Archiv

näher beleuchtet

Bei dem Digitalmikroskop handelt es sich um ein reflecta DigiMicroscope USB, so jedenfalls die offizielle Bezeichnung des Herstellers. Ich freue mich immerwieder meine Umwelt damit neu zu entdecken. Manchmal laufe ich durchs ganze Haus und unterzeihe jedes Objekt einer genaueren Untersuchung und bin überrascht, wie interessant manche Oberflächenstrukturen sind. Gerade Stoffe sind ein lohnendes Objekt.

Advertisements

Ein Mikroskop ist eine feine Sache.

Hier ein paar Aufnahmen, die ich im Laufe der Zeit gemacht habe. In den nächsten Wochen werde ich weiter nach aufregenden Motiven suchen. Ein Motherboard gibt sicherlich ein schönes Bild ab.

Ich habe das DigiMicroscope von Reflecta verwendet, um die Aufnahmen zu fertigen.


Vergrößerungsleistung bis 230-fach
Bildformate BMP, GIF, JPG, PNG
Videoformate AVI
Auflösung 2 Mpx

Ein Mikrochip. Zu sehen ist das irisierende Silizium.

Ein Mikrochip. Zu sehen ist das irisierende Silizium.

Alt-Text

Hier ist die blaue Druckfarbe eines Linolschnittes zu sehen.

Die Poren meiner gelb gestrichenen Tapete. Auf dem Foto eher gelb-grün.

Die Poren meiner gelb gestrichenen Tapete. Auf dem Foto eher gelb-grün.

Grüne Tinte

Grüne Tinte

Tintenstriche

Tintenstriche

Ein Holzstempel mit blauer Stempelfarbe

Ein Holzstempel mit blauer Stempelfarbe

Der QR-Code eines Briefes - mit der Deutschen Post verschickt

Der QR-Code eines Briefes – mit der Deutschen Post verschickt

Ein abgeschirmtes USB-Kabel.

Ein abgeschirmtes USB-Kabel.

Knochennähte einer Ziege

Knochennähte einer Ziege

Interessantes Detail

Interessantes Detail

Verwitterter Zahn eines Wirbeltieres

Verwitterter Zahn eines Wirbeltieres

Das grüne sind Moose(?)

Das grüne sind Moose(?)

Offenes Knochengewebe

Offenes Knochengewebe

Eine Indexfinger

Eine Indexfinger

Der idyllische Bauernhof auf einer Milchverpackung

Der idyllische Bauernhof auf einer Milchverpackung

Tee I

Tee I. Die Teesorte konnte ich leider nicht in Erfahrung bringen

Tee II

Tee II

Tee III

Tee III

CAcert ermöglicht es kostenlose Zertifikate ausgestellt zu bekommen. Diese Zertifikate können zB benutzt werden um E-Briefe zu signieren und zu verschlüsseln, um Programme (code signing) zu signieren und SSL-Server Zertifikate zu erstellen.
Schaut man sich bei Symantec die Preise für SSL-Zertifikate an staunt man, dass eine Lizenz für ein Jahr zwischen 399 USD – 1.999 USD kostet. Bei Thawte bezahlt man 149 USD – 699 USD. COMODO verlangt 64,95 EUR – 808,10 EUR. E-Briefzertifikate erhält man bei vielen Anbietern kostenfrei allerdings dient dies eher der Kundenbindung und der Werbung.

stats

CAcert hat am 2013-05-29 247,410 Mitglieder von denen 5,348 Assurer (de: Beglaubiger) mit bestandener AssurerChallange sind. Das sind 2,16% der gesamten Gemeinschaft. Die allgemeine Mailingliste cacert@lists.cacert.org hat 708 Subscriber was gerade einmal 0,29% sind. Die AssurerChallenge ist ein Test, der grundlegendes und spezielles Wissen zum Umgang mit Zertifikaten, Computersicherheit, Vorgehensweisen bei einer Assurance usw. abfragt. Der Test wird online absolviert und besteht aus 25 zufällig ausgewählten Fragen. Insgesamt gibt es um die 120 Fragen.

Die CAcertCommunityAgreement / CCA

Sie ist das formale Herzstück der Gemeinschaft, da in ihr durch Verweisung die wichtigsten Policies  ihre formale Daseinsberechtigung erlangen.

