Become a Creator today!Start creating today - Share your story with the world!
Start for free
00:00:00
00:00:01
Secrets Not Included: Post-Quantum-Cryptography (PQC) - Jetzt schon?
13 Plays7 days ago
Quantencomputer sind nicht mehr bloß Theorie, dass verändert die Sicherheit unser Verschlüsselungsmethoden. Sollte jetzt schon etwas gemacht werden?
--
Ole ist Gründer der Moselwal Digitalagentur und Beschäftigt sich mit Hyperautomatisierurng (auch mit KI), Sicherheit und CMS.
Daniel ist Geschäftsführer der xebro GmbH und sein Schwerpunkt liegt auf PHP, Symfony, E Commerce, DevOps und AWS.
--
Recommended
Transcript
00:00:01
Kai Ole Hartwig
Neue Woche, neues Glück.
00:00:02
Kai Ole Hartwig
Herzlich willkommen wieder bei Secrets Not Included, wieder mit Daniel und Ole.
00:00:07
Kai Ole Hartwig
Diesmal schon die sechste Folge, Daniel.
00:00:11
Kai Ole Hartwig
Das ging schneller als erwartet, wenn ich ehrlich bin.
00:00:14
Daniel Langemann
Ja, und es hat mehr Spaß gemacht als erwartet.
00:00:17
Daniel Langemann
Die Folgen zeichnen sich echt fast von alleine auf.
00:00:18
Kai Ole Hartwig
Ja.
00:00:21
Kai Ole Hartwig
Ja, das ist jetzt ja, weil wir unsere KI-Agenten jetzt hier hinschicken, oder nicht?
00:00:26
Daniel Langemann
Genau, eigentlich sitzen wir gerade auf der Couch und der KI-Agent, der sich für mich ausgibt, macht gerade das Video und quatscht auch noch den Text.
00:00:33
Kai Ole Hartwig
Ja, selbstverständlich.
00:00:34
Kai Ole Hartwig
Wir haben natürlich das Skript vorher reingegeben und jetzt läuft das hier alles vollautomatisch ohne uns.
00:00:41
Kai Ole Hartwig
Das Schöne ist aber ja, dass unsere KI-Agenten zum Glück noch nicht so schlau sind, um Verschlüsselung zu brechen.
00:00:48
Kai Ole Hartwig
Aber damit kommen wir vielleicht bald hin, wenn wir den Quantencomputern geben.
00:00:53
Daniel Langemann
Das ist ein sehr interessantes Thema.
00:00:57
Daniel Langemann
Also Verschlüsselung generell, weil halt die meisten es nutzen, aber kaum wissen, wo sie es nutzen oder es ihnen überhaupt nicht auffällt, wo sie es nutzen.
00:01:06
Daniel Langemann
Mittlerweile HTTPS ist quasi Standard.
00:01:13
Daniel Langemann
Also, Browser zeigt das ja sogar schon an, wenn die Seite nicht mehr HTTPS hat.
00:01:13
Kai Ole Hartwig
Ja.
00:01:16
Daniel Langemann
Google wertet Seiten ab, auch wenn es in Anführungsstrichen nur ein Blog ist, also wo keine Sicherheits- oder Zahlungsdaten oder so rübergehen.
00:01:24
Daniel Langemann
Selbst die Sachen werden abgewertet.
00:01:25
Daniel Langemann
Und ich bin auch ehrlich, ich weiß gar nicht mehr, wann ich die letzte Seite eingerichtet habe, wo kein HTTPS mit dran ist.
00:01:31
Daniel Langemann
Aber ob es jetzt von AWS oder mit CertBot oder so, da kümmert man sich ja schon fast gar nicht mehr drum, weil es einfach Standard ist.
00:01:39
Kai Ole Hartwig
Genau, jetzt verkürzen sich ja auch in naher Zukunft die Lebensdauer der Zertifikate.
00:01:45
Daniel Langemann
Ja, auf drei Monate.
00:01:47
Kai Ole Hartwig
Ja, stufenweise auf drei Monate, nicht in einem Schritt.
00:01:50
Daniel Langemann
Genau, das Ziel sind drei Monate, wenn ich das richtig im Kopf habe.
00:01:52
Kai Ole Hartwig
Ja, und das betrifft ja erstmal die Transportschicht für den Webbrowser an sich.
00:02:01
Kai Ole Hartwig
So ganz primär, das heißt, alle drei Monate ändert sich da etwas.
00:02:06
Kai Ole Hartwig
Bedeutet aber auch, dadurch, dass sich die Zertifikate häufiger erneuern, erhöht sich am Tagesende die Sicherheit, weil die größte Sicherheitsgefahr sind langlebige Credentials, die nie geändert werden.
00:02:19
Kai Ole Hartwig
Gerade wenn wir auf Infrastruktur schauen und es ist gut, wenn sich Zertifikate jetzt häufiger ändern.
00:02:26
Kai Ole Hartwig
auch wenn man gerade bei LinkedIn wieder so ein bisschen Panikmache liest mit, ja, ihr müsst jetzt nochmal schnell euer Zertifikat erneuern, damit ihr noch eins bekommt, das ein Jahr lang gültig ist.
00:02:37
Daniel Langemann
Würde ich auch sagen, wenn ich die verkaufe.
00:02:37
Kai Ole Hartwig
Nein.
00:02:40
Kai Ole Hartwig
Ja, nein, falscher Schritt.
00:02:41
Kai Ole Hartwig
Ihr müsst das Erneuern automatisieren.
00:02:45
Kai Ole Hartwig
Ihr müsst eure Prozesse jetzt anpassen.
00:02:49
Kai Ole Hartwig
Und ja, wenn ihr das jetzt nicht hinbekommt, dass in vier Monaten alles cool ist,
00:02:57
Kai Ole Hartwig
dann kauft jetzt nochmal ein Zertifikat und erneuert das.
00:03:00
Kai Ole Hartwig
Aber viel spannender ist ja der Trend,
00:03:04
Kai Ole Hartwig
den wir jetzt sehen, dadurch, dass Quantencomputer in greifbare Nähe rücken, dass unsere klassischen Verschlüsselungsalgorithmen nicht mehr greifen.
00:03:13
Kai Ole Hartwig
Wenn wir auf den SSH-Key schauen, soll man der Schlange RSA nicht mehr einsetzen.
