Mindenféle gondolatok az előadások kapcsán

Bár nagyon úgy nézett ki, hogy ezt a Lurdy-házas előadást kihagyom, valahogy csak sikerült úgy haladnom a dolgaimmal, hogy mégis belefért.
Aztán végül mégsem, ebédszünetben jött egy telefon a munkahelyemről, amely miatt át kellett szerveznem a napomat – és emiatt a délutáni előadások kimaradtak. Remélem, nem sértek vérig senkit, de nem kaptam sírógörcsöt: eleve is a délelőtti programért mentem. (Tudom, a délutániak is fontosak voltak, de jelenleg nincsenek benne a látóteremben.)

Szóval NAP. Szentgyörgyi Tibor előadása jó volt. Pedig ebből a nehéz, száraz anyagból nem kis kihívás jó előadást összerakni. És elhangzott a legfontosabb mondat, amelynél legszívesebben kirohantam volna az előadóhoz és csókot nyomtam volna a homlokára: a NAP nem arra való, hogy megbízhatóan kizárjuk a rosszfiúkat a hálózatunkról – sokkal inkább arra, hogy segítsünk a jóindulatú felhasználóinknak abban, hogy akaratlanul se tudjanak fertőzni.
Természetesen be lehet annyira keményíteni a rendszert, hogy jó legyen a rosszindulatú bepróbálkozások kiszűrésére is. Igaz, jó bonyolult lesz. És csak egyszer – hangsúlyozom egyszer – forduljon elő, hogy Vezérigazgató Bálintot, vagy a fiát, vagy a kutyáját kizárjuk… és már bonthatjuk is le az egészet. Ha meg kivesszük a körből a teljes pereputtyot, beleértve a vezérigazgató-helyetteseket, meg az egész csókos bagázst… akkor akkora lyukat ütöttünk a szuperbiztonságos rendszerünkön, hogy az egész értelmét vesztette.
Nem egyszerű. Nekem egy Dilbert rajz jutott róla eszembe: a figura ott ült, a világ _egyetlen_ videótelefonja előtt és várta, hogy valaki felhívja. Dogbert meg visított, hogy mennyire hülye is az emberiség. Aztán később megállapította, hogy ha nem lennének ilyen borzasztóan debil példányok közöttük, akkor sehová sem fejlődnének.
Azaz itt is el kell telnie bizonyos időnek, amíg ez az egész elképzelés beépül a köztudatba, elfogadhatóvá válik. Addig a pionírok szívnak.

A második blokk megint nem az egyszerű témák közé tartozott. PKI. Az egyik legborzasztóbb dolog az informatikában. Elmesélem, én eddig mi mindenen rágtam át magam, ahhoz, hogy értsek a területhez:

  • Éveken keresztül többször is nekifutottam mindenféle doksiknak, whitepaper-eknek. Habár egyik ügyfelünknél sem volt működő PKI rendszer, de éreztem, hogy kell a tudás. Természetesen nem jutottam semmire.
  • Elmentem Marciékhoz PKI tanfolyamra. Ennek megvolt az az előnye, hogy azóta a mosógép vezérlőtárcsájával is tudok RSA kulcspárokat generálni – de a tanúsítványkezelés politika része ugyanolyan homályos maradt számomra, mint korábban volt.
  • Mit ád az ég, egyik ügyfelünknél ki kellett alakítani egy kellően biztonságos, hosszútávú PKI rendszert – és mindenki másnak pont mozijegye volt. Ha azt mondom, hogy habosan izzadtam, igen finom voltam. És még egyáltalán nem vagyok biztos abban, hogy ez egy jól működő rendszer lett. Pedig ezerrel használják.
  • Elmentem meghallgatni Marcit, mit mond, milyen új nézőpontot mutat be, milyen kapaszkodót ad a gondolkodásomnak. Nos, ez után az előadás után már valószínűleg a digitális tűzhelyen is menni fog az RSA kulcsgenerálás – de a politika rész, a tanúsítványok kezelése, az egész unalmas, de roppant nehezen járható adatbáziskezelés továbbra is homályos maradt.

Az ezzel az egésszel a baj, hogy… minden. Azt mondják, hogy aki ilyen rendszert tervez, hihetetlenül, baromira, átkozottan, borzasztóan jó nostradamusnak kell lennie, hiszen előre kell látnia mondjuk húsz évet, hogy ezalatt milyen igények lehetnek… mindezt úgy, hogy machetével is nehezen lehet vágni, akkora a köd. Ja, és hibázni sem lehet, mert akkor az egész megy a levesbe – adatvesztés, állásvesztés. Mission Impossible. Ahhoz, hogy valaki értsen hozzá, nemes egyszerűséggel fejre kell állítania néhány cég informatikáját. A sikeres PKI tervező életútját füstölgő bizalomromok szegélyezik.
Azt hiszed, szórakozok, direkt túlzó képeket vázolok fel. De jó is lenne.
Tessék, olvasd végig ezt a négy részes cikket. Eleinte minden világos. Aztán megjelennek a szkriptek, valami borzalmas sorokkal. Mik ezek? Nem kapsz rá választ. És ez úgy általában jellemző az egész katyvaszra. Írd be azt, hogy certutil bla-bla – aztán minden jó lesz. Beírod… de nem érted. Oké, egy idő után rájössz, hogy a certutil -setreg az registry bejegyzés lesz… meg ráérzel arra is, hogy a grafikus felület nem ritkán átkozottul tré, tehát a legegyszerűbb lefordítanod fejben a -setreg paramétereit és közvetlenül beírni a registrybe… már ha éppen megy. De ez akkor is gányolás, kókányolás, hályogkovácsolás. És ez jellemző az egész miskulanciára. Ezt állítsd be itt, azt állítsd be ott, az egyikhez registry turka kell, a másikhoz ini fájl editálás, ahhoz meg mmc konzol, ide másolj be szövegesként megnyitott fájlból base64 kódolású cuccost, de szedd ki az első x és az utolsó y karaktert – és persze az egészhez nincs értelmes leírás. Legalább annyi, hogy mit miért kell csinálnod. Aztán jönnek a rettenetes rövidítések: CRL, CDP, AIA, CPS… meg az egész ködös társaság. Melyik fontos? Melyik inkább technikai (azaz szigorúan betartandó), melyik inkább politikai (azaz működést nem annyira befolyásoló, inkább bizalmi problémát jelentő)? Amikor először belevágtam, pörgött az ujjaim alatt az acronymfinder, de az se hozott biztonságot. Ez egy szétfolyó, vázatlan, átláthatatlan és megfoghatatlan katyvasz. Mintha a markodba borítanának egy liter vizet, hogy formálj belőle húsvéti nyulat. De ha nem lesz tökéletes még a fülében is a szőrszál, akkor lelövik a kutyádat.

Aztán mindenki meglepődik, hogy az informatikusok idegenkednek a PKI rendszerek bevezetésétől.

No, ezek után voltam kíváncsi, mihez kezd Marci a rendelkezésére álló egy órával. Mit mondjak, nagyokat hasított bele a beton sűrűségű ködbe… de fény még továbbra sem jött át.

Leave a Reply

Your email address will not be published. Required fields are marked *