Ein externer Vortrag, der für mitlesende interessant sein könnte, kam über die Dalug-Liste:
Liebe DaLUGs,
ich möchte Euch herzlich zu unserem *Vortrag "Lücken in der Sicherheit: kann man Crypto-Hardware wirklich vertrauen?"* am Montag, den 29.09. einladen.
*Inhalt:* Wer heute Crypto-Hardware einsetzt, muss sich blind darauf verlassen, dass weder der Hersteller noch die Lieferkette versteckte Hintertüren eingebaut hat. Unter anderem aus diesem Grund gilt es in weiten Kreisen der IT-Sicherheits-Community als empfehlenswert, auf solche Gerätschaften zu verzichten, soweit es irgend möglich ist.
Seit dem Bekanntwerden der NSA-Übergriffe beschäftigen sich aber einige Projekte mit der Frage, ob das so sein muss und wie weit es möglich ist, Crypto-Hardware zu bauen, die auch ein "interessierter Benutzer" daraufhin kontrollieren kann, ob sie manipuliert wurde.
Es ist seit langem bekannt, dass man einem Angreifer, der die Kontrolle über die eigene Hardware erlangt hat, wehrlos ausgeliefert ist - unabhängig davon, ob ein einzelnes Gerät im laufenden Betrieb manipuliert wurde oder eine ganze Produktserie schon während des Designs mit einer Backdoor versehen wurde.
Diese Aussage gilt immer noch, aber: es scheint durchaus möglich, den wirtschaftlichen Aufwand und das Entdeckungsrisiko für den Angreifer signifikant in die Höhe zu treiben. Eine wesentliche Frage dabei ist, wie weit man überhaupt Hardware konstruieren kann, die vertrauenswürdig ist, weil sie der interessierte Endanwender selbst überprüfen kann.
Der Vortrag stellt einige aktuelle Entwicklungen vor und zeigt, welche Grenzen sich bisher gezeigt haben.
*Referent:* Benedikt Stockebrand ist Diplom-Informatiker mit langjähriger Erfahrung im Aufbau und Betrieb von Rechenzentren und professionellen IT-Umgebungen.
Seit 2003 ist sein Arbeitsschwerpunkt der produktive Einsatz von IPv6. Er ist Autor des Buchs "IPv6 in Practice" (Springer, 2006) und arbeitet international als Berater und Trainer.
Ganz nebenbei ist er auch noch Gründer der Stepladder IT Training+Consulting GmbH in Frankfurt/Main.
*Zielgruppe:* Der Vortrag richtet sich an IT'ler, die sich grundlegend für Sicherheitsthemen interessieren. Besondere Vorkenntnisse sind nicht erforderlich.
*Veranstaltungsort und -zeit:* Montag, den *29.09.2014, 19 - ca. 20.30Uhr* *House of IT* (http://www.house-of-it.eu/), Mornewegstr. 30, Darmstadt, Raum 3.1.01 (3. Stock) (Anfahrtsbeschreibung: https://maps.google.de/maps?q=house+of+it,+Mornewegstr.+30+D-64293+Darmstadt...)
Der Vortrag ist *kostenlos*, eine *Anmeldung *ist *nicht erforderlich*, weitersagen ist wie immer erlaubt. Wer die Möglichkeit hat (an legaler Stelle) einen *Aushang *zu machen, darf dies gerne tun: http://www.it-stammtisch-darmstadt.de/vortraege/flyer/AushangCryptoHardware.... Wir danken dem House of IT e.V. für die freundliche Bereitstellung der Räumlichkeiten und des Equipements!
Schöne Grüße, Cosima