Messen & Events

Ich freue mich, an der Open Source Data Center Conference 2012 als Speaker teilnehmen zu dürfen. Den Ausrichter, Bernd Erk von Netways, kenne ich von einer früheren Heise-Konferenz als kompententen und netten Zeitgenossen und das macht es umso angenehmer.

Nachdem die SecTXL in Hamburg leider nicht stattfinden konnte, werde ich nun den Vortrag, den ich eigentlich dort angemeldet hatte, auf der OSDC exklusiv halten. Titel und Abstract lauten wie folgt:

CA failures and the future of Web authentication (EN)

In 2011, a number of Certification Authorities suffered catastrophic failures which showed that the SSL CA system, a cornerstone of the secure Web, has been undermined by attackers and corporate greed. These failures and malpractices may well lead to the eventual downfall of SSL certificates as we know them.

This talk will summarize the events which transpired last year (and continue to pop up in 2012) and show which alternatives are currently in the making. It will introduce concepts like DANE, Convergence, Sovereign Keys and show some interesting info about SSL certificates “in the wild”.

Im Wesentlichen geht es also zum Einen um eine Retrospektive der letzten Jahre und der Major Fails im CA-Markt, aber auch um die Frage: “Was machen wir in Zukunft mit SSL?”. Und die ist ebenso spannend wie ambivalent. Ganz abschaffen kommt nicht in Frage, denn dann macht Amazon pleite. Und alles so zu lassen, ist ebensowenig eine Option. Einige spannende Projekte haben sich auf die Fahne geschrieben, die CAs zu ersetzen oder zumindest etwas weniger zum “Single Point of Failure” zu machen - und diese Projekte möchte ich kurz vorstellen.

Wichtig ist mir auch, daß diejenigen CA-Alternativen vorgestellt werden, die von freier Software inspiriert und unterstützt werden - also Convergence als Firefox-Plugin, oder die Forschungs- und Entwicklungsarbeiten beim EFF.

Die OSDC12 findet am 25. und 26. April in Nürnberg statt. Ein Rundum-Sorglos-Paket inkl. 2 Hotelübernachtungen und Konferenzdinner ist für € 950,- erhältlich. Das ist ein sehr guter Preis für ein hochklassiges Konferenzprogramm, das von Puppet über IPv6 bis zu Cloud-Workshops alle Aspekte des “State of the Art” in Opensource-zentrierten Rechenzentren abdeckt.

Mein Vortrag ist übrigens am 25. April um 14:00 - ich freue mich auf möglichst viel Publikum und eine ergiebige Diskussion!

Super, jetzt habe ich es herbeigeredet. Der heißersehnte Schneeregen ist da. Ich schneie daher auch nur kurz in Halle 25 bei UC Networks vorbei, um der netten (und ausgesprochen hübschen) Marleen Bauer meine Aufwartung zu machen. Außerdem schaue ich die neuen Profi-TFTs bei iiyama an, die in naher Zukunft (lies: sofort) die Diamondtron-Röhrenmonitore ersetzen sollen. Na, ob sich der DTPler alter Schule das gefallen lassen wird...?

Der Beutelratten-Andrang auf der CeBIT ist moderat, allerdings ist die ATi-Tütendichte wesentlich höher als noch gestern. Was die ganzen dreizehnjährigen Jungs mit diesen Papiertüten machen? Ich meine, die kann man sich ja prima über den Kopf ziehen, aber wieso machen sie das nicht direkt auf dem Messegelände?
Am Heisestand schnorre ich gratis-Suppe (die müssen sich langsam vorkommen wie die Bahnhofsmission) und gebe einen Newsticker-Artikel ab. Ein kurzes Treffen mit Thomas und Axel und dann schlurfe ich durch den strömenden Schneeregen zurück in meine Behausung. Das soll’s für heute gewesen sein.

