On Thu, Dec 20, 2001 at 06:56:43PM +0100, Stefan Klein wrote: [...] > Sieht so aus als ob die ftp Verbindung tats�chlich verschl�sselt wurde, > ich bin aber immernoch ein wenig verwundert das man da nichts an der > Prozessorlast sieht, wobei nat�rlich 7 kb/s jetzt nicht so der riesen > Datenstrom ist. Du hast geschrieben, dass auf dem Gateway keine Prozessorlast zu sehen ist. Da soll ja auch nichts zu sehen sein, denn soweit ich IP-Sec verstanden habe, wird zwischen den beiden Endpunkten verschl�sselt und nicht zwischen den einzelnen Hops. Bei einer Verbindung Host A �ber Gateway G an Host B sieht G von der Verschl�sselung gar nichts, f�r G ist ein verschl�sseltes Packet nicht von einem normalen Packet zu unterscheiden. Es wird ein normales Packet von A nach B erzeugt, das einen unverschl�sselten Rahmen bekommt, den G lesen kann.
Idee ist ja, dass �ber ein unsicheres Netz (d. h. G ist unsicher) sicher Daten �bertragen werden k�nnen. Du kannst also nur A und B vertrauen, nicht den G's zwischen drin. Wenn jeder Hop ein einkommendes Packet entschl�sseln, lesen, verschl�sseln und weiter schicken w�rde, m��test Du jedem G vertrauen k�nnen. Wenn Du das aber k�nntest, br�uchtest Du kein IP-Sec. -- CU, Patrick. "Never run on auto-pilot" - The Pragmatic Programmer
msg16832/pgp00000.pgp
Description: PGP signature