Aus der CCA fließen verschiedene Policies im Einzelnen handelt es sich um:

PolicyonPolicy / PoP

Diese Selbstreferenzielle Policy deckt die Erstellung und Bekanntmachung von Policies ab. Unter anderem erfährt man hier, dass:

„2.2 […] Documents start as Work-In-Progress, move through to DRAFT and finalise in POLICY status.“
4.1 On completion, a document moves to DRAFT status.
4.2 A DRAFT is a policy-in-effect for the Community and is to be distributed and treated as such.“

„5.2 Once POLICY, the Community may only challenge the document in Dispute Resolution.“

CertificationPracticeStatement / CPS

Dieses Dokument regelt technische Spezifika über die Art und Weise, wie die Certification Authority / CA operiert. Beispielsweise stellt es klar, dass CAcert Zertifikate nicht benutzt werden dürfen für

„uses requiring fail-safe performance such as the operation of nuclear facilities, aircraft navigation or communication systems, air traffic control systems, or weapons control systems, where failure could lead directly to death, personal injury, or severe environmental damage.“

Und vieles andere mehr. Die umfangreichste Policy.

Dispute Resolution Policy / DRP

In dieser Policy wird das schiedsrichterliche Verfahren detailliert festgelegt.

Privacy Policy / PP

Die PP klärt das Mitglied darüber auf, welche Daten zu welchem Zweck erhoben werden und was mit den Daten geschieht. Im speziellen geht es um Cookies, tracking Information, Einsehbarkeit der Information seitens Dritter usw.

Principles of the CAcert Community

In diesem bemerkenswerten und aufschlussreichen Text wird das geistige Fundament der CAcert Gemeinschaft in Form von Bekenntnissen und Überzeugungen zu verschiedenen Themen, welche die Gemeinschaft ausmachen, dargelegt. Eine fast vollständige Auflistung:

We do not discriminate.
We make our products available to all; if a segment of the users is disadvantaged then this is a bug.
All revenues are reviewed for openness and transparency.
We do not sell certificates, rather we may enter into other activities to cover our costs in helping the users to secure themselves.
It is not our purpose to compete with commercial firms. If they can do a better job, let them. If the product works better free, then let it be free. Our goal is to help our users freely secure themselves.
We strive to open up as many of our processes as possible.
We strive to present our decisions, products and services as transparent.
We do not do secret deals.
We do not deceive.
We disclose a fair and complete story.
We commit to full disclosure of security breaches.
We reveal our conflicts of interest, for the community to judge.
We encourage others to write about us.

We train our users.
We train our users to train other users.
If we accept someone in a role, we train, we test, and we support them.
The training is provided for free.
For our core community roles such as Assurer, sufficient quality training will be available at no charge. This does not preclude cost recovery for commercial services.

We are focused on the security of our own users, our own community.
In so far as outside interests can support us, then we may accept their help. In so far as outside interests threaten the security of our users, we are against them.
/ we will defend out users / we will….

When we take on a job, we do it, until we can’t.
When we cannot do a job, we say so.
When we run out of time, we organise a replacement.
We strive to provide security. This means that we cooperate in securing ourselves and others. As a principle, security is led by the Security Officer, but it is our joint responsibility.
Where we come into contact with security breaches, we disclose these.
We keep our disputes in-house.
We strive to train our users, and where things go wrong, we address before a forum of peers.
FAIR means: File a dispute, Arbitration is our forum, Independent, Resolution.
You, and each user, are our ambassadors, and should act accordingly.
Present us fairly. Stress that we are open to new users.

CAcert verpflichtet sich bei Sicherheitsverletzungen alle Karten auf den Tisch zu legen („We commit to full disclosure of security breaches.“) und verfolgt damit denselben Ansatz, wie das Sicherheitsteam von Debian GNU/Linux. Auf debian.org/security steht zu lesen:

„Experience has shown that “security through obscurity” does not work. Public disclosure allows for more rapid and better solutions to security problems.“

Insofern wundert es nicht, dass CAcert unter den offiziellen Nutzern von Debian gelistet ist.

AssurancePolicy / AP

Enthält Vorgehensweisen, Begriffsbestimmungen und im besonderen (Sorgfalts-) Pflichten der Assurer, um eine ordnungsgemäße Assurance durchzuführen.