00:03:17
Kai Ole Hartwig
An anderen Stellen im TLS, also im HTTPS-Bereich, ist es auch schon länger deprecated und soll nicht mehr benutzt werden.
00:03:26
Kai Ole Hartwig
Manchmal sieht man das noch in freier Wildbahn, dass das trotzdem jemand supportet.
00:03:32
Kai Ole Hartwig
Aber eigentlich sterben ja so ein bisschen die unsicheren Algorithmen langsam wieder aus.
00:03:39
Kai Ole Hartwig
Aber wir werden sehen müssen, dass wir in nächster Zeit, in absehbarer Zeit, ein, zwei, drei Jahre, den Sprung dahin machen, dass alle Verbindungen quantensicher verschlüsselt sind.
00:03:55
Daniel Langemann
Warum?
00:03:56
Daniel Langemann
Also was ist der Hintergrund?
00:03:58
Daniel Langemann
Weil es gibt ja Verschlüsselungen, die werden unsicher und es gibt welche, die sind weniger unsicher oder werden weniger unsicher oder abgewertet, sage ich mal so.
00:04:09
Kai Ole Hartwig
genau das sind ja die zweite kategorie ist ja das was wir heute als sicher noch betrachten aber die reale gefahr sage ich mal ist du speicherst heute schon dinge und lässt sich später einfach entschlüsseln das heißt in dem bereich
00:04:26
Kai Ole Hartwig
wo wir mit kritischen Daten hantieren.
00:04:30
Kai Ole Hartwig
Also im E-Commerce wäre es so eine Kreditkarte, die ja auch eine gewisse Laufzeit an Gültigkeit einfach hat.
00:04:33
Daniel Langemann
Mhm.
00:04:39
Kai Ole Hartwig
wird es wichtig sein, möglichst schnell Algorithmen einzusetzen, die wirklich auch Postquanten-Kryptographie sicher sind.
00:04:47
Kai Ole Hartwig
Sprich, die auch ein Quantencomputer nicht entschlüsseln kann, weil wenn jemand diese Systeme einsetzen kann und das ist halt greifbar nah, dass es möglich ist, dann sind auch die Algorithmen entschlüsselbar, die wir heute noch als sicher betrachten.
00:05:03
Daniel Langemann
Ja.
00:05:03
Kai Ole Hartwig
Und gerade wenn wir auch auf IT-Infrastruktur jetzt wieder schauen, wir beide sollten schon lange keine RSA-SSH-Keys mehr einsetzen.
00:05:16
Kai Ole Hartwig
Und wir kennen ja auch alle die Mechanismen, wie man mittlerweile die Systeme konfigurt, dass die sagen, nee, also das ist jetzt zu alt, das machen wir nicht mehr.
00:05:26
Kai Ole Hartwig
Und das ist halt eigentlich der nächste logische Schritt, dass wir unsere SSH-Keys dann mal wieder nehmen und austauschen gegen neue.
00:05:34
Kai Ole Hartwig
Das macht eh Sinn, das regelmäßiger zu machen.
00:05:38
Kai Ole Hartwig
Und betrifft ja auch nicht nur SSH-Keys.
00:05:40
Kai Ole Hartwig
Wir haben ja noch viel mehr Stellen im Internet, die eigentlich relativ schlecht geschützt sind, wenn wir gerade mal auf E-Mails schauen.
00:05:47
Daniel Langemann
GPG-Käse.
00:05:48
Kai Ole Hartwig
E-Mails...
00:05:50
Kai Ole Hartwig
sind halt in 99,9% der Fälle, würde ich mal ganz frech behaupten, unverschlüsselt.
00:05:57
Kai Ole Hartwig
Also im Sinne von, okay, wir bauen zwar einen gesicherten Tunnel zwischen den Servern auf, der wird wieder mit TLS verschlüsselt, also das gleiche wie HTTPS, aber die E-Mail an sich ist halt nicht verschlüsselt.
00:06:12
Kai Ole Hartwig
Also bedeutet halt, wenn wir die Kommunikation
00:06:15
Kai Ole Hartwig
Sicherheiten wollen, zumindest mal, dass dieser Tunnel, den wir aufbauen, dass der nicht bröckelt und niemand reinkommt und irgendwie in fünf Jahren Betriebsgeheimnisse lesen kann.
00:06:30
Kai Ole Hartwig
Oder andere Informationen, die vielleicht einfach jetzt nicht an die Öffentlichkeit gelangen sollen.
00:06:33
Daniel Langemann
Ich finde, was auch immer untergeht bei dem Thema, ist nur nicht mal das Verschlüsseln, sondern gerade das Signieren finde ich sehr interessant von E-Mails, weil, und da habe ich schon öfter von gehört, dass Leute zum Beispiel Social Profiling betreiben,
00:06:48
Daniel Langemann
Und dann im Namen des Geschäftsführers eines Unternehmens an zum Beispiel die Buchhaltung schreiben mit, oh mein Gott, ich brauche unbedingt, mach mal 50.000 Euro auf das Konto.
00:06:59
Daniel Langemann
Und wenn das Unternehmen groß genug ist, dann ist das schnell durch.
00:07:02
Daniel Langemann
Und dafür sind zum Beispiel ja signierte E-Mails sehr gut, dass man sagen kann, guck mal, der Absender ist wirklich die Person.
00:07:09
Daniel Langemann
Gerade wenn du wichtig genug bist, finde ich das sogar fast interessanter oder wichtiger als Verschlüsseln im Sinne von Geheimhalten von der Infos, ne?
00:07:17
Kai Ole Hartwig
Ja, wir sind jetzt auf verschiedenen Ebenen unterwegs.
00:07:20
Kai Ole Hartwig
Ich sage jetzt mal die Transport-Ebene, dass die sicher bleibt.
00:07:23
Daniel Langemann
Mm.
00:07:23
Daniel Langemann
Mm.
00:07:24
Kai Ole Hartwig
Das wäre so, wo wir sagen, wir sollten schauen, dass wir da auf dem TLS-Protokoll möglichst sichere Algorithmen jetzt schon einsetzen und schauen, dass wir zukunftsfähig werden, dadurch, dass wir Updates machen, dass wir einfach unser OpenSSL updaten und dann schauen, dass wir das einrichten, dass die neuen Verschlüsselungsalgorithmen verwendet werden.
