IMHO würde auch eine in der Netzwerktechnik gebräuchliche Absicherungsmethode (nur gegen unbemerkte Manipulation!) genügen:
Der MAC-Code (hat nichts mit Hardware MAC zu tun, sondern ist ein "Message Authentication Code", der schlicht aus einem HASH der Nachricht abgeleitet wird.
Dazu müssen beide Parteien (Sender und Empfänger) einen z.B. 32 Bit Schlüssel kennen, der z.B. im TF hinterlegt wird und im Programm benutzt wird.
Das Programm (der Dämon in diesem Fall) berechnet für jedes gesendete Paket die Prüfsumme und hängt diese als MAC an die Payload an.
Der Parser beim Empfänger macht das auch und vergleicht mit dem empfangenen MAC.
Passt er, wird gearbeitet, passt er nicht, geht das Paket ohne viel "Federlesens" in die ewigen Jagdgründe...
Ist ein symmetrisches Verfahren mit beherrschbaren Aufwänden und verlangt halt nach Einbringen des Schlüssels (für das XOR mit dem Basis-Hash (einer aus AES/MD5/SHA/...)) auf beiden Seiten.
Aber auch nicht zwingend, denn viele Nullen sind schon fast ein wenig eine Eins ;-)
Wenn der Defaultschlüssel binär 0 (z.B. 32 Bit) beträgt, ergibt ein XOR damit einfach den mit dem vereinbarten Verfahren ermittelten HASH. Und der ist ziemlich eindeutig.
Und er reicht als MAC in der Regel schon dicke aus, um gegen Übertragungsprobleme und "Möchtegern Hacker" zu schützen...
Dafür gibt es eine zuverlässige Ausscheidung von "Ramsch" und transportiert keine Passwörter im Klartext in der Gegend umeinander.
Bei erhöhtem Aufkommen von Paranoia kann auch "a grain of Salt" hinzugefügt werden.
Ich denke, dass die Authentifikation der "guten" Pakete in jedem Fall (jedenfalls bei allen mir derzeit einfallenden Anwendungen der TF-Module) ausreichend sein sollte.
Damit wäre auch das Port-Forwarding ausreichend und mithin so alles, was sich halbwegs aktuell heute als Router bezeichnet, nutzbar.
Einer späteren Ausweitung auf bestimmte Teile der Informationen oder gar der gesamten Nachricht als Verschlüsselungslösung sollte damit auch (außer Speicher und/oder Prozessor) nichts im Wege stehen.
Dietmar