Nichts wie Trubel
Frankencerts – die wunderbare Welt des Wahnsinns holt ausgerechnet die Minderheit der sicherheitsbewussten Nutzer des Internet ein. Während der Normaluser bekanntlich ja alle Daten jedem, der sie haben will, mundgerecht präsentiert, findet man sich ausgerechnet bei der Nutzung von Sicherheitsbiliotheken in einem schlechten Film wieder, wo man noch nichtmal vom Highway der Tugend abgewichen ist oder sein Geld in der Welt der Banker zusammen rafft. Schon einfach verhackstückte und dann wieder zusammen gesetzte, als Frankencerts unschön titulierte Zertifikate, spülen Unsauberkeiten diverser quelloffener SSL Bibliotheken nach oben.
Dass die nicht-quelloffene Software besser wäre, darf getrost bezweifelt und ausserdem sicherheitshalber besser angenommen werden, dass diese sich weiteren Stellen öffnet.
Sind Zertifizierungen und Zertifikate allein schon keineswegs der Weisheit letzter Schluss – was wurden alles schon für Zertifikate ausgestellt und wer hat nach Lizenzbestimmungen bei Unstimmigkeiten noch höhere Weg-Leg oder Weg-Klick-Raten – lassen die bisher gefundenen Fehlerchen jedenfalls sperr-angelweit geöffente Scheunentore befürchten. Und dass es bei den Implementierungen so aussieht wie bei Valkenheissers auf dem Schrottplatz. Während die Chase-/Akroyd Komödie vielleicht noch als unterbewerteter rabenschwarzer Humor durchgeht – so schlecht, dass es schon wieder Kult ist – fragt sich natürlich, woher sich diese künsterlischen Freiheiten bei der Implementierung rekrutiert und ob man uns da nicht nur in Sicherheit wiegen will, dass uns zum Schluss nicht alles in einem fulminanten Ellebätsch um die Ohren fliegt.
Aber SSL Implementierungen sind ja – trotz Widerspruch zwischen erhabenem Ideal und niedriger Wirklichkeit – keine Komödie. Für eine klassische Tragödie hingegen fehlts sowohl an Anspruch als auch an Stil. Zuletzt gesehen bei den blutenden Herzen, wo die handwerkliche Qualität noch nicht einmal auf normalem Bibliotheksniveau und der pseudowissenschaftliche IEEE Anstrich nicht mal für Makulatur reicht. Oder wieso haben die alten C-Programmierer vor einem memcpy immer einen memset 0 gesetzt? Wäre das Paper wert, ausgedruckt zu werden? Ohne Not gelesen? Also Write-Only Programmier- und Publizierstil – Inhalt für die Tonne, Deckel fürs Profil. Bleibt noch übrig: Schlechter Film.
Goldene Himbeeren für die Möchtegern-Spezialisten! Goldene Karte für die Anwender!
Nachtrag: Überholt von der Realität – True- oder doch besser FalseCrypt? Das Genre ist noch offen, angesichts der grotesken aktuellen Entwicklung verschlägt es anscheinend sogar El Reg den Biss in der Stimme.