00:07:49
Kai Ole Hartwig
Die kommen nämlich jetzt so nach und nach, Schritt für Schritt.
00:07:52
Kai Ole Hartwig
Das ist nicht so, dass ich mich jetzt hinsetzen kann und sagen kann, naja, das läuft alles, wenn ich einfach ein Update mache.
00:07:57
Kai Ole Hartwig
Da sind wir noch nicht.
00:07:58
Kai Ole Hartwig
Aber wir sollten uns darauf vorbereiten.
00:08:00
Kai Ole Hartwig
Und dann natürlich der Punkt, zu validieren, wer schickt mir denn eigentlich diese Nachricht?
00:08:09
Kai Ole Hartwig
Und das fängt ja bei der Einrichtung der Mail-Systeme an.
00:08:12
Kai Ole Hartwig
Wenn du deine S-Einträge entsprechend setzt,
00:08:15
Kai Ole Hartwig
dann sollte dein System eigentlich eine E-Mail ablehnen, die nur ausgibt, von einer Person geschickt zu sein, die aber nicht vom richtigen Mail-Server kommt.
00:08:28
Daniel Langemann
Mhm.
00:08:30
Kai Ole Hartwig
Das ist so ein Ding, das sollte unbedingt so passieren.
00:08:33
Kai Ole Hartwig
Wenn du erstmal in dem System drin bist und Zugriff auf die E-Mail hast, dann ist es eh zu spät.
00:08:39
Kai Ole Hartwig
Aber dann natürlich signieren mit Zertifikaten, total schönes Thema.
00:08:43
Kai Ole Hartwig
Da ist dann aber auch wieder die Frage, wie bewahre ich denn das Zertifikat auf?
00:08:48
Kai Ole Hartwig
Habe ich das auf, ja, liegt mir das hier auf so einem schicken, warte mal, hier, Yubiki, hier habe ich gerade noch einen neuen.
00:08:58
Daniel Langemann
Ah, okay.
00:08:59
Daniel Langemann
Richtig.
00:09:00
Kai Ole Hartwig
habe ich das darauf abgelegt und musste eingesteckt sein, das unterstützen leider nicht mal alle Systeme, ja, also Apple Mail kommt damit gar nicht zugrecht, Apple möchte, dass das in die eigene Zertifikatsverwaltung übertragen wird, dass es funktioniert, das ist ein bisschen, finde ich, nicht cool, ich fände es cooler, wenn ich sagen kann, nein, das Zertifikat liegt da und wenn das halt nicht da ist, dann kannst du es halt nicht signieren, dann kannst du meinetwegen auch diese E-Mail nicht verschicken, ähm,
00:09:28
Kai Ole Hartwig
Aber das sind ja zwei Ebenen.
00:09:30
Kai Ole Hartwig
Also eine die Transport-Ebene sicher halten und dann das andere sicherstellen, das ist tatsächlich die Person, die mir schreibt.
00:09:37
Kai Ole Hartwig
Wie machst du das denn mit deinen Keys für das Signieren?
00:09:40
Kai Ole Hartwig
Oder signierst du deine E-Mails?
00:09:43
Daniel Langemann
Ich habe damit angefangen, habe es dann wieder sein lassen, weil genau aus dem Grund, das ist leider exotisch, also für uns ist das jetzt nett, wir richten das ein, kein Problem.
00:09:56
Daniel Langemann
Alle anderen Gesprächspartner sind, das hat kaum einer eingerichtet und
00:10:01
Daniel Langemann
Das macht dann mehr Probleme, als es hilft, beziehungsweise Rückfragen waren und so, was ist das, was bedeutet das, das kaut da welch da unten dran.
00:10:10
Daniel Langemann
Also das wurde dann wirklich als Signatur unten im Text mit eingefügt und den anderen Nutzern angezeigt und wenn du dann kein passendes Programm hast,
00:10:18
Daniel Langemann
und der andere auch gar nicht, also das verifiziert, dann bringt das auch nichts.
00:10:21
Kai Ole Hartwig
Ja.
00:10:25
Daniel Langemann
Also es ist schade.
00:10:27
Daniel Langemann
Ich habe es eine Zeit lang zum Beispiel mit einem guten Kumpel von mir gemacht, gerade weil es dann so um Buchhaltungssachen ging und so.
00:10:35
Daniel Langemann
Da habe ich ihm das auch eingerichtet und erklärt und es hat super funktioniert, weil mir das da wichtig war.
00:10:40
Daniel Langemann
Also genau dieses Beispiel mit, da geht es um Geld, um Rechnungen und, und, und.
00:10:45
Daniel Langemann
Und da habe ich dann gesagt, das möchte ich gerne so haben, aber ansonsten schwer einzurichten.
00:10:51
Daniel Langemann
Das ist halt wieder die Hürde für die Nutzer zu groß, um akzeptiert zu werden, leider.
00:10:57
Kai Ole Hartwig
Viele Unternehmen gehen ja hin und haben einen entsprechenden Proxy dafür.
00:11:02
Kai Ole Hartwig
Und leider sind die manchmal auch gegen alle Richtlinien, die es gibt, konfiguriert.
00:11:09
Kai Ole Hartwig
Ich hatte den Fall, ich habe meiner Krankenkasse eine E-Mail geschickt mit meiner Signatur.
00:11:13
Kai Ole Hartwig
Dann habe ich die automatisch verschlüsselt bekommen, die Antwort.
00:11:17
Kai Ole Hartwig
Was ich cool finde, das Problem war,
00:11:22
Kai Ole Hartwig
Der Schlüssel von denen war nach aktuell geltenden Standards nicht gültig, im Sinne von zu lange gültig.
00:11:28
Daniel Langemann
Ah.
00:11:28
Daniel Langemann
Mhm.
00:11:30
Kai Ole Hartwig
Und dann hat sich logischerweise, weil halt die Integrität nicht stimmte von diesem ganzen Ding, es halt auch geweigert ist zu entschlüsseln.
00:11:37
Kai Ole Hartwig
Völlig richtigerweise aus meiner Sicht.
00:11:41
Kai Ole Hartwig
Das endete nur dann in dieser Diskussion, nein, wir machen alles richtig.
