Hallo.

Was ist nur los mit dieser Welt. Jahrtausendwende ist längst gewesen,
und trotzdem liest man, wenn man irgendwelchen Kram implementieren will,
ständig sowas wie: "Buy this standard as pdf for only XXXX USD. Your
CreditCard will be billed some weeks later".

Man muss ja nur 'ne Zeile standardkonformen C-Code schreiben wollen,
um mit diesem Problem konfrontiert zu sein. Wenn man dann den evtl. von
einem Compiler generierten Code vollständig analysieren will, kann
man sich neben den Zielsystemspezifischen Festlegungen gerne noch
die offiziellen Cryptostandards kaufen (X.5xx, ASN.1, sowie all
die darin rekursiv referenzierten Standards), um dann festzustellen, daß
man, wenn man das alles vernünftig machen will, noch Zertifikats-Abo
von einem der kommerziellen Trustcenter benötigt.

Will man dann noch wissen, was man bei der Reperatur eines Toasters
beachten muss, ist man sicherlich erneut einige 1000 EUR los, um an
die benötigten Informationen zu kommen, vorausgesetzt der Toaster bietet
keine Möglichkeit zum Anschluss an einen Computer.

Ich verstehe dieses System irgendwie nicht. Wie handhabt ihr das?
Besorgt man sich solche Standards heimlich über irgendwelche dunklen
Tauschbörsen? Wird man dem Problem gerecht, indem man seine müden
Knochen zur nächstgelegenen Bücherei schleppt, um sodann riesen
Stapel realen Papiers nach Hause zu transportieren, auf daß es
dann für einige Jahre in irgendeiner Ecke eurer Behausung
vergilben möge? Wartet ihr ab, bis eine der jeweiligen
Standardisierungsorganisationen sich erbarmt, euch erneut
einen Armentarif für die stattliche Anzahl von N downloads zukommen zu
lassen? Oder begnügt ihr euch mit den oftmals völlig diffusen
Standard-Umschreibungen dritter, die allerdings andererseits teilweise
unmissverständlicher sind, als die Standards selbst?

Gruss

Jan Bruns

Hallo,

Jan Bruns schrieb:
> ständig sowas wie: "Buy this standard as pdf for only XXXX USD. Your
> CreditCard will be billed some weeks later".
[...]
> Ich verstehe dieses System irgendwie nicht. Wie handhabt ihr das?

bei der Programmierung sind mir die durch $$$-Summen vor der Verwendung
geschützten Standards primär erstmal völlig egal. Entscheidend ist
vielmehr, dass es nachher funktioniert. Darin liegt natürlich im
Einzelfall ein beträchtlicher Überlapp zu bestimmten Standards.

Bei der Sprache selbst ist das erstmal Pillepalle, denn es muss ohnehin
auf allen garantierten Zielplattformen mal getestet werden. Heikler wird
es bei externen Schnittstellen oder Protokolltreibern. Aber selbst da
gilt: es muss primär mit allen zugesicherten Eigenschaften
funktionieren. Die Frage ist eher wer Testet das, bzw. wo kommen die
Testfälle her.

Letztlich hängt es davon ab, was der Kunde will. Wenn er will, dass ein
Standard auf zwei Stellen hinter dem Komma eingehalten wird, dann kostet
es eben, was es kostet. Allerdings darf man bei etlichen Standards froh
sein, wenn sie sich nicht selbst widersprechen. Zumindest aber haben die
meisten Standards kleine Lücken.
Will der Kunde hingegen, dass etwas mit dem bei ihm eingesetzten
Sparringspartnern funktioniert, dann tut man gut daran eben genau darauf
zu achten. Mit der Eigenschaft 'stadardkonform' ist das in keiner
Richtung äquivalent.


Marcel

On Nov 20, 5:16*pm, "Jan Bruns" <testzugang_janbr...*arcor.de> wrote:
> Man muss ja nur 'ne Zeile standardkonformen C-Code schreiben wollen,
> um mit diesem Problem konfrontiert zu sein.

Der Compilerschalter -strict_ansi existiert - zumindest in den meisten
Compilern.

> Wenn man dann den evtl. von
> einem Compiler generierten Code vollständig analysieren will, kann
> man sich neben den Zielsystemspezifischen Festlegungen gerne noch
> die offiziellen Cryptostandards kaufen (X.5xx, ASN.1, sowie all
> die darin rekursiv referenzierten Standards), um dann festzustellen, daß
> man, wenn man das alles vernünftig machen will, noch Zertifikats-Abo
> von einem der kommerziellen Trustcenter benötigt.

Warum (außer aus akademischen Interesse) sollte man so etwas tun - und
wenn man das im Rahmen einer Forschungsarbeit tut, dann sollte sich
der Geldgeber darum kümmern, dass die Standards heran geschafft
werden. Des weiteren existieren gerade im Cryptobereich bereits
ziemlich viele offene Standards. Warum sollte man sich da die DIN/EN/
ISO/ANSI-Norm kaufen, wenn in den RFCs genau dasselbe (nur in "kurz"
und in "verständlich" drin steht?

> Ich verstehe dieses System irgendwie nicht. Wie handhabt ihr das?

Ich erfinde nicht das Rad neu, sondern verwende Dinge wieder, die
standardgemäß implementiert sind. Dort, wo ich standartisierte Dinge
(Code, Schnittstellen, Protokolle) brauche und solche Produkte nicht
existieren, versuche ich ausschließlich offene Standards zu verwenden.
Den seien wir mal ehrlich - wer hat die Zeit und die Lust tausende und
abertausende Seiten eines Standards zu wälzen, nur um etwas
standardkonformes zu schaffen? Ich bin schließlich Informatiker, kein
Patentprüfer...

Gruß
Hendrik

* Hendrik Belitz:

> Warum (außer aus akademischen Interesse) sollte man so etwas tun

Vermutlich weil man interoperable Software schreiben möchte und das
noch nie auf diesem Wege versucht hat.

> - und wenn man das im Rahmen einer Forschungsarbeit tut, dann sollte
> sich der Geldgeber darum kümmern, dass die Standards heran geschafft
> werden. Des weiteren existieren gerade im Cryptobereich bereits
> ziemlich viele offene Standards. Warum sollte man sich da die
> DIN/EN/ ISO/ANSI-Norm kaufen, wenn in den RFCs genau dasselbe (nur
> in "kurz" und in "verständlich" drin steht?

Die RFCs beschreiben z.B. nicht ASN.1, welchs aber bei der ITU
kostenlos in elektronischer Form erhältlich sein sollte.

Für die Softwareentwicklung haben Standards aber nur eine
untergeordnete Bedeutung, weil sie meist nicht von Programmierern
geschrieben wurden, i.d.R. nicht sorgfältig getestet wurden (was bei
nicht ausreichnd formaler Beschreibung sowieso schwierig ist) und sie
von den Leuten, zu deren Code man kompatibel sein möchte, nicht
gelesen wurde. Wenn mangelnde Interoperabilität nicht gerade das Ziel
ist (z.B. bei der Implementierung der TKÜV), dann ist die Orientierung
an Standards also keine so gute Idee.

"Florian Weimer":
>> - und wenn man das im Rahmen einer Forschungsarbeit tut, dann sollte
>> sich der Geldgeber darum kümmern, dass die Standards heran geschafft
>> werden. Des weiteren existieren gerade im Cryptobereich bereits
>> ziemlich viele offene Standards. Warum sollte man sich da die
>> DIN/EN/ ISO/ANSI-Norm kaufen, wenn in den RFCs genau dasselbe (nur
>> in "kurz" und in "verständlich" drin steht?

> Die RFCs beschreiben z.B. nicht ASN.1, welchs aber bei der ITU
> kostenlos in elektronischer Form erhältlich sein sollte.

In IETF RFCs finden sich: einige symetrische Verschlüsselungsverfahren,
eine verwendebare Kurzbeschreibung zu RSA, und tausende Querverweise
auf X.509 (also die Beschreibung des Aufbaus von Zertifikaten), welches
bei ITU immer noch 73 Franken kosten soll (momentan jedoch aus nicht
ersichtlichen Gründen verblüffend trotzdem kostenlos herunterladbar ist).
Da fehlen einem dann aber noch all die Querverweise in X.509. Man muss
ja genauestens wissen, wie man Datensätze in Zertifikaten unterbringt.
Dazu gibt's dann den Satz von ASN.1 Codierungen (BER, und so), die
dann die das Containerformat beschreiben. Alle gemeinsam referenzieren
die dann munter weitere ITU-Standards, um bspw. eine einheitliche
Codierung von Datümern oder Strings zu gewährleisten. Bei jedem einzelnen
dieser ITU Dokumente bleibt es dem Zufall/ dem Glück/ der Willkür
überlassen, ob es kostenlos verfügbar ist, oder im Shop gegen Bargeld
verkauft wird.

Hat man das alles gelesen, stellt man letzlich fest, daß man aber
noch nicht herausgefunden hat, welche Datensätze gängige Software
akzeptiert. Es ist nämlich nicht so, daß von Software nicht verstandene
Datensätze einfach ignoriert würden. So benötigt man in der Praxis bspw.
in SSL Zertifikaten nirgendwo näher bezeichnete Datensätze (bspw.
von Netscape entwickelte Datenstrukturen, zu denen u.U. jeweils
softwaretechnisch inkompatible Entsprechungen anderer Entwickler
zu finden sind). Selbiges gilt selbstredend auch für Code-Signing
Zertifikate.

Neulich irgendwann wollