Alle Postings (159)

2018

Pentesten lernen

Physik und Software-Stacks

Das erste Suchergebnis

Reverse Engineering

2017

Best of 2017

Fernprojekte

Computer, Informatik und IT

Physik - die Ernte!

Subversiv? Physik?

Meine Philosophie!

Scripts erzeugen Scripts

2016

Theoretische Physik als Hobby

Selbstbezügliche Poesie

Stille Website

'Machst Du noch PKI?'

Meine Philosophie (?)

Wie wirkt Physik?

2015 ist nicht viel passiert

2015

Unaussprechliches

Selbst-Poesie

Letztes Posting...

Web-Projekt: Status-Update

Wir unterbrechen ...

Unsere Photovoltaik-Anlage

Soziale Schulden

PKI-Status-Update

Leben und Arbeit

IT-Postings

Alte Weisheiten - neue Popularität

Definition: 'Subversiv'

2014 in Büchern

Zu den Wurzeln von radices

Physik-Postings

Physiker oder Ingenieur?

Ing.-Postings

Wirkliche Expertin

2014

2014 - ein gutes Jahr

Fast 20 Jahre danach

Ingenieurs-Links

Jahresansprache

Was ist Kunst?

Bio

PKI FAQ

Worte und Google

Zertifikate und Wärmepumpen

Technet-Postings

WOP!

Leben, das Universum und überhaupt alles.

Oh-oh, kein Posting im März

Radices = Wurzeln = Roots

PKI-Probleme

PKI Ressourcen

PKI-Probleme

Arbeit

Schreiben

Was ist PKI?

Ich stehe auf den Schultern subversiver Giganten

PKI - Netzwerke - Smart Grid

Suchbegriffspoesie

Quantenfeldtheorie

Plattform für Poeten

2013 in Büchern

2013

Nutzbar machen, erklären, beurteilen

Lebensform Elke Stangl

Technologie

Was fasziniert mich an der Physik?

Naturphilosophische Praxis?

elkement and diese Site

Sind Netzwerke sozial?

Retrospektion

Newsletter-Wiederbelebung

Wilhelm Macke: Internet-Spuren

2012

Gratis, umsonst und nutzlos

Subversiver Jahresbericht

Was ist Energie?

Prof. Wilhelm Macke

Mein Leben ist ein Klischee(?)

Netzwerke (Kategorie)

Wissenschaft - Kindheitsmelodie

Freude am Klischeé

Möchtegern-Netizen

Der tägliche Untergrund

Parawissenschaften - Resümee

Profil

Parawissenschaft - Bücher

Das Element ist zurück!

Offline

PKI: Zwischenstand

2011

Warteschleife

Naturwissenschaft - Arbeitswelt

Nicht originell

Das ganze Internet...

Experte

Kurz vor einem Neubeginn

Die rote Pille

Erkenntnis

2008

Netizen (2)

2007

Das Ende

Früher einmal...

2006

Netzwerktheorie

2005

Tsunami-Physik

Nullpunktsenergie

Nr.9 - Krypton

radices.net - Internet

Hier ist der Ausgang

Element-Art

Skeptizismus und Esoterik

Der totale Spielraum

Nr.8 - Brave New Online World

Nr.7 - Wer ist DAS Element?

Moderner Networker

Liebe zur Weisheit

EPSI-Kult

EPSI

Nr.6 - The Art of Networking

Unterteilung der Physik

Ich bin ein Dilettant!

Bewusstseinserweiternd

Was ist 'subversiv'?

(Para-)Wissenschaften global

Epigonen

2004

Nr.4,5 - Welcome

Beruf, Berufung, Interesse

Nr.4 - Selbstfindung

Subversiver Römer für die Sammlung

Existenz

Parawissenschaften

Nr. 3: Internet-Apocalypse

Skeptizismus

Meta-Gefasel

Keine Ahnung von Kunst

Ur-Fragen

Umsonst

Dejavu

Bewegungsgleichung

Bildungsideal

Physik repräsentiert...

Nr. 2: Primzahl

Nerd, Geek, Techie

Nr. 1 von mindestens 42

Subversiver Newsletter

Best of Log

Netizen

Magie der Deadlines.

2003

Anstelle eines Lebenslaufes

Was ist Wissenschaft?

Captain Kirk's Lieblingsbefehl

Wissensmanagement

Keine Navigation

radices.net - Geschichte

Bücher: Meine Favoriten

2002

Elke war da

2000

Pinkes Raumschiff

1998

Worte

Goldene Talente

Lebensplanung oder Chaos

Wissenschaftliche (?) Laufbahn

1996

Rede zur Promotion

1987

Die 'heutige Jugend'

Postings zum Schlagwort 'Digitale Zertifikate', nach dem Erstelldatum sortiert in absteigender Reihenfolge. Alle Postings angezeigt.

Seit 2012 gab's hier PKI-Status-Updates - Versuche, die Frage zu beantworten: 'Machst Du noch PKI?' (oder IT). Die Antworten waren nicht immer konsistent und eindeutig; ich war in einem Schrödingers-Katze-artigen Überlappungszustand verschiedener beruflicher Identitäten.

Ich bekomme immer noch solche Fragen und die Wellenfunktion ist immer noch nicht kollabiert. Da ich den Zustand sehr angenehm finde, wird die Superposition auch noch länger bestehen. Trotzdem ist meine Antwort meistens Nein.

Also: Ich arbeite immer noch 'mit IT' und 'mit Security', aber nicht unbedingt 'in der IT'.

Ich unterstütze einige Langzeitkunden mit ihren Windows-PKI-Umgebungen und bei Problemen mit X.509-Zertifikaten (nachdem ich das über 10 Jahre nur das gemacht habe.) Das sind die Kunden, die sich auch von meinen anderen Aktivitäten nicht abschrecken lassen und mit denen die Zusammenarbeit schon ewig formlos und freundschaftlich funktioniert.

Aber ich habe nicht mehr diese Insider-Verbindungen zu PKI-Software-Herstellern und ich kenne die Liste der letzten Bugs und Probleme nicht mehr auswendig. Somit präsentiere ich mich nicht als 'Windows-PKI-Berater' und ich lehne vor allem Anfragen von Security-Firmen ab, die einen Consultant suchen, um ein Projekt anbieten zu können. Ich beantworte keine Ausschreibungen für PKI oder Identity Management und ich biete keine 'Lösungen' an - im Wettbewerb mit anderen Firmen, die eigene Mitarbeiter für Business Development haben. Ich entwickle auch keine 'Software-Lösungen' mehr.

Ich arbeite mit IT (statt in der IT) - fast wie vor über 20 Jahren: Als angewandter Physiker bin ich zur IT gekommen, weil man in der Experimentalphysik hauptsächlich einmal die Hardware zum Laufen bringen muss und viel Zeit in Anlagenprogrammierung und Messdatenauswertung investiert. Heute nenne ich mich unsere 'Theoretische Abteilung' und entwickle Software für unsere Messdatenauswertung. Ein typisches aktuelles Beispiel: Mit einem Raspberry Pi Daten vom internen CAN-Bus einer Wärmepumpe auslesen.

Wenn jemand daher 'einen PKI-Consultant' sucht, bin ich die Falsche. Sollte aber jemand meinen Lebenslauf finden und meine Geschichte mitbekommen und sich dadurch nicht abgeschreckt fühlen - dann überlege ich!

Vielleicht sollte man gar nicht versuchen, zu viel zu rationalisieren. Ich entscheide intuitiv - unser 'Ingenieursbusiness' hat mich geprägt: Unsere Kunden finden als Erstes immer das 'Business-Blog', das on Bekannten auch als privates Spaßblog erkannt wurde. Potentielle Kunden werden davon entweder abgeschreckt oder sie kontaktieren uns gerade deswegen. Und nichts ist so eine perfekte Basis für eine gute Zusammenarbeit wie der gleiche Sinn für Humor. Immer wenn eine Anfrage kommt, die nicht schon vorher durch den Schräge-Websites-Filter ging, versuche ich sinngemäß den gleichen Spirit anzuwenden. Vor vielen Jahren hatte mich ein neuer Kollege beim Kick-Off-Meeting im Projekt freudig vor allen Anderen begrüßt mit: Sie sind das subversive Element, oder? Das ist in etwa der Spirit, den ich suche!