00:11:46
Kai Ole Hartwig
Ja, weil dann, das hilft ja nichts, wenn du diese Nachrichten dann ja nicht lesen kannst, weil sie dir alles verschlüsselt schicken, automatisiert, dieser Schlüssel nicht gültig ist und du dann letztendlich die Richtlinien des BSI auch um die Ohren hauen musst, weil das ist ja das Einzige, worauf man in Deutschland achtet.
00:12:04
Kai Ole Hartwig
Man achtet ja nicht auf internationale Standards und sagen muss, nein, ihr müsst das anders machen.
00:12:09
Kai Ole Hartwig
Und das ist, finde ich, die
00:12:12
Kai Ole Hartwig
der viel größere Pain-Point, wenn ich das einrichte und jemand anderes hat das auch eingerichtet, dann finde ich das grundsätzlich gut, dann finde ich auch gut, wenn dann automatisch verschlüsselt wird.
00:12:21
Kai Ole Hartwig
Aber aus meiner Sicht muss natürlich jeder, der das einrichtet, gilt ja auch übrigens für alle Verschlüsselungsmöglichkeiten,
00:12:29
Kai Ole Hartwig
dafür sorgen, dass es nach dem aktuellen Stand der Technik ist.
00:12:32
Kai Ole Hartwig
Und das ist manchmal auch nicht die BSI-Richtlinie, sondern irgendwie die internationalen Standards.
00:12:32
Daniel Langemann
Ja.
00:12:36
Kai Ole Hartwig
Und wenn da halt drinsteht, das SSL-Zertifikat gilt nur noch drei Monate, dann ist das so.
00:12:46
Kai Ole Hartwig
Da kann das BSI meinetwegen schreiben, aber in Deutschland sollen das zwei Jahre sein.
00:12:51
Kai Ole Hartwig
das hilft keinem weiter, weil sich international an andere Dinge gehalten wird.
00:12:56
Kai Ole Hartwig
Und gerade bei öffentlichen Stellen, wir schreifen jetzt gerade ein bisschen ab, aber gerade bei öffentlichen Stellen, finde ich, ist es eigentlich wichtig, dass diese Dinge vollständig und richtig eingerichtet sind und auch funktional sind, in jedem Fall, dass es auch so ist, dass man es einfach benutzen kann.
00:13:17
Kai Ole Hartwig
Und
00:13:20
Kai Ole Hartwig
Jetzt muss man ja sagen, selbst IPv6 ist ja noch nicht überall angekommen.
00:13:24
Kai Ole Hartwig
Das ist aber ja wieder ein komplett anderes Thema, da reden wir glaube ich nochmal ein andermal drüber.
00:13:29
Daniel Langemann
Oh ja.
00:13:30
Daniel Langemann
Hmm.
00:13:31
Kai Ole Hartwig
Aber deswegen ist es wichtig, dass wir uns heute schon Gedanken um Übermorgen machen oder auch morgen mit Post-Quantum-Algorithmen, wo es halt einfach wichtig ist, sich den Plan zu machen, abzudaten und abzugraden.
00:13:47
Kai Ole Hartwig
Mal wirklich zu sagen, jetzt sind wir an dem Punkt, wir verarbeiten personenbezogene Daten, wir
00:13:54
Kai Ole Hartwig
selbst wenn es nur das Kontaktformular ist.
00:13:56
Kai Ole Hartwig
Wir wollen, dass das sicher zu uns übermittelt wird und die Dateneingabe sicher ist.
00:14:01
Kai Ole Hartwig
Das heißt, wir müssen uns damit beschäftigen, dass sich die Häufigkeit der Zertifikate verändert, dass wir andere Standards in den Verschlüsselungsalgorithmen unterstützen müssen.
00:14:12
Kai Ole Hartwig
Und die Standards werden jetzt halt heute
00:14:17
Kai Ole Hartwig
tatsächlich heute ja eingepflegt in die Repos aus Vanata alles rein und wir müssen den Upgrade Pfad dahin finden, dass wir auch die aktuelle Version von OpenSSL nutzen.
00:14:31
Daniel Langemann
Mhm.
00:14:32
Kai Ole Hartwig
Und das mal zumindest nach allem, was an Kommunikation nach außen läuft.
00:14:35
Kai Ole Hartwig
Wenn ich jetzt MTLS in meinem Cluster benutze, okay, da hat das vielleicht jetzt nicht die Top Priorität,
00:14:44
Kai Ole Hartwig
wenn dann überhaupt irgendeine Verschlüsselung genutzt wird.
00:14:47
Kai Ole Hartwig
Aber auch das für Entwickler bedeutet es letztendlich, dass in den nächsten Jahren
00:14:57
Kai Ole Hartwig
sage ich jetzt mal, definitiv so etwas mal wieder fällig wird wie neue SSH-Keys.
00:15:03
Kai Ole Hartwig
Dass sich die im DevOps-Bereich einfach mehr Automatisierung Richtung Zertifikate muss vorhanden sein.
00:15:11
Kai Ole Hartwig
Ja, wer das heute noch nicht hat, der muss jetzt hingehen und jemanden da dran setzen, der sich damit beschäftigt, dass das automatisiert wird.
00:15:24
Daniel Langemann
Ansonsten brauchst du nachher jemanden, der nur noch Zertifikate tauscht, im schlimmsten Fall.
00:15:28
Daniel Langemann
Ja.
00:15:29
Daniel Langemann
Ja.
00:15:30
Kai Ole Hartwig
Ja, genau.
00:15:30
Kai Ole Hartwig
Wenn du da reinrennst und manuell ständig Zertifikate tauschen möchtest oder musst, das möchtest du ja vielleicht noch nicht mal, dann hast du halt einfach ein Problem.
00:15:41
Kai Ole Hartwig
Weil wir kennen das alle, wenn das Zertifikat tauschen nicht automatisiert ist, wird es vergessen.
00:15:48
Kai Ole Hartwig
Oder dann läuft das Zertifikat an einem Sonntag ab,
00:15:52
Kai Ole Hartwig
So, das heißt, am Donnerstag vorher hätte es getauft sein müssen und so Scherze, weil wir kennen ja alle die Regeln, die dann da irgendwie greifen mit, ja, okay, freitags wollen wir das eigentlich nicht machen, weil es könnte ja was kaputt gehen.
