Alle Postings (158)

2018

Physik und Software-Stacks

Das erste Suchergebnis

Reverse Engineering

2017

Best of 2017

Fernprojekte

Computer, Informatik und IT

Physik - die Ernte!

Subversiv? Physik?

Meine Philosophie!

Scripts erzeugen Scripts

2016

Theoretische Physik als Hobby

Selbstbezügliche Poesie

Stille Website

'Machst Du noch PKI?'

Meine Philosophie (?)

Wie wirkt Physik?

2015 ist nicht viel passiert

2015

Unaussprechliches

Selbst-Poesie

Letztes Posting...

Web-Projekt: Status-Update

Wir unterbrechen ...

Unsere Photovoltaik-Anlage

Soziale Schulden

PKI-Status-Update

Leben und Arbeit

IT-Postings

Alte Weisheiten - neue Popularität

Definition: 'Subversiv'

2014 in Büchern

Zu den Wurzeln von radices

Physik-Postings

Physiker oder Ingenieur?

Ing.-Postings

Wirkliche Expertin

2014

2014 - ein gutes Jahr

Fast 20 Jahre danach

Ingenieurs-Links

Jahresansprache

Was ist Kunst?

Bio

PKI FAQ

Worte und Google

Zertifikate und Wärmepumpen

Technet-Postings

WOP!

Leben, das Universum und überhaupt alles.

Oh-oh, kein Posting im März

Radices = Wurzeln = Roots

PKI-Probleme

PKI Ressourcen

PKI-Probleme

Arbeit

Schreiben

Was ist PKI?

Ich stehe auf den Schultern subversiver Giganten

PKI - Netzwerke - Smart Grid

Suchbegriffspoesie

Quantenfeldtheorie

Plattform für Poeten

2013 in Büchern

2013

Nutzbar machen, erklären, beurteilen

Lebensform Elke Stangl

Technologie

Was fasziniert mich an der Physik?

Naturphilosophische Praxis?

elkement and diese Site

Sind Netzwerke sozial?

Retrospektion

Newsletter-Wiederbelebung

Wilhelm Macke: Internet-Spuren

2012

Gratis, umsonst und nutzlos

Subversiver Jahresbericht

Was ist Energie?

Prof. Wilhelm Macke

Mein Leben ist ein Klischee(?)

Netzwerke (Kategorie)

Wissenschaft - Kindheitsmelodie

Freude am Klischeé

Möchtegern-Netizen

Der tägliche Untergrund

Parawissenschaften - Resümee

Profil

Parawissenschaft - Bücher

Das Element ist zurück!

Offline

PKI: Zwischenstand

2011

Warteschleife

Naturwissenschaft - Arbeitswelt

Nicht originell

Das ganze Internet...

Experte

Kurz vor einem Neubeginn

Die rote Pille

Erkenntnis

2008

Netizen (2)

2007

Das Ende

Früher einmal...

2006

Netzwerktheorie

2005

Tsunami-Physik

Nullpunktsenergie

Nr.9 - Krypton

radices.net - Internet

Hier ist der Ausgang

Element-Art

Skeptizismus und Esoterik

Der totale Spielraum

Nr.8 - Brave New Online World

Nr.7 - Wer ist DAS Element?

Moderner Networker

Liebe zur Weisheit

EPSI-Kult

EPSI

Nr.6 - The Art of Networking

Unterteilung der Physik

Ich bin ein Dilettant!

Bewusstseinserweiternd

Was ist 'subversiv'?

(Para-)Wissenschaften global

Epigonen

2004

Nr.4,5 - Welcome

Beruf, Berufung, Interesse

Nr.4 - Selbstfindung

Subversiver Römer für die Sammlung

Existenz

Parawissenschaften

Nr. 3: Internet-Apocalypse

Skeptizismus

Meta-Gefasel

Keine Ahnung von Kunst

Ur-Fragen

Umsonst

Dejavu

Bewegungsgleichung

Bildungsideal

Physik repräsentiert...

Nr. 2: Primzahl

Nerd, Geek, Techie

Nr. 1 von mindestens 42

Subversiver Newsletter

Best of Log

Netizen

Magie der Deadlines.

2003

Anstelle eines Lebenslaufes

Was ist Wissenschaft?

Captain Kirk's Lieblingsbefehl

Wissensmanagement

Keine Navigation

radices.net - Geschichte

Bücher: Meine Favoriten

2002

Elke war da

2000

Pinkes Raumschiff

1998

Worte

Goldene Talente

Lebensplanung oder Chaos

Wissenschaftliche (?) Laufbahn

1996

Rede zur Promotion

1987

Die 'heutige Jugend'

Postings zum Schlagwort 'Public Key Infrastructure', nach dem Erstelldatum sortiert in absteigender Reihenfolge. Alle Postings angezeigt.

Letztes Jahr startetet ich eine PKI-Nostalgie-Offensive, charakteristisch dafür z.B. dieses Blog-Postings. Zufälligerweise (?) gab es 2014 auch einige Migrationen (von Windows 2008 (R2) auf 2012 (R2)) bzw. 'PKI-Runderneuerungen'. Begleitend dazu: Meine Beteiligung am Microsoft-Technet-Security-Forum (bis Ende 2014) Schwerpunkt PKI. Jahrelang hatte ich so viele Informationen in Foren gefunden - Zeit auch einmal etwas beizutragen.

Aktuell unterstütze ich einige langjährige PKI-Stammkunden punktuell bei speziellen Fragen oder größeren Umstellungen. Mein Schwerpunkt hat sich noch stärker von der Microsoft-Welt und Microsoft-PKI verlagert zum Troubleshooten seltsamer Probleme mit Zertifikaten. Auf meinem Blog erstellte ich eine Überblicksseite zu allen PKI-Postings; schrittweise wurde daraus eine Liste von IT-Security-Postings, auf der auch (für mich nicht ganz unpeinliche) Anekdoten Platz fanden, wie:

Diese Seite hat immer noch /public-key-infrastructure/ im URL, heißt aber mittlerweile Monitoring, Control and IT Security. Entsprechend ändern sich auch langsam die Kategorien auf meinen diversen Websites. Der Schwerpunkt verlagert sich weiter in Richtung: Troubleshooting von Problemen mit Protokollen, Sicherheit und Netzwerken im 'Smart Home' - sofern auch eines meiner neuen Kernthemen betroffen ist, unser Wärmepumpensystem bzw. unsere bevorzugte Steuerung.

Seit meinem ersten Posting auf dieser 'PKI'-Seite hat - Trading in Heat Pumps for IT Security? Seriously? - hat es doch etwas länger gedauert bis zur vollständigen Umsetzung. Heute starte ich keine Projekte mehr mit neuen PKI-Kunden.

Aus diesem Posting:

So I had ended up in an obscure, but thought-after sub-branch of IT security. I have gone to great lengths in this blog to explain my transition from physics to IT. However, physics, science and engineering never vanished from my radar for opportunities.
...
It is all about systems, interfaces, and connections – not only in social media and IT, but also in building technology and engineering. Actually, all of that is converging onto one big ‘cloudy’ network (probably also subject to similar chaotic phenomena as the financial markets). I am determined to make some small contribution to that.

Also auf keinen Fall Inselthemen:

Ein einsames Schloss mit unebkanntem Zweck

Man soll ja in Lösungen denken, nicht in Problemen. Es liegt nur in der Natur der Sache meiner Geschichte als 'Troubleshooter', dass ich zuerst PKI-Probleme sehe und dann Lösungen dazu. Dazu kommt, dass PKI und Zertifikate oft als Security-Allzweckwunderwaffe präsentiert werden - auch wenn es alternative und einfach zu verwaltende Lösungen gäbe.

Ich habe dazu zwei Blog-Postings geschrieben, ursprünglich inspiriert von Peter Gutmann's Buchentwurf Engineering Security:

Nach meiner Erfahrung gehen oft die einfachsten Dinge schief, wie die Planung des Publikation einer Sperrliste, im Gegensatz zu den Risiken die vorher diskutiert wurden: Unsichere Hashalgorithmen, NSA, böse Hacker.

Der / die PKI-Standards lassen Vieles offen (MAY), was dazu führt, dass Applikationen mit Zertifikaten und Sperrlisten machen, was sie wollen. Zertifikate werden fast eher wie irgendeine Datei mit strukturierten Inhalten betrachtet - die dann auch noch zufällig signiert ist. Meine 'Favorites' sind embedded Systeme und 'Boxen' aller Art, die - beispielsweise -

  • als SSL-Zertifikat ein Zertifikat nutzen, das auch ein CA-Zertifikat (Certification Authority) ist und außerdem auf allen Geräten der Baureihe das gleiche.
  • mit einer CA-Hierarchie nicht umgehen können, was Workaorunds erfordert wie den Hashwert der Root-CA dort einzutragen, wo logischerweise der der Issuing CA zu erwarten wäre oder umgekehrt.
  • die ein schwerwiegendes Problem mit 'erneuerten CAs' haben, d.h. mit zwei CA-Zertifikaten mit gleichem Subject Common Name aber unterschiedlichem Schlüssel in einem CA-Store.

Das solle nicht zu negativ werden - in The Strange World of PKI versuche ich auch Ansätze zu beschreiben, die funktionieren. Mir geht es vor allem um so genannte 'Infrastructure PKIs' (OK, eine unglückliche Wortschöpfung) oder Device-PKIs.

Sbg Liebesschloss2

Love Padlocks - 'Liebesschlösser' (Wikimedia), ein Trend der sich meme-artig auszubreiten scheint... und eine sehr poetische Metapher für Sicherheitssysteme, aus denen man sich ausgesperrt hat. In dem Fall absichtlich, da ein Paar gemeinsam ein Schloss anbringt und dann den Schlüssel wegwirft - in der Hoffnung auf ewige Liebe.