13:00, Eingang Nord2, Sebastian Bergmann tippt mir auf die Schulter. Na, das war ja perfektes Timing. Wir begeben uns mit einem Pressetaxi zum Heisestand, das Wetter ist nämlich ziemlich beschissen. CeBIT-typisch, könnten böse Zungen behaupten: Schneidender kalter Wind (besonders in dem Windkanal zwischen Nord2 und Halle 2, *bibber*), fieser Nieselregen, der ab und an stärker wird, und ziemlich niedrige Temperaturen. Gut, daß ich in weiser Voraussicht einfach mal nur einen Anzug an- und den Mantel zuhausegelassen habe. Warme Kleidung werde ich sicher nicht brauchen.

Am Heisestand ist es ziemlich knallvoll, die Vorträge sind wieder hervorragend bis unerträglich gut besucht. Das Heiseforum platzt sozusagen aus allen Nähten, hähä. Ich lasse mir meinen PGP-Key von der c’t Kryptokampagne signieren und werde von einem netten jungen Herrn mit CCC-Halsband auf den nahegelegenen Stand der “CAcert”-Kampagne aufmerksam gemacht.

Die Jungs von CAcert, einem australischen Verein, kombinieren den “Web of Trust”-Gedanken, der z.B. von Thawte aufgegriffen und für eine Art Vertrauensmaß von Mailzertifikaten genutzt wurde, mit allerlei kryptographischem Zubehör. Läßt man sich an ihrem Stand (D38 in Halle 5) von einem der anwesenden CAcert-Mitglieder “assuren”, so hat man die Möglichkeit über einen gesicherten Userbereich auf der Website www.cacert.org für sich selber Zertifikate (u.a. X.509, SSL/TLS, Signing von PGP Keys durch die CA) ausstellen zu lassen, aber auch (ab einem bestimmten Score) andere Mitglieder zu “assuren”, also ihre Identität zu überprüfen. Ihr benötigt einen gültigen Perso/Reisepaß und natürlich eine Mailadresse für den cacert-Account und das ganze kostet nix.
Wenn die Root-CA von CAcert irgendwann mal in den gängigen Browsern integriert ist, sollte sich ein derart ausgestelltes Zertifikat nicht von kommerziellen Counterparts unterscheiden. Möglichen Attacken durch böse Buben, die versuchen könnten, sich ein Zertifikat für paypal.com auszustellen, um ihr Phishing zu einer authentischeren Sache zu machen, wird durch die für eine CA üblichen Sicherheitsmechanismen ein Riegel vorgeschoben - die Angriffsvektoren, die Jürgen Schmidt von Heise Security und mir eingefallen waren, konnte Herr Neumann von CAcert ausräumen.


Nach einigem Rumgedamel und eine Tickermeldung später mache ich noch einen kleinen Rundgang über’s Gelände, um dann ca. ab 17:00 auf dem Heisestand rumzuhängen und auf das Aufbruchssignal zur Heise-Party zu warten. Die Location (GOP Varieté) ist ziemlich edel, allerdings gnadenlos überfüllt. Die persönlichen Einladungen ohne Begleitperson hatten offenbar ihren Sinn.

Dort gibt es dann außerordentlich leckeres Essen und nette Gespräche u.a. mit koepi (as in “XviD, Koepi’s Build”) und den netten Jungs von vantronix secure systems. Der Abend ist ca. gegen 01:00 zuende und ich falle zügig ins Bett. Sebastian hatte sich bereits um 23:20 in Richtung Hauptbahnhof verabschiedet.

Grmpf, verpennt. Jetzt aber nix wie ab aufs Messegelände.