00:16:03
Kai Ole Hartwig
Ich sage auch, ja, da muss man mehr automatisieren, mit mehr Fallbacks arbeiten, mit mehr Intelligenz in diesen, also Intelligenz in den Systemen arbeiten im Sinne von Fehlererkennung und Rollbacks automatisierten.
00:16:22
Kai Ole Hartwig
so und das ist halt einfach ein Weg, wo wir hin müssen, ja, das ist ja auch Tayscale jetzt als quasi ja WireGuard VPN für nicht nur SSH, aber auch da, ja, was durch OpenClaw jetzt ja irgendwie gerade bekannter wird, dass es das gibt, das sind ja alles so Ansätze, ja, auch da,
00:16:41
Daniel Langemann
Mhm.
00:16:46
Kai Ole Hartwig
muss das natürlich erstmal reinwandern in die Systeme.
00:16:49
Kai Ole Hartwig
WireGuard ist zum Beispiel einfach ein System, was Stand heute eben noch nicht Postquantenverschlüsselung in den Tunneln hat.
00:17:03
Kai Ole Hartwig
oder das halt noch nicht vollständig abgesichert ist.
00:17:06
Kai Ole Hartwig
Das heißt, das SSH an sich ist jetzt gerade mit OpenSSL sogar ein Schritt vorne, aber das ist ja auch die Grundlage dafür.
00:17:13
Kai Ole Hartwig
Also so muss man das auch sehen.
00:17:14
Daniel Langemann
Ja.
00:17:15
Kai Ole Hartwig
Also das heißt, wenn es in OpenSSL drin ist, dann kann es erst in die anderen Systeme reinwandern und da sind wir jetzt zum Glück bei OpenSSL.
00:17:24
Kai Ole Hartwig
An der Stelle, dass das jetzt reinwandert und wir halt auf absehbare Zeit das hoffentlich dann auch in allen anderen Tools sehen können,
00:17:31
Daniel Langemann
Du meinst damit andere Protokolle in OpenSSL oder basiert das, was du sagst, darauf, dass asymmetrische Verschlüsselung einfach zu einfach wird für Quantencomputer und symmetrische Verschlüsselung noch schwer genug bleibt, dass man erstmal den Transportkanal symmetrisch verschlüsselt?
00:17:54
Daniel Langemann
Mhm.
00:17:56
Kai Ole Hartwig
Das ist ja ein laufender Prozess.
00:17:58
Kai Ole Hartwig
Das wird ja in einer gewissen Übergangszeit wird es einfach mit Sicherheit ein Hybrid-Modell sein, wo ich jetzt die aktuellen Systeme unterstütze und schon die neuen Systeme.
00:18:10
Kai Ole Hartwig
Ja, weil auch natürlich muss dann mein Arbeitsrechner auch dieses neue Protokoll unterstützen.
00:18:15
Kai Ole Hartwig
Da muss auch die neue Software drauf laufen und so weiter und so fort.
00:18:19
Kai Ole Hartwig
Das heißt, wir werden halt sehen,
00:18:21
Kai Ole Hartwig
oder sehen müssen, wie bei vielen Migrationen in diesem Bereich.
00:18:27
Kai Ole Hartwig
Wir haben heute das eine Protokoll noch aktiv, weil wir gesagt haben, hier die alten RSA-basierten Sachen, die haben wir alle abgeschaltet.
00:18:39
Kai Ole Hartwig
Und da wird dann jetzt wieder ein zweites dazukommen, genauso wie bei dem letzten Switch auf sichere Protokolle, wenn wir halt einige Zeit haben, wo wir zwei verschiedene
00:18:52
Kai Ole Hartwig
Verschlüsselungsalgorithmen in den Protokollen unterstützen und auf den baut, auf OpenSSL baut er einfach sehr, sehr viel auf.
00:19:00
Kai Ole Hartwig
Wenn das das unterstützt, dann werden es auch viele andere zügig unterstützen können, weil es einfach darauf aufbaut und bedeutet halt,
00:19:00
Daniel Langemann
Mhm.
00:19:11
Kai Ole Hartwig
Schlüssel tauschen, Zertifikate erneuern, neue Versionen installieren, Konfigurationen anpassen, dass das genutzt wird, um auch mal kleine Teststrecken zu bauen.
00:19:22
Kai Ole Hartwig
Wie funktioniert das denn?
00:19:23
Kai Ole Hartwig
Funktioniert das bei uns tatsächlich oder rennen wir in Schwierigkeiten rein?
00:19:30
Kai Ole Hartwig
Haben wir irgendwo einen Proxy, der das verhindert?
00:19:34
Daniel Langemann
Aber das bedeutet eigentlich für mich als Entwickler weniger Arbeit, oder?
00:19:38
Daniel Langemann
Weil ich gehe immer davon aus, dass egal ob ich jetzt einen V-Server habe, Docker-Container, irgendwas hoste, da sind Bibliotheken drauf und solange die jetzt nicht die nächsten zehn Jahre nicht aktualisiert wurden, also ich unterstelle jedem, dass er die aktuellsten Versionen installiert oder zumindest LTS-Versionen.
00:19:57
Daniel Langemann
Bei LTS-Versionen müssen wir jetzt nochmal gucken, da wird ein Down-Patching oft gemacht.
00:19:57
Kai Ole Hartwig
Ja.
00:20:01
Daniel Langemann
dass man da auch noch aktuellere Sachen bekommt, aber wenn da die Bibliotheken von OpenSSL und so weiter aktualisiert werden, ist man ja erstmal auf der sicheren Seite.
00:20:08
Daniel Langemann
Also was Ops betrifft im Sinne von, wenn ich einen V-Server betreibe, wenn ich dann einen Certbot habe, der immer wieder Zertifikate aktualisiert, gehe ich mal davon aus, das wird im Automatisierungsprozess mitlaufen oder ein einmaliges Ding sein, dass man sagt, ich möchte gerne...
00:20:24
Daniel Langemann
Zertifikat mit einer neueren Version, Verschlüsselung, was auch immer haben.