Schiedsgerichtsbarkeit / Arbitration

Unter dem Gesichtspunkt, dass es im §1055 ZPO / Zivilprozessordnung heißt

„Der Schiedsspruch hat unter den Parteien die Wirkungen eines rechtskräftigen gerichtlichen Urteils.“

erscheint es ratsam die rechtliche Erheblichkeit, sich einer Schiedsgerichtsbarkeit zu unterwerfen nicht unterschätzen. Bei „all disputes arising out of or in connection to our use of CAcert services“ (CCA 3.2) ist man seinem normalerweise zuständigem staatlichen Richter entzogen. Allerdings nicht im Sinne des Art. 101 I 2 Grundgesetz, da sich das GG nur an den Staat richtet und man freiwillig in die Unterwerfung einwilligt.
Die Einwilligung besteht gemäß CCA 1.1 in einer von den aufgezählten Handlungen

„signature on a form to request assurance of identity („CAP“ form),
[…] request on the website to join the Community and create an account,
[…] request for Organisation Assurance,
[…] request for issuing of certificates, or
if you USE, RELY, or OFFER any certificate issued to you.“

Ein großer Unterschied zu anderen Schiedsgerichten in Unternehmen oder Verbänden ist, dass alle Fälle öffentlich einsehbar sind.

Infrastruktur / Internetanbindung / .config

Nach dem Offenheits- und Transparenzbekenntnis, welches in den Principles of the Community festgeschrieben ist, wird die Security Policy for CAcert Systems / SP relativ offen mit vielen interessanten Informationen gestaltet. Man kann sich ein detailliertes Bild über die Arbeitsvorgänge, Zugangsberechtigungen, Entscheidungsfindung und Konfiguration der Server machen. Diese stehen am Standort BIT-2 in Ede, Niederlande und sind durch ein verschlossenes Rack mit registrierten Schlüsseln (dürfen nicht nachgemacht werden), einem Kartenzugangssystem und einem Irisscanner gesichert. Das Peering findet über die Internet-Knoten AMS-IX (Amsterdam), DE-CIX (Frankfurt), LINX (London) und NL-ix (Amsterdam) statt. Als weiters Häppchen sind Fotos vom Rechenzentrum öffentlich.

Zur Festplattenverschlüsselung wird, wie im wiki beschrieben cryptsetup / LUKS verwendet.

Eine Hardware Equipmentliste wird vom SysAdminTeam unterhalten. Ähnlich wie beim OpenStreetMap Projekt und wikimedia kann man sich so ein Bild machen, welche Hardware sich dahinter versteckt. Sogar eine Liste aller Server samt Standort und Spezifika, wie offenen ports und internen/externen IP-Adressen ist öffentlich.

http://wiki.cacert.org/SecurityManual

Eine Assurance – grober Ablauf

Ein typisches Treffen um eine Assurance zu vereinbaren geht im Normalfall vom Assuree aus und richtet sich an den Assurer. Cacert bietet im Mitgliederbereich (also nach dem Login) die Möglichkeit über „+ CAcert Vertrauensnetzwerk“ → „Einen Assurer finden“ mithilfe eines Formulars eine Umkreissuche (10km – 1000km) durchzuführen. Nachdem man seinen gewünschten Ort eingegeben hat wird man zu einer Liste geführt. Diese Liste enthält alle im Umreis erfassten Assurer, die der Veröffentlichung ihrer Daten zugestimmt haben. Der Vorname und erste Initiale des Nachnamens, die maximal zu vergebenen Punkte des Assurers, die Ungefähre Distanz zum eingegebenen Ort in km und ein locker geschriebenes Freitextfeld über Kontaktangaben ermöglichen dem Assuree rauszufiltern, wer sich für ihn am Besten eignet. Nun hat man je nach Kontaktmethode die Möglichkeit den Assurer Anzurufen, ihm eine Email zu schreiben oder an einem festen Ort ohne vorherige Anmeldung zu erscheinen.

Von Angesicht zu Angesicht

Laut der AssurancePolicy und dem AssuranceHandbook / AH ist ein „Personal meeting of Assurer and Member or Prospective Member“ (AP 4.1 Ziffer 2) bzw. etwas lockerer im Handbuch ausgedrückt ein „face-2-face meeting“ (AH) obligatorisch. Das AH ist ein Practice Dokument (daher nicht bindend im Gegensatz zur AP) und am ehesten mit einer Dienstvorschrift zu vergleichen. Das AH präzisiert die AP näher und steht hierarchisch unter ihr. Das AH ist praxisnah ausgestaltet.