PKI: Links und Resourcen

(elkement. Zuletzt geändert: 2015-10-15. Erstellt: 2014-03-04. Tags: Ressourcen, Links, IT, PKI, Public Key Infrastructure, Sicherheit, X.509, Kryptografie. Englische Version.)

Hier habe ich ab 2014 wieder Links zu White Papers etc. gesammelt, die sich als nützlich erwiesen habe.

Da es sich ohnehin um eine Einbettung der Englischen Inhalte gehandelt hat, verweise ich ab jetzt direkt auf die Englische Version.

Es handelt sich nicht um einen Versuch einer möglichst optimalen Darstellung - ich füge hinzu, was ich gerade brauche!

X.509 Certificate

Was ist PKI?

(elkement. Erstellt: 2014-01-19. Tags: PKI, Public Key Infrastructure, IT-Sicherheit, IT Security, Kryptografie)

Eine Public Key Infrastructure ist ein Gesamtsystem, das das technische Abbild einer Vertrauensinfrastruktur darstellt. Mittels asymmetrischer Kryptographie wird ermöglicht, dass zwei 'Parteien', die einander nie persönlich treffen Informationen sicher austauschen können. Sicher bedeutet - ja nach Anwendung:

  • Authentifiziert, d.h. der Empfänger kann sicher sein, dass der Absender ist, wer er zu sein vorgibt.
  • Unter Beibehaltung der Integrität von Nachrichten, d.h. Manipulationen können festgestellt werden.
  • Verschlüsselt, d.h. nur der Empfänger kann die Nachricht lesen.

PKI ist mehr als ein 'Certificate Server' sondern beinhaltet auch:

  • Server auf denen Zertifikate von Zertifizierungsstellen und Sperrlisten veröffentlicht werden.
  • Clients und Applikationen, die Zertifikate selbst nutzen ('vorzeigen') oder prüfen ('validieren')
  • Organisatorische Prozesse für die Verteilung von Schlüsseln.

Trotz der Bedeutung von Kryptographie und der entsprechend korrekten Einschätzung der Stärke von Algorithmen und Schlüssellängen schlagen in der Realität oft sehr bodenständige Fehler zu und weniger die Hacker der NSA:

  • Dateien zur Validierung von Zertifikatspfaden müssen regelmäßig, aber in großen Zeitabständen veröffentlicht werden - eine organisatorische Herausforderung.
  • Anforderungen an maximale Sicherheit müssen mit Anforderungen bedingt durch Kompatibilität - Stichwort: 'kryptographisch dumme Geräte' - abgeglichen werden.

Von 2002 bis 2012 war ich spezialisiert auf das Thema 'Public Key Infrastructure' - die Absicherung von Netzwerken, Verschlüsselung und Signaturen mit digitalen Zertifikaten.

PKI, Netzwerksicherheit, Netzwerkstandards - das waren für mich persönliche jene Bereiche der IT, die meinen naturwissenschaftlichen Wurzeln am nächsten standen. Es geht um mathematische Algorithmen, aber auch um die Übersetzung vielfältigster (Kunden-)Anforderungen in ein technisches 'verzweigtes' System, das durch formale Regeln ('X.509-Standard') beschrieben wird.

Das Thema gilt als sehr speziell - was nur für den Kernbereich richtig ist. De facto ist man mit Schnittstellen (und deren Standard-Kompatibilität) beschäftigt.

 In der 'geekigen' PKI-Community fühlte ich mich auch jahrelang zuhause und anerkannt.

Trotzdem war der Wunsch irgendwann stärker, mich wieder einem Bereich zuzuwenden, der direkter mit angreifbarer Technik und physikalischen Grundlagen zu tun hat. Mitte 2012 tauschte ich daher PKI gegen Energietechnik - ein Neubeginn, aber auch eine Rückkehr zu den Wurzeln (radices).

Mit einem nebenberuflichen Studium zu erneuerbaren Energien und einer Diplomarbeit über Sicherheit im Smart Metering schließt sich der Kreis Mitte 2013 wieder.

Ich hatte zwar mit 2012 meinen Abgang aus der PKI-Community erklärt. Aufgrund der Anfragen langjähriger Kunden - aber vor allem aufgrund meines eigenen Interesses - lässt mich PKI nicht los. Ich erkläre daher 2014 zum Jahr, in dem das Motto meines Blogs - Theory and Practice of Trying to Combine Just Anything realisiert wird.

2013 habe ich mein Studium 'Nachhaltige Energiesysteme' mit einer Diplomarbeit zum Thema Smart Metering und Sicherheit abgeschlossen. PKI und Zertifikate spielen auch im intelligenten Stromnetz der Zukunft eine entscheidende Rolle.

Natürliche Schwimmbecken im Nordwesten Teneriffas, Buenavista del Norte. Zufällig gefunden, 2004.

Persönliche Website von Elke Stangl, Zagersdorf, Österreich, c/o punktwissen.
elkement [ät] subversiv [dot] at. Kontakt