00:20:29
Daniel Langemann
Bei anderen Anbietern wird man das vielleicht gar nicht merken, dass da Zertifikate, also bei AWS, und wenn du da irgendwas machst, merkst du das doch, glaube ich, gar nicht.
00:20:35
Kai Ole Hartwig
Ja, da wählst du ja im Zweifelsfall nur aus, wenn du ältere Protokolle auch noch unterstützen möchtest.
00:20:42
Kai Ole Hartwig
Da muss man natürlich prüfen, ob das jetzt auch so ist, wann das kommt.
00:20:45
Kai Ole Hartwig
Da muss man in die Dokumentation einmal reinschauen.
00:20:49
Kai Ole Hartwig
Wenn du natürlich Maintainer von einem Open-Source-Tool bist oder irgendeiner Software, die das aktiv einsetzt, dann sieht das anders aus.
00:20:55
Kai Ole Hartwig
Dann kann das sein, dass du halt auch schauen musst, dass das bei dir korrekt implementiert ist.
00:21:00
Daniel Langemann
Ja.
00:21:00
Daniel Langemann
Hm.
00:21:00
Kai Ole Hartwig
Also kommt so ein bisschen darauf an, was du im Daily Doing machst oder auch in deiner Freizeit.
00:21:06
Kai Ole Hartwig
Wenn du dir jetzt überlegst, ich schreibe jetzt einen VPN-Client, weil ich das so cool finde, dann wirst du dich mehr damit beschäftigen müssen, als der Entwickler, der jetzt sagt, ah ja, ich deploy hier nur das CMS und den Rest macht eh jemand anderes.
00:21:24
Daniel Langemann
Ja, ich glaube schon, dass es relevant wird, gerade beim Debuggen.
00:21:24
Kai Ole Hartwig
So.
00:21:27
Daniel Langemann
Wenn zum Beispiel im Browser irgendwelche Sachen nicht mehr funktionieren oder komisch funktionieren, HTTPS, ist dann, wenn das zum Beispiel einer der Gründe sein kann, ist es schon sinnvoll zu wissen.
00:21:40
Daniel Langemann
Wenn Nutzer sich melden und sagen, guck mal, Checkout funktioniert nicht mehr in meinem Shop, weil, keine Ahnung, die Klickstrecke von dem PayPal-Anbieter oder irgendein anderer Payment-Anbieter irgendein altes Zertifikat nicht mehr unterstützt, dann stehst du schon da und
00:21:43
Kai Ole Hartwig
Ja.
00:21:55
Daniel Langemann
Dann das übliche It Works on my Machine hilft dann keinem, weil du den aktuellen Browser gerade hast.
00:22:02
Daniel Langemann
Aber eine andere Baustelle ist, glaube ich, auch noch Embedded Software.
00:22:06
Daniel Langemann
Also der kluge Kühlschrank, der vor zehn Jahren gekauft wird und der noch die nächsten 20 Jahre laufen wird und die ganzen Geräte, die ja keine Updates mehr kriegen oder kaum Updates bekommen.
00:22:17
Daniel Langemann
Ich glaube, das wird dann noch sehr interessant.
00:22:17
Kai Ole Hartwig
Ja, IoT an und für sich ist ein ganz spannendes Thema.
00:22:22
Kai Ole Hartwig
Habe ich ja mal eine Zeit lang mithantiert.
00:22:26
Kai Ole Hartwig
Spannenderweise.
00:22:28
Kai Ole Hartwig
Und ich habe mich auch sehr lange dagegen gewehrt, dass wir entsprechende Geräte bei uns im Haus haben.
00:22:33
Kai Ole Hartwig
Jetzt quatscht seit neuestem unsere Spülmaschine mit uns.
00:22:37
Kai Ole Hartwig
Und ich bin auch sehr gespannt, ob und wann da so ein Update kommen wird.
00:22:43
Kai Ole Hartwig
Ob es kommen wird.
00:22:44
Kai Ole Hartwig
Weil das
00:22:46
Kai Ole Hartwig
ist etwas, ich habe noch nicht gesehen, dass unsere Spülmaschine irgendwie mal gesagt hat, sie hat ihre Software, die Software geupdatet.
00:22:53
Kai Ole Hartwig
So, und die hängt halt, irrerweise, im Internet.
00:23:00
Daniel Langemann
Hmm.
00:23:00
Daniel Langemann
Hmm.
00:23:02
Kai Ole Hartwig
um damit man mit einer App die steuern kann.
00:23:05
Kai Ole Hartwig
Und da sind tatsächlich auch Funktionen, die ich nicht mehr an Tasten einstellen kann, sondern nur in der Software.
00:23:10
Kai Ole Hartwig
Ja, so einen speziellen Silent-Mode oder so.
00:23:13
Kai Ole Hartwig
Das finde ich... Und dann kannst du auch Programme halt runterladen, Spülprogramme runterladen für was anderes.
00:23:19
Kai Ole Hartwig
Finde ich ein bisschen...
00:23:21
Kai Ole Hartwig
Okay, es mag Anwendungen dafür geben.
00:23:24
Kai Ole Hartwig
Ich gehe immer noch hin, drücke einfach auf die Knöpfe auf Start und dann wird das Geschirr sauber.
00:23:30
Kai Ole Hartwig
Aber ja, das ist so ein Ding.
00:23:32
Kai Ole Hartwig
Natürlich hängt das bei mir in einem eigenen Faulahn und kommt nicht an andere Dinge dran.
00:23:35
Kai Ole Hartwig
Ich bin ja misstrauisch an der Stelle.
00:23:38
Kai Ole Hartwig
Also die Spülmaschine kann man ruhig hacken, die kommt nirgendwo anders hin in meinem Netzwerk.
00:23:46
Kai Ole Hartwig
Aber ja, diese ganze IoT-Geschichte wird natürlich spannend, weil in der Regel wissen wir oder aus Erfahrung wissen wir eigentlich, dass
00:23:57
Kai Ole Hartwig
in IoT-Geräten, also Internet of Things, Geräten immer Hardware verbaut ist, die halt nicht mit neuen Standards zurechtkommt.
00:24:09
Kai Ole Hartwig
Ja, weil da wird der billigste Chip reingeknallt.
00:24:13
Kai Ole Hartwig
Da wird dann nur Wi-Fi 4 unterstützt, statt der aktuelle Stand.