Im Mittelpunkt einer Assurance steht die Überprüfung, Kohärenz und anschließende Bestätigung der vorgelegten Dokumente durch die Unterschrift des Assurers unter das CAcert Assurance Programme Identity Verification Form / CAP

Es muss mindestens ein „government-issued photo identity document“ (AP 2.1 1. Aufzählungspunkt) dabei sein. Ausreichend sind also etwa der deutsche Personalausweis oder ein Reisepass. Das Ausweisfoto, Unterschriften und Daten werden mit den Angaben auf dem CAP verglichen. Der Assurer darf natürlich auch Testfragen zum Geburtsort oder Geburtsdatum stellen. Weiter muss der Assurer die Sicherheitsmerkmale der jeweiligen Dokumente überprüfen. Da empfiehlt es sich sie entsprechende anschauliche Dokumentation der Bundesdruckerei (de Kapitel 3 S. 23 ff.;en Section 3 p. 20 ff.) oder PRADO (EU geführtes Register über Identitäts- und Reisedokumente von EU-Ländern) zu konsultieren. Erläutert werden Sicherheitsmerkmale wie Melierfasern; Sicherheitsfäden mit Optisch variablen, Irisiernden und Thermochromatische Farben; UV-Fluoreszierende Farbe; Guillochen, Irisdruck, Anti-Kopier-Muster, Linienraster, Mikrotext, Durchsichtsregister; Lasergravuren: Imageperforation, Multiple Laser Images; innenliegendes Hologram und Volumenhologramm.

Für Fluoreszierende Merkmale eignen sich zum Beispiel UV-A 4 – 9 Watt Lampen mit einer λ=366nm-Röhre. So ein Prüfgerät kann man sich für zehn Euronen auf ebay besorgen.

Das Punktesystem

Zuallererst meldet man sich auf CAcert.org an. Nach dem Login kann man unter dem Menüpunkt „+ Meine Details“ –> „Meine Punkte“ die eigene Punkteübersicht anzeigen lassen.

scrn_sht_ap_epDer Assurer vergibt AssurancePoints an den Assuree und erhält gleichzeitig und automatisch ExperiencePoints. Je mehr ExperiencePoints ein Assurer hat, desto mehr AssurancePoints ist er im Stande zu vergeben. Ab 100 AssurancePoints ist es möglich die besagte AssurerChallange zu meistern und selber Assurer zu werden. Man kann dann 10 AsscurancePoints vergeben. Hat man zB 25 Personen assured und entsprechend 50 ExperiencePoints gesammelt darf man 35 AssurancePoints vergeben.

ExperiencePoints sind ein Indikator, wie gut (ordnungsgemäß, den Regeln des AssurrerHandbooks folgend) ein Assurer seinen Job erledigt. AssurancePoints sind ein Maß dafür, wie gut eine Person assured wurde (also Identität zwischen Person und Ausweispapieren besteht).

Tabelle AP und EP

Roots CreationCeremony

Creating a new root is a big deal (SecurityManual)

Als letztes möchte ich den Blick auf die Kreierung der Stammzertifikate lenken. Diese für den normalen Benutzer etwas seltsam und übertrieben anmutende Prozedur übte auf mich eine gewisse Faszination aus. Paranoid ist sie jedoch keinesfalls, das könnte man aus dem Gedankengang „Reflections On Trusting Trust“ aus dem Jahre 1984 von Ken Thompson schließen.
Zu Dokumentationszwecken wird die Zeremonie mit einer Video- und/oder Fotokamera aufgenommen. Unterbrechungsfreie Stromversorgung ist gewährleistet. Alle elektronischen Geräte (Handys, Smartphones, Radios, Wlan-AP’s usw. sind ausgeschaltet. Es besteht kein Netzzugang (Ausbau der Netzwerkkarte). Ein Computer (der später das Stammzertifikat generiert) wird aus Einzelteilen zusammengebaut, welche alle vorher von allen Teilnehmern inspiziert und als geeignet erklärt wurden. Die Festplatte wird formatiert und ein OS der Wahl frisch installiert. Jeder der Anwesenden generiert Zufallsdaten auf dem eigenen Laptop mit einer vorher abgesprochenen Methode. Die so entstandenen Zufallsdaten werden auf USB Sticks dem zusammengebauten Computer zugeführt. Alle Zufallsdatenblöcke werden in OpenSSLs Zufallsgenerator gefüttert. Nach der Generierung des Stammzertifikats wird die Festplatte, USB-Sticks und der RAM gemäß SecurityManual überschrieben, sodass keine verwertbaren Hinweise auf die Zufallsdaten oder Passphrasen bestehen. Danach werden BIOS, RAM, Festplatte zerstört(?).

Es gibt in der Podcastreihe Chaosradio Express einen Podcast (CRE027) , der sich dem Thema CAcert widmet.

Happy assuring for ATE Luebeck, 2013-06-07!

Creative Commons License
CAcert – We do not deceive by Casimir Koreander is licensed under a Creative Commons Attribution 3.0 Unported License.