Ein provider-blinder Zero-Knowledge-Tunnel — akademisches Testbett & Produkt
Hinweis: Die verlinkte Bachelorarbeit sowie große Teile dieses Projekts wurden
mit Unterstützung eines Large Language Models (LLM) generiert. Inhalte, Zahlen und
Formulierungen sind entsprechend kritisch zu prüfen.
Worum geht es?
claude-tunnel baut einen Tunnel, bei dem der Betreiber der Vermittlungsinfrastruktur
(„Plane“) die transportierten Nutzdaten nicht lesen kann. Die Nutzlast bleibt Ende-zu-Ende
verschlüsselt (Noise_IK); die Plane sieht nur Routing- und Abrechnungs-Metadaten.
Mesh Plane: Routing über ein opakes Routing-Token — kein öffentlicher
Hostname, kein SNI. Es gibt bewusst nichts, das eine öffentliche CA zertifizieren müsste.
Browser Plane: öffentlicher Hostname per SNI-Passthrough — TLS terminiert
am Origin (nicht an der Plane), sodass ein Browser eine ganz normale HTTPS-Seite durch den Tunnel lädt.
Universal :443: alles über Port 443 multiplext, damit der Tunnel auch aus
restriktiven Netzen erreichbar bleibt.
Diese Seite selbst wird über einen Demo-Tunnel (Browser Plane) ausgeliefert und mit einem
öffentlich vertrauenswürdigen Zertifikat (Let's Encrypt) am Origin terminiert.