Öffentlichkeit

Warum Deep-Packet-Inspection eine ganz schlechte Idee ist

Die FAZ macht jetzt wohl redaktionelle Werbung und promotet den Deep-Packet-Inspection-Anbieter Ipoque, der gerne seine Dienstleistungen an deutsche Provider verkaufen will: Verlockender Blick ins Datenpaket. Der Zusatznutzen wird sofort mit erklärt: Damit kann man besser gegen Tauschbörsen & Co vorgehen. Etwas lachen musste ich über das folgende Zitat, was sehr anschaulich beschreibt, warum man das gerade nicht will:


netzpolitik.org - unabhängig & kritisch dank Euch.

Den Vergleich mit einem stieläugigen Postboten, der Briefe öffnet und dann je nach Inhalt schnell, langsam oder gar nicht transportiert, weist Mochalski zurück. „Diese Analogien sind immer ungenau. DPI ist nur eine Basistechnologie für verschiedene Anwendungen“, beschwichtigt er. Gefunden werde nur genau das, wonach jemand aktiv sucht: etwa das Wort Bombe in einer E-Mail – oder Skype, um einen Anruf über Internettelefonie als solchen zu erkennen.

Hintergrund bietet der Netzpolitik-Podcast 081 zu „Netzneutralität und Netzwerkmanagement„, sowie NetzpolitikTV 045 „David Reed über Deep Packet Inspection„.

12 Kommentare
  1. BombeBombeBombeBombeBombeBombeBombeBombeBombe
    BombeBombeBombeBombeBombeBombeBombeBombeBombe
    BombeBombeBombeBombeBombeBombeBombeBombeBombe
    BombeBombeBombeBombeBombeBombeBombeBombeBombe
    BombeBombeBombeBombeBombeBombeBombeBombeBombe
    BombeBombeBombeBombeBombeBombeBombeBombeBombe

    BombeBombeBombeBombeBombeBombeBombeBombeBombe
    BombeBombeBombeBombeBombeBombeBombeBombeBombe
    BombeBombeBombeBombeBombeBombeBombeBombeBombe
    BombeBombeBombeBombeBombeBombeBombeBombeBombe
    BombeBombeBombeBombeBombeBombeBombeBombeBombe
    BombeBombeBombeBombeBombeBombeBombeBombeBombe
    BombeBombeBombeBombeBombeBombeBombeBombeBombe
    BombeBombeBombeBombeBombeBombeBombeBombeBombe
    BombeBombeBombeBombeBombeBombeBombeBombeBombe
    BombeBombeBombeBombeBombeBombeBombeBombeBombe
    BombeBombeBombeBombeBombeBombeBombeBombeBombe
    BombeBombeBombeBombeBombeBombeBombeBombeBombe
    ;-)BombeBombeBombeBombeBombeBombeBombeBombeBombe
    BombeBombeBombeBombeBombeBombeBombeBombeBombe
    BombeBombeBombeBombeBombeBombeBombeBombeBombe
    BombeBombeBombeBombeBombeBombeBombeBombeBombe
    BombeBombeBombeBombeBombeBombeBombeBombeBombe
    BombeBombeBombeBombeBombeBombeBombeBombeBombe

  2. Wie, bloß weil jemand BOMBE schreibt, z.B. in einem Kommentar zur immer wieder beschworenen Gefahr von einem ATTENTAT – behauptet zumindest der INNENMINISTER, der glaubt ja eh, dass alle, die zu ALLAH beten, auf dem JIHAD sind, dann… äh… ups!

    BTW – passendes Captcha: the pitiful ;-))

  3. »…”monolog above” ist auch nen lustiges Captcha…«

    @Niu: Ich vermute ja, dass die Teile kontextsensitv generiert werden. Captchas, die aus scheinbar willkürlichen Buchstabenkombinationen bestehen, hab ich mal eine Zeit lang als Suchbegriff bei Google eingegeben. Bei de Ergebnissen kam mir manches Mal das Gruseln…

  4. Mir fehlen die Kenntnisse im Bereich Datenverschlüsselung, doch kann ich mir nicht vorstellen dass sich DPI so einfach lösen lässt wie es sich einer der Kommentatoren zum faz-Artikel erhofft.
    Kann der ISP nicht auch einfach die Schlüssel beim übertragen auslesen ?

    1. @Schtuef
      Dass ein ISP (Man-in-the-middle) nicht einfach den Schlüssel mitschneiden kann, ist ein wesentliches Feature funktionierender Kryptosysteme.
      Ein ISP könnte aber soweit gehen einfach ALLES, was er nicht versteht, weil es bspw. verschlüsselt ist, nicht durchzulassen.
      Ansonsten bietet Verschlüsselung schon das was man braucht, um sich gegen DPI zu wehren.

  5. @snuy
    „Ein ISP könnte aber soweit gehen einfach ALLES, was er nicht versteht, weil es bspw. verschlüsselt ist, nicht durchzulassen.“

    also auch zB https?

    1. Natürlich auch https. Wobei https ja noch viel simpler zu blocken ist als mit DPI. Hier könnte man einfach den entsprechenden Port oder aber das Protokoll blocken.
      DPI hat ja den Ansatz nicht nur die Paketköpfe, in denen das verwendete Protokoll steht, zu analysieren, sondern auch den Inhalt der Pakete.
      D.h. ein erster Schritt gegen DPI wäre bspw. einfach ein Protokoll wie z.B. http zu benutzen und so zu tun als würde man im Klartext senden. Eigentlich sind die Daten aber doch verschlüsselt. Das sind aber alles Dinge, die sich für den alltäglichen Gebrauch nicht durchsetzen werden, weil ein ISP natürlich auch auf sowas reagieren könnte, wenn es in großem Maße angewandt würde. Man sieht aber ganz gut, dass es mit ein bisschen technischem Verständnis und den bisherigen Technologien möglich sein wird digital zu kommunizieren und DPI dabei zu umgehen.

  6. Für einen ISP ist DPI nur interessant wenn er entweder zensieren will oder seine Infrastruktur unterdimensioniert ist. In beiden Fällen ist die Lösung den ISP zu wechseln.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.