Sicherheit ist nicht alles

Editorial

Auch wenn sich in einem Bereich über die Jahre gewisse Standards etabliert haben, gibt es doch immer wieder überraschende Innovationen. Ein gutes Beispiel dafür ist die VPN-Software WireGuard, die wir ab Seite 84 vorstellen. Zwar kann OpenVPN auf eine mehr als 15-jährige Geschichte zurückblicken. Noch älter ist IPsec, an dem viele kluge Leute ein Jahrzehnt gearbeitet haben, mit einem Ergebnis, das die Kryptoexperten Neil Ferguson und Bruce Schneier so kommentieren: "IPsec was a great disappointment to us. Given the quality of the people that worked on it and the time that was spent on it, we expected a much better result." Und auch für die Einfachheit der Konfiguration wird IPsec sicher keine Preise gewinnen.
Und dann kommt auf einmal einer wie Jason A. Donenfeld an und rollt das Feld im Alleingang auf. WireGuard ist effizient, sicher und einfach zu konfigurieren. Mit einigen Tausend Zeilen Code ist es deutlich leichter durch andere Experten zu auditieren als die beiden Konkurrenten, die teilweise zehn- bis hundertfach soviel Ballast mitbringen. Laut dem Linux-Chef Linus Torvalds ist WireGuard verglichen mit dem "Horror von OpenVPN und IPSec" ein regelrechtes Kunstwerk. Jetzt wird der WireGuard-Code in den Linux-Kernel aufgenommen, womit sich seine Verbreitung in absehbarer Zeit deutlich vergrößern wird. Einen Mac-Port gibt es schon und auch die noch ausstehende Windows-Portierung dürfte bald folgen.

WireGuard demonstriert wieder einmal die Erkenntnis, dass Security-Mechanismen wenig nützen, wenn sie schwer zu verwenden sind. Ein anderes Beispiel dafür ist die Mehrfaktorauthentifizierung, die ebenfalls seit vielen Jahren existiert. So gab es in der BSD-Welt schon viele Jahre die OPIE-Authentifizierung (One time Passwords In Everything), die Logins mit Einmalpasswörtern schützte. Allerdings musste man sich, um davon zu profitieren, vorher immer kleine Zettel mit einer gewissen Zahl von Einmalpasswörtern ausdrucken, um sich von unterwegs aus einzuloggen. Massentauglich wurden One Time Passwords erst mit der Verbreitung von Smartphones und Apps wie dem Google Authenticator oder FreeOTP, die diese Zettel überflüssig machten. Oder den Yubikey, der die Verwendung von Hardware-Token revolutionierte.

Solche Techniken wurden durch Initiativen wie U2F (Universal Second Factor) aufgegriffen, die sich in den FIDO-Standard (Fast IDentity Online) entwickelt hat, den wir ab Seite 92 näher vorstellen. Noch benutzerfreundlicher soll die Authentifizierung dann mit dem Folgestandard FIDO 2 werden, der als zweiten Faktor biometrische Merkmale vorsieht. Darüber können Sie in einer der folgenden Ausgaben mehr lesen.

Oliver Frommel
Januar 2019 / Oliver Frommel
[Rubrik: Rubriken]

Den vollständigen Beitrag finden Sie in der Ausgabe Januar 2019 des IT-Administrator von Seite 3 bis 3.

Einzelne Ausgaben des IT-Administrators können Sie in unserem Online-Kiosk als Print- oder E-Paper-Exemplar bestellen. Ein Schnupperabo mit 6 Ausgaben zu 50% Rabatt – mit Lieferung ab der aktuellen Ausgabe – erhalten Sie im Aboshop.