... auf den ersten Blick eine überraschende Kombination.

Aber alles zu kombinieren ist meine Spezialität. IT-Sicherheit, Physik und bodenständige Ingenieursarbeit hängen für mich auf vielfältige Weise zusammen - nicht nur bedingt durch meinen beruflichen Lebenslauf.

Die Kommunikation zwischen den Geräten, die das Internet der Dinge bilden, sollte abgesichert werden, Publicy Key Infrastructures könnten dafür X.509-Zertifikate liefern.

Physik ist einerseits die Basis von Ingenieursanwendungen; andererseits werden die mathematischen Modelle und der typische 'Physiker-Ansatz' auf viele Arten komplexer Systeme angewendet. Es steckt mehr als ein Korn Wahrheit in dieser satirischen Betrachtung der Beziehungen zwischen Feynman-Diagrammen, Zertifikatspfaden, und hydraulischen Schaltungen.

Aber eigentlich steht die spielerische Erforschung von Systemen im Vordergrund: Wie verwenden Anwendungen und Systeme Zertifikate? Wie lassen sich die Sicherheitsmaßnahmen umgehen? Wie lässt sich eine technische Lösung mit möglichst wenig Aufwand realisieren? Wie baue ich ein System aus Standardkomponenten? Wie simuliere ich ein System realitätsnah mit 'Standard-Software'?

Man soll ja in Lösungen denken, nicht in Problemen. Es liegt nur in der Natur der Sache meiner Geschichte als 'Troubleshooter', dass ich zuerst PKI-Probleme sehe und dann Lösungen dazu. Dazu kommt, dass PKI und Zertifikate oft als Security-Allzweckwunderwaffe präsentiert werden - auch wenn es alternative und einfach zu verwaltende Lösungen gäbe.

Ich habe dazu zwei Blog-Postings geschrieben, ursprünglich inspiriert von Peter Gutmann's Buchentwurf Engineering Security:

Nach meiner Erfahrung gehen oft die einfachsten Dinge schief, wie die Planung des Publikation einer Sperrliste, im Gegensatz zu den Risiken die vorher diskutiert wurden: Unsichere Hashalgorithmen, NSA, böse Hacker.

Der / die PKI-Standards lassen Vieles offen (MAY), was dazu führt, dass Applikationen mit Zertifikaten und Sperrlisten machen, was sie wollen. Zertifikate werden fast eher wie irgendeine Datei mit strukturierten Inhalten betrachtet - die dann auch noch zufällig signiert ist. Meine 'Favorites' sind embedded Systeme und 'Boxen' aller Art, die - beispielsweise -

  • als SSL-Zertifikat ein Zertifikat nutzen, das auch ein CA-Zertifikat (Certification Authority) ist und außerdem auf allen Geräten der Baureihe das gleiche.
  • mit einer CA-Hierarchie nicht umgehen können, was Workaorunds erfordert wie den Hashwert der Root-CA dort einzutragen, wo logischerweise der der Issuing CA zu erwarten wäre oder umgekehrt.
  • die ein schwerwiegendes Problem mit 'erneuerten CAs' haben, d.h. mit zwei CA-Zertifikaten mit gleichem Subject Common Name aber unterschiedlichem Schlüssel in einem CA-Store.

Das solle nicht zu negativ werden - in The Strange World of PKI versuche ich auch Ansätze zu beschreiben, die funktionieren. Mir geht es vor allem um so genannte 'Infrastructure PKIs' (OK, eine unglückliche Wortschöpfung) oder Device-PKIs.

Sbg Liebesschloss2

Love Padlocks - 'Liebesschlösser' (Wikimedia), ein Trend der sich meme-artig auszubreiten scheint... und eine sehr poetische Metapher für Sicherheitssysteme, aus denen man sich ausgesperrt hat. In dem Fall absichtlich, da ein Paar gemeinsam ein Schloss anbringt und dann den Schlüssel wegwirft - in der Hoffnung auf ewige Liebe.

Persönliche Website von Elke Stangl, Zagersdorf, Österreich, c/o punktwissen.
elkement [ät] subversiv [dot] at. Kontakt