Hardware-AES auf ESP32 macht die Verschlüsselung superschnell (<1 ms). Kein merklicher Einfluss auf Batterielaufzeit oder Latenz.

🔀

Individuelle Kanalschlüssel

Jeder Kanal hat einen eigenen PSK. Verschiedene Sicherheitsstufen: öffentlicher Primärkanal, private Sekundärkanäle. Flexibel je nach Anwendungsfall.

🛠️

Einfach zu konfigurieren

PSK einrichten ist einfach: einen 32-Byte-Schlüssel eingeben und fertig. Kein komplexes Zertifikats-Management wie bei TLS/HTTPS.

📡

Transparent für Benutzer

Die Verschlüsselung erfolgt automatisch. Benutzer bemerken nichts vom Ver-/Entschlüsselungsprozess. Nachrichten sind einfach lesbar in der App.

🔐

Admin-Kanal-Schutz

Admin-Funktionen sind immer verschlüsselt. Verhindert, dass Angreifer Ihren Node übernehmen oder über Funk umkonfigurieren können.

Häufig gestellte Fragen

Sind alle Nachrichten in MeshCore verschlüsselt?

Nein, nur Nachrichten auf Kanälen mit PSK sind verschlüsselt. Der Primärkanal ist oft öffentlich (kein PSK) für allgemeine Kommunikation. Sekundärkanäle können Sie mit eigenem PSK privat machen. Sie entscheiden pro Kanal, ob die Verschlüsselung aktiv ist.

Kann jemand meine Nachrichten abfangen und lesen?

Auf öffentlichen Kanälen ohne PSK: Ja, jeder mit einem MeshCore-Node kann mitlesen. Auf verschlüsselten Kanälen: Nein, nur Personen mit dem PSK können entschlüsseln. LoRa-Funk ist Broadcast, daher ist Verschlüsselung essentiell für Privatsphäre.

Wie sicher ist AES-256-Verschlüsselung wirklich?

AES-256 ist extrem sicher. Mit heutigen Computern würde es Milliarden Jahre dauern, einen Schlüssel per Brute-Force zu knacken. Es wird für klassifizierte Regierungsdaten verwendet. Wenn Ihr PSK geheim bleibt, sind Ihre Nachrichten praktisch unknackbar.

Was passiert, wenn jemand meinen PSK erfährt?

Dann kann diese Person alle Nachrichten lesen und senden auf diesem Kanal. Das ist der Nachteil symmetrischer Verschlüsselung. Wechseln Sie sofort den PSK, wenn Sie vermuten, dass der Schlüssel kompromittiert wurde. Teilen Sie PSKs nur über sichere Kanäle (nicht per Funk!).

Unterstützt MeshCore Ende-zu-Ende-Verschlüsselung zwischen Einzelpersonen?

MeshCore bietet Kanal-Verschlüsselung, keine Ende-zu-Ende-Verschlüsselung pro Benutzer. Alle Nodes auf einem verschlüsselten Kanal können gegenseitig Nachrichten lesen. Für echte E2E müssten Sie eine zusätzliche Verschlüsselungsschicht aufbauen (möglich über Plugins).

Beeinflusst Verschlüsselung die Reichweite oder Batterielaufzeit?

Nein, vernachlässigbarer Einfluss. Hardware-AES auf ESP32 ist superschnell (<1 ms pro Nachricht). Sie bemerken keinen Unterschied bei Reichweite, Geschwindigkeit oder Batterielaufzeit zwischen verschlüsselten und unverschlüsselten Kanälen. Verschlüsselung ist praktisch kostenlos.

Sichern Sie Ihre MeshCore-Kommunikation

Bereit, ein verschlüsseltes Mesh-Netzwerk einzurichten? Wählen Sie Ihr Gerät und konfigurieren Sie private Kanäle mit AES-256-Verschlüsselung.

Geräte ansehen Mitmachen

Verwandte Artikel

Verschlüsselung & Sicherheit

Übersicht für Einsteiger

Weiterlesen →

MeshCore-Protokoll

Protokoll mit Verschlüsselung

Weiterlesen →

Datenschutzfreundlich

Privatsphäre durch Verschlüsselung

Weiterlesen →

Nachrichtenformate

Verschlüsselte Payloads

Weiterlesen →

Kanalkonfiguration

Verschlüsselte Kanäle

Weiterlesen →