Postings zum Schlagwort 'Digitale Zertifikate', nach dem Erstelldatum sortiert in absteigender Reihenfolge. Letzte Postings angezeigt.

'Machst Du noch PKI?'

(elkement. Erstellt: 2016-07-06. Tags: Ankündigungen, Arbeit, Digitale Zertifikate, Elke Stangl, Internet Of Things, IT-Sicherheit, IT Security, PKI, X.509. Englische Version.)

Seit 2012 gab's hier PKI-Status-Updates - Versuche, die Frage zu beantworten: 'Machst Du noch PKI?' (oder IT). Die Antworten waren nicht immer konsistent und eindeutig; ich war in einem Schrödingers-Katze-artigen Überlappungszustand verschiedener beruflicher Identitäten.

Ich bekomme immer noch solche Fragen und die Wellenfunktion ist immer noch nicht kollabiert. Da ich den Zustand sehr angenehm finde, wird die Superposition auch noch länger bestehen. Trotzdem ist meine Antwort meistens Nein.

Also: Ich arbeite immer noch 'mit IT' und 'mit Security', aber nicht unbedingt 'in der IT'.

Ich unterstütze einige Langzeitkunden mit ihren Windows-PKI-Umgebungen und bei Problemen mit X.509-Zertifikaten (nachdem ich das über 10 Jahre nur das gemacht habe.) Das sind die Kunden, die sich auch von meinen anderen Aktivitäten nicht abschrecken lassen und mit denen die Zusammenarbeit schon ewig formlos und freundschaftlich funktioniert.

Aber ich habe nicht mehr diese Insider-Verbindungen zu PKI-Software-Herstellern und ich kenne die Liste der letzten Bugs und Probleme nicht mehr auswendig. Somit präsentiere ich mich nicht als 'Windows-PKI-Berater' und ich lehne vor allem Anfragen von Security-Firmen ab, die einen Consultant suchen, um ein Projekt anbieten zu können. Ich beantworte keine Ausschreibungen für PKI oder Identity Management und ich biete keine 'Lösungen' an - im Wettbewerb mit anderen Firmen, die eigene Mitarbeiter für Business Development haben. Ich entwickle auch keine 'Software-Lösungen' mehr.

Ich arbeite mit IT (statt in der IT) - fast wie vor über 20 Jahren: Als angewandter Physiker bin ich zur IT gekommen, weil man in der Experimentalphysik hauptsächlich einmal die Hardware zum Laufen bringen muss und viel Zeit in Anlagenprogrammierung und Messdatenauswertung investiert. Heute nenne ich mich unsere 'Theoretische Abteilung' und entwickle Software für unsere Messdatenauswertung. Ein typisches aktuelles Beispiel: Mit einem Raspberry Pi Daten vom internen CAN-Bus einer Wärmepumpe auslesen.

Wenn jemand daher 'einen PKI-Consultant' sucht, bin ich die Falsche. Sollte aber jemand meinen Lebenslauf finden und meine Geschichte mitbekommen und sich dadurch nicht abgeschreckt fühlen - dann überlege ich!

Vielleicht sollte man gar nicht versuchen, zu viel zu rationalisieren. Ich entscheide intuitiv - unser 'Ingenieursbusiness' hat mich geprägt: Unsere Kunden finden als Erstes immer das 'Business-Blog', das on Bekannten auch als privates Spaßblog erkannt wurde. Potentielle Kunden werden davon entweder abgeschreckt oder sie kontaktieren uns gerade deswegen. Und nichts ist so eine perfekte Basis für eine gute Zusammenarbeit wie der gleiche Sinn für Humor. Immer wenn eine Anfrage kommt, die nicht schon vorher durch den Schräge-Websites-Filter ging, versuche ich sinngemäß den gleichen Spirit anzuwenden. Vor vielen Jahren hatte mich ein neuer Kollege beim Kick-Off-Meeting im Projekt freudig vor allen Anderen begrüßt mit: Sie sind das subversive Element, oder? Das ist in etwa der Spirit, den ich suche!

Digitale Zertifikate und Wärmepumpen ...

(elkement. Erstellt: 2014-08-04. Tags: Technologie, Engineering, Digitale Zertifikate, Wärmepumpe. Englische Version.)

... auf den ersten Blick eine überraschende Kombination.

Aber alles zu kombinieren ist meine Spezialität. IT-Sicherheit, Physik und bodenständige Ingenieursarbeit hängen für mich auf vielfältige Weise zusammen - nicht nur bedingt durch meinen beruflichen Lebenslauf.

Die Kommunikation zwischen den Geräten, die das Internet der Dinge bilden, sollte abgesichert werden, Publicy Key Infrastructures könnten dafür X.509-Zertifikate liefern.

Physik ist einerseits die Basis von Ingenieursanwendungen; andererseits werden die mathematischen Modelle und der typische 'Physiker-Ansatz' auf viele Arten komplexer Systeme angewendet. Es steckt mehr als ein Korn Wahrheit in dieser satirischen Betrachtung der Beziehungen zwischen Feynman-Diagrammen, Zertifikatspfaden, und hydraulischen Schaltungen.

Aber eigentlich steht die spielerische Erforschung von Systemen im Vordergrund: Wie verwenden Anwendungen und Systeme Zertifikate? Wie lassen sich die Sicherheitsmaßnahmen umgehen? Wie lässt sich eine technische Lösung mit möglichst wenig Aufwand realisieren? Wie baue ich ein System aus Standardkomponenten? Wie simuliere ich ein System realitätsnah mit 'Standard-Software'?

Häufige PKI-Probleme

(elkement. Zuletzt geändert: 2014-03-14. Erstellt: 2014-03-14. Tags: PKI, Public Key Infrastructure, IT, IT-Sicherheit, Kryptografie, Digitale Zertifikate, Sperrlisten)

Man soll ja in Lösungen denken, nicht in Problemen. Es liegt nur in der Natur der Sache meiner Geschichte als 'Troubleshooter', dass ich zuerst PKI-Probleme sehe und dann Lösungen dazu. Dazu kommt, dass PKI und Zertifikate oft als Security-Allzweckwunderwaffe präsentiert werden - auch wenn es alternative und einfach zu verwaltende Lösungen gäbe.

Ich habe dazu zwei Blog-Postings geschrieben, ursprünglich inspiriert von Peter Gutmann's Buchentwurf Engineering Security:

Nach meiner Erfahrung gehen oft die einfachsten Dinge schief, wie die Planung des Publikation einer Sperrliste, im Gegensatz zu den Risiken die vorher diskutiert wurden: Unsichere Hashalgorithmen, NSA, böse Hacker.

Der / die PKI-Standards lassen Vieles offen (MAY), was dazu führt, dass Applikationen mit Zertifikaten und Sperrlisten machen, was sie wollen. Zertifikate werden fast eher wie irgendeine Datei mit strukturierten Inhalten betrachtet - die dann auch noch zufällig signiert ist. Meine 'Favorites' sind embedded Systeme und 'Boxen' aller Art, die - beispielsweise -

  • als SSL-Zertifikat ein Zertifikat nutzen, das auch ein CA-Zertifikat (Certification Authority) ist und außerdem auf allen Geräten der Baureihe das gleiche.
  • mit einer CA-Hierarchie nicht umgehen können, was Workaorunds erfordert wie den Hashwert der Root-CA dort einzutragen, wo logischerweise der der Issuing CA zu erwarten wäre oder umgekehrt.
  • die ein schwerwiegendes Problem mit 'erneuerten CAs' haben, d.h. mit zwei CA-Zertifikaten mit gleichem Subject Common Name aber unterschiedlichem Schlüssel in einem CA-Store.

Das solle nicht zu negativ werden - in The Strange World of PKI versuche ich auch Ansätze zu beschreiben, die funktionieren. Mir geht es vor allem um so genannte 'Infrastructure PKIs' (OK, eine unglückliche Wortschöpfung) oder Device-PKIs.

Sbg Liebesschloss2

Love Padlocks - 'Liebesschlösser' (Wikimedia), ein Trend der sich meme-artig auszubreiten scheint... und eine sehr poetische Metapher für Sicherheitssysteme, aus denen man sich ausgesperrt hat. In dem Fall absichtlich, da ein Paar gemeinsam ein Schloss anbringt und dann den Schlüssel wegwirft - in der Hoffnung auf ewige Liebe.

Persönliche Website von Elke Stangl, Zagersdorf, Österreich, c/o punktwissen.
elkement [ät] subversiv [dot] at.