Seit Monaten sieht man auf heise online an der rechten Seite den Link zu einem Artikel namens “IPv6-Präfixe würfeln“. Dabei geht es darum, OpenWRT einen Teil des IPv6-Präfixes innerhalb gewisser Zeitspannen würfeln zu lassen, damit normale IPv6-Clients nicht nur die Interface-ID der Adresse per Privacy Extensions regelmäßig ändern, sondern auch die Subnetz-ID. Da diese Idee aber so gar keinen Vorteil für den Datenschutz mit sich bringt, möchte ich hier mal etwas dazu schreiben.
Obwohl ich es technisch natürlich interessant finde, dass man IPv6-Präfixe würfeln und verteilen kann, macht es aus Sicht des Datenschutzes (Privacy) keinen wirklich Sinn. Der heise online Artikel redet immerhin vom “Verschleiern” der IPv6-Adresse, was zumindest schon mal andeutet, dass es mehr eine zusätzliche Taktik als ein tatsächliches Verstecken des Users ist.
Hier ein paar Argumente
- Es trackt eh keiner rein über die IP-Adresse. Als erstes muss man eindeutig festhalten, dass man im Internet ohnehin nicht ernsthaft anhand einer IP-Adresse zurückverfolgt wird. Allein schon deswegen, weil es bei IPv4 und dem ganzen NAT sowieso nicht wirklich möglich ist. Getrackt wird über Fingerprints im Browser, JavaScript, Super-Cookies, oder was auch immer. Dabei erlangt man sogar eine extrem hohe Wiedererkennungsrate.
- Falls doch die IPv6-Adresse gespeichert wird, sind die Privacy Extensions gefragt, die immerhin einen Rechner innerhalb eines Präfixes “verstecken” können. Ein Rechner lässt sich zwar weiterhin innerhalb der Lifetime zurückverfolgen, aber diese Zeitspanne ist nun mal begrenzt. Die Privacy Extensions machen also durchaus Sinn, vor allem wenn sich die Interface-ID ansonsten nie ändern würde, was bei einem Wechsel des IPv6-Netzes ungünstig für die globale Zurückverfolgbarkeit wäre. Ergo ist der Rechner nicht eindeutig innerhalb eines Präfixes indentifizierbar.
- Das Subnetz innerhalb des Präfixes vom ISP zu würfeln bringt in jedem Fall gar nichts, da sich dadurch lediglich die Grenze zwischen “geroutetem Anteil” und “Endkunden Anteil” verschieben würde. Ob ein reiner IP-Tracker nun seine Grenze bei einem /64er Netz (tatsächliches Endkunden-Subnetz) oder bei einem /56 (klassisch vom ISP zugewiesener Präfix) zieht, spielt für ihn keine Rolle. Der normale Endkunde würde sowieso nie weitere Subnetze als das eine /64 im LAN/WLAN benutzen. Also wird ein IP-Tracker ohnehin den ISP-Anschluss (/56 oder /48) und nicht das Subnetz (/64) tracken.
- Auf der anderen Seite vom Pferd fallen leider die ISPs, die (analog zu IPv4) in regelmäßigen Abständen den kompletten IPv6-Präfix neu verteilen. Das sorgt in Verbindung mit den Privacy Extensions dann zwar dafür, dass die komplette IPv6-Adresse zufällig wirkt, hat aber einen Vorteil von IPv6 völlig außer Acht gelassen, nämlich die Möglichkeit einer festen Adressierung von Geräten bzw. eines möglichst statischen Routings. Da es ohnehin kaum einen Vorteil bringt, den Präfix neu zu würfeln (siehe 3.) hätte man zumindest ein Opt-Out schaffen können, damit der Kunde selbst wählen kann, ob er einen statischen oder einen dynamischen IPv6-Präfix zugewiesen bekommt.
Fazit: Ein IPv6-Präfix lässt nur in etwa die gleichen Rückschlüsse auf den tatsächlichen Nutzer zurück wie eine geNATete IPv4-Adresse. Es wird nämlich nur der Anschluss identifiziert, nicht aber der Nutzer.
Wozu also den kleinen Teil des Subnetzes zusätzlich würfeln?
Noch ein paar Links
- IETF Draft: Privacy Considerations for IPv6 Address Generation Mechanisms
- RFC 5157: IPv6 Implications for Network Scanning
- Marc “van Hauser” Heuse: IPv6 Host Address Distribution (slide 68 ff.)
- Kaspersky Lab: Big Brotherhood: who tracks us on the Web
Featured image “Würfel in B/W” by Günter Hentschel is licensed under CC BY-ND 2.0.
zu 4)
1. Viele Kunden wolen daran glauben, dass der Provider sie dadurch schützt und verlangen das deswegen.
2. Der Provider kann statische Adressen als Feature verkaufen. Genau so wie eine statische IPv4 Adresse.