Der Nachmittag gestaltet sich nach einer Stippvisite am Heisestand (gratis Tomatensuppe, yummy!) relativ übersichtlich. Ich hänge ein wenig am Stand rum, begutachte die SEHR sehenswerten Exponate der “Mach flott den Schrott”-Aktion und führe ein paar sehr interessante Gespräche.
Eine kleine Tour in Halle 3 liefert einige weitere Gespräche, unter anderem mit Alex von Maguma, die mit am MySQL-Stand sind. Typo3 haben erstmalig einen eigenen Stand und ziehen somit marketingmäßig mit einigen der “Großen” im CMS-Bereich gleich. Auch Flying Dog Software sind erneut mit einem Stand vertreten; Gerüchten zufolge ist auch das Horde Project irgendwo.
Nach einem kleinen Plausch mit den Kollegen von Hanser (gratis Herri, yummy) geht es weiter zum “IuK-Forum” in der Multimedia-BBS am Expo Plaza. Dort streiten sich zwei Stunden lang hochkarätige Leute aus der Security-Industrie darüber, ob nun das metaphorische Security-Auto ohne Sicherheitsgurte oder vielmehr mit deaktivierten Bremsen ausgeliefert wird. Schlüsselzitat von Art Coviello (CEO RSA): “I think security is very sexy”. Einige nette Denkanstöße, aber leider zuviel marketing-zentrisches Blafoo und Streitereien zwischen den Anwesenden. Aber gratis-Tomatensuppe (yummy!).
Gegen viertel vor Neun bin ich dann bei der heißersehnten Tobit-Party, und dort gibt es bis halb zehn gratis-Bier (yummy!). Allerdings war das im vergangenen Jahr bis 22:00 Uhr, offensichtlich hat die Messe AG da die Daumenschrauben etwas angezogen.

Neue Bilder gibt’s in meiner CeBIT 2005 Galerie.

Kostenloses WLAN im Pressezentrum, so mag ich das. Der Vormittag hat auf der CeBIT bislang keine großen Neuheiten zutage gefördert - im wesentlichen ist es das alte Spielchen “die üblichen Verdächtigen”. Nach einem Kurzbesuch auf dem Heisestand (gratis Kaffee, yummy) und bei Software&Support (die kenne ich doch...) ging es direkt zum Pressegespräch nach Halle 9. Die Fraunhofer-Gesellschaft hat mal wieder jede Menge Projekte aufgefahren, die sich auch dieses Jahr wieder vielfach im Bereich AR/VR bewegen. Aber auch Audio- und Videokodierung, sozusagen “Stammthemen” von Fraunhofer, sind wieder im Gespräch.

Der Heisestand ist im Vergleich zu 2004 wesentlich größer geworden und hat nun das “Heise Forum ‘05”, auf dem nicht getrollt, sondern vorgetragen wird. Wenn Ihr mich fragt, sehr ungeschickte Namensgebung, ich assoziiere mit “Heise Forum” eigentlich nur mehr oder minder unqualifizierte und -erträgliche Wortbeiträge von Personen, die sich “Günter Frhr v. u. zu. Dingens” und “Analüst” nennen.
Die hauptsächlich um das Themenfeld Sicherheit und Recht gruppierten Vorträge erfreuten sich großer Beliebtheit, und auch Klaus Knopper ist mal wieder mit von der Partie. Dieses Jahr stellt er die neueste Ausgabe 3.8 seines Knoppix vor, das von den Heise-Mitarbeitern gleich kartonweise unter’s Volk gebracht wird. Der Personenkult um Knopper erreicht dabei kuriose Ausmaße, die Messebesucher lassen sich tatsächlich ihre CDs von ihm signieren. Hoffentlich nicht auf der Datenseite.
Ein weiteres Kuriosum: vis-a-vis von Heise ist an einem österreichischen Gemeinschaftsstand ausgerechnet ein Anbieter von Anti-dDoS-Lösungen vertreten. Entsprechendes Foto folgt in meiner CeBIT 2005 Galerie.

Heute Nachmittag werde ich noch ein bißchen durch die Softwarehallen schlendern, bevor es um 18 Uhr zum Branchenforum Security geht - das klingt (mit Vertretern von u.a. RSA Labs) sehr interessant.

Wie in jedem Jahr habe ich mir auch 2005 den lustigen CeBIT-Tag0-Walk gegeben, um in Ruhe ein paar Neuheiten und halbfertige Stände fotografieren zu können. Neben den üblichen megalomanischen Verdächtigen gab es noch ein paar interessante Fotomotive, die wie üblich in meiner Galerie zur CeBIT 2005 zu finden sind.