00:24:13
Daniel Langemann
Mhm.
00:24:19
Kai Ole Hartwig
Ja, dann fängt es schon an, dass er WPA 3 nicht kann und solche...
00:24:24
Kai Ole Hartwig
Sachen beim WLAN und so.
00:24:28
Kai Ole Hartwig
Ich fürchte, wir werden da noch in Themen reinrennen, dass wir einfach dann tatsächlich unsicherer als heute mit den Geräten auf einer gewissen Art und Weise kommunizieren.
00:24:45
Kai Ole Hartwig
Also ich meine, das ist ja so, meine Verbindung oder die App-Verbindung zu dem Server vom Anbieter, die wird aktuell verschlüsselt sein, da mache ich mir wenig Sorgen.
00:24:55
Kai Ole Hartwig
Und gut verschlüsselt sein, da kann man das auch austauschen, das ist ein Web-Server, mit dem man spricht.
00:25:00
Kai Ole Hartwig
Viel spannender ist halt die Verbindung Anbieter zur Maschine selber, weil ja auch die Maschine halt einfach mit dem Chip leistungsfähig genug sein muss, diese Algorithmen landen zu können.
00:25:01
Daniel Langemann
Software-Updates und dann ist das durch.
00:25:12
Daniel Langemann
Also ich kann mir vorstellen, dass man da auch abwägen kann.
00:25:15
Daniel Langemann
Außer dass man sagen kann, guck mal,
00:25:18
Daniel Langemann
eine Spülmaschine hat jetzt vielleicht nicht den höchsten Stellenwert, was Absicherungen betrifft, wenn das, also ich weiß nicht, was da für Daten rübergehen.
00:25:27
Daniel Langemann
Was man sagt, vielleicht reichen auch noch alte Protokolle aus und dass die dann von den Anbietern unterstützt werden.
00:25:35
Daniel Langemann
Wenn ich jetzt daran denke, dass ich zum Beispiel auf dem Handy oder im Shop irgendwo Paymentsachen abgebe, das ist eine ganz andere Baustelle einfach, wo man sagt, da gehen gerade meine Kreditkarten ab.
00:25:44
Daniel Langemann
Daten durch die Leitung.
00:25:47
Daniel Langemann
Ich glaube, das ist schützenswerter als dein Lieblingsprogramm für die Spülmaschine.
00:25:53
Kai Ole Hartwig
Ja, aber... Was ist denn, wenn jemand deine Spülmaschine übernimmt?
00:25:53
Daniel Langemann
Will ich auch nicht runterspielen, aber ich könnte mir vorstellen, dass solche Sachen gar nicht mehr angefasst werden, weil sich das nicht rechnet irgendwo.
00:26:03
Daniel Langemann
Ich muss sie trotzdem noch einräumen.
00:26:07
Kai Ole Hartwig
Ja, aber im Sinne von, die geht zum Beispiel mitten im Spülgang auf oder ähnliche Sachen.
00:26:07
Daniel Langemann
Ja, ja.
00:26:11
Daniel Langemann
Ja.
00:26:14
Kai Ole Hartwig
Oder du bist im Urlaub und die startet immer und immer wieder und es wird Strom und Wasser verbraucht.
00:26:20
Kai Ole Hartwig
Also ich meine, das sind ja auch Sachen, die da einfach dann auf, ja, die halt theoretisch,
00:26:28
Daniel Langemann
Meistens sind es Botnetze, die relevanter werden.
00:26:31
Daniel Langemann
Mhm.
00:26:35
Kai Ole Hartwig
halt ein Angriffsszenario darstellen.
00:26:38
Kai Ole Hartwig
Ja, klar.
00:26:38
Kai Ole Hartwig
So ein Botnetz, der von der Spielmaschine aus irgendwie das Internet vollspamt für eine DDoS-Maschine, für eine DDoS-Attacke ist auch nicht cool.............
00:26:46
Daniel Langemann
Also das sind so die meisten Sachen, die mir immer bei sowas einfallen.
00:26:50
Daniel Langemann
Die Leute interessiert das, also wenig Leute, außer vielleicht andere Leute, die mich nicht mögen.
00:26:54
Daniel Langemann
Aber ein Großteil der Hacker, sage ich mal, interessiert das ja eher, ein großes Bot-Netzwerk aufzubauen.
00:26:59
Daniel Langemann
Und da ist dann eine von fünf Millionen Waschmaschinen natürlich hilfreich bei.
00:27:03
Daniel Langemann
Mhm.
00:27:04
Kai Ole Hartwig
Ja, aber es ist halt auch, ich sage jetzt mal, ScriptKiddy Prestigetechnik zu sagen, hey, ich steuere jetzt hier die Waschmaschinen und wir wissen es zum Beispiel ja auch von Kamerasystemen, dass die meisten Kameras auch völlig ungesichert im Netz hängen.
00:27:20
Daniel Langemann
Ja.
00:27:21
Kai Ole Hartwig
Also da kann man jetzt den tollsten Algorithmus der Welt haben, der alle Daten sicher verschlüsselt und niemand kann das entschlüsseln, wenn die Dinge halt offen im Internet hängen, dann gibt es halt eine reale Gefahr, dass es irgendwer für irgendetwas cool findet zu benutzen.
00:27:44
Daniel Langemann
Hatten wir nicht das Beispiel mit dem Schlüssel unter der Fußmatte?
00:27:47
Daniel Langemann
Ich kann das beste Schloss haben, wenn ich den Schlüssel unter die Fußmatte lege, dann muss ich mich nicht wundern, wenn ich Besuch bekomme.
00:27:53
Daniel Langemann
Genau.
00:27:53
Kai Ole Hartwig
Ja, deswegen ist ja immer wichtig, den Schlüssel in den Blumentopf.
00:27:56
Kai Ole Hartwig
Ja, Fußmatte kann jeder.
00:28:06
Kai Ole Hartwig
Aber ja, das sind halt so Themen.
00:28:09
Kai Ole Hartwig
Das ist ja genauso, wenn wir uns halt anschauen, Bluetooth oder auch Wi-Fi auf 2,4 Gigahertz hat halt eine große Reichweite.
00:28:18
Kai Ole Hartwig
Die Signale kannst du halt auch wunderbar nutzen.
00:28:21
Daniel Langemann
Mhm.
00:28:21
Kai Ole Hartwig
für Sachen und es geht dann halt weiter, als einem lieb ist und es ist immer kürzer, als man es tatsächlich braucht, wenn man mal was schnell übertragen will.
00:28:31
Kai Ole Hartwig
Ähm, so, aber das sind halt andere Probleme abseits Postquantenverschlüsselung des Algorithmus, ähm,
00:28:47
Kai Ole Hartwig
Und der wird ja eigentlich auch nur relevant, weil wir heute halt Daten speichern könnten, die wir später entschlüsseln, um dann halt an Informationen jeglicher Art zu kommen.
00:28:57
Kai Ole Hartwig
Ich sage jetzt mal, alles, was du nicht an die Öffentlichkeit haben möchtest, da ist es dir hoffentlich wert und jedem Unternehmen und jedem Entwickler wert, zu sagen, okay, wir schauen, dass wir möglichst schnell auf neue Algorithmen gehen,
00:29:13
Kai Ole Hartwig
die entsprechend sicher sind oder die schon unterstützen für diejenigen, die es auch unterstützen.
00:29:18
Kai Ole Hartwig
Ja, so ist es ja irgendwie.
00:29:19
Kai Ole Hartwig
Und wenn du das halt nicht hast, dann nimmst du halt den Älteren.
00:29:21
Kai Ole Hartwig
Und das ist halt einfach wieder ein wichtiger Weg durch die Entwicklung der letzten Jahre, was Quantencomputer angeht und jetzt halt auch Verschlüsselungsalgorithmen angeht.
00:29:35
Kai Ole Hartwig
Heißt das halt, wir spielen eine große Upgrade, Update-Runde,
00:29:41
Kai Ole Hartwig
in naher Zukunft, damit unsere Systeme sicherer sind.
00:29:47
Kai Ole Hartwig
Gleichzeitig erlauben wir dann unseren KI-Agenten wieder auf alles zu greifen.
00:29:52
Daniel Langemann
Das soll ja nicht langweilig werden.
00:29:53
Daniel Langemann
Genau.
00:29:53
Daniel Langemann
Ich befürchte das sogar.
00:29:54
Daniel Langemann
Äh.
00:29:58
Kai Ole Hartwig
Genau, das muss sich ja auch ausgleichen.
00:30:00
Kai Ole Hartwig
Mehr Sicherheit mit mehr Unsicherheit und dann sonst wird das ja nichts.
00:30:14
Kai Ole Hartwig
Ja.
00:30:16
Kai Ole Hartwig
Hast du noch Fragen dazu?
00:30:18
Kai Ole Hartwig
Willst du noch was wissen?
00:30:20
Kai Ole Hartwig
Sagst du noch, nein, wir bleiben bei den alten Dingern, weil dann muss ich nichts machen.
00:30:25
Daniel Langemann
Genau, es ist alles einfacher.
00:30:26
Daniel Langemann
Hat früher doch auch gereicht.
00:30:30
Daniel Langemann
Nee, definitiv ist es Zeit zu wechseln.
00:30:34
Daniel Langemann
Der Aufwand, solche Sachen zurückzurechnen, wird immer weniger.
00:30:38
Daniel Langemann
Und wann die Sachen kommen, ist nicht die Frage, wann die kommen, sondern es ist Fakt, dass sie kommen werden.
00:30:44
Daniel Langemann
Ob das kurz- oder langfristig sein wird.
00:30:47
Daniel Langemann
Und mir geht halt dabei durch den Kopf.
00:30:48
Daniel Langemann
Man hat zum Beispiel irgendwo eine Textdatei auf dem Rechner, die ich immer verschlüssel, so als Backup mit allen Masterpasswörtern, beziehungsweise...
00:30:58
Daniel Langemann
1Password haben viele in der Cloud, ich habe KeyPass und das Ding verschlüssel ich zum Beispiel auch auf einem USB-Stick zu Hause.
00:31:07
Daniel Langemann
Und das wäre dann theoretisch in Zukunft, wenn ich das Passwort vergesse, einfach wieder errechenbar, wenn Quantencomputing da ist.
00:31:12
Kai Ole Hartwig
Ja.
00:31:12
Kai Ole Hartwig
Auch ganz praktisch, wenn man das Passwort vergisst.
00:31:13
Kai Ole Hartwig
Ja.
00:31:13
Daniel Langemann
Und das ist ein ganz realer Vektor, wo man sagt,
00:31:18
Daniel Langemann
Also ich werde eh älter, vielleicht hilft mir das dann irgendwann mal.
00:31:23
Daniel Langemann
Aber das Problem ist, solche Daten, die man da verschlüsselt und da hat jeder genug Sachen, die nicht an die Öffentlichkeit, also die nicht für andere bestimmt sind, die man heutzutage verschlüsselt, die aber dann zum Beispiel in der Cloud abgelegt werden oder was auch immer und dann einfach später entschlüsselbar sind.
00:31:40
Daniel Langemann
Und das nur, weil es heute nicht lesbar ist, heißt das nicht, dass es so bleibt.
00:31:44
Kai Ole Hartwig
Genau.
00:31:46
Kai Ole Hartwig
Wunderbar.
00:31:47
Kai Ole Hartwig
Also stellen wir fest, wenn du Passwort vergisst von deinem Key Pass, dass du nicht updatest, dann geht das in ein paar Jahren wieder.
00:31:56
Daniel Langemann
Das ist ein schöner Slogan, gefällt mir.
00:31:57
Daniel Langemann
Ja.
00:31:57
Daniel Langemann
Genau, bis nächste Woche.
00:31:58
Daniel Langemann
Ciao.
00:31:59
Kai Ole Hartwig
Wunderbar.
00:32:00
Kai Ole Hartwig
Dann war das, glaube ich, das Schlusswort zur sechsten Folge.
00:32:05
Kai Ole Hartwig
Secrets not included.
00:32:08
Kai Ole Hartwig
Ich hoffe, ihr hattet so viel Spaß wie wir.
00:32:12
Kai Ole Hartwig
Und dann hören und sehen wir uns nächste Woche wieder.
00:32:16
Kai Ole Hartwig
Bis dahin, macht's gut.
00:32:17
Kai Ole Hartwig
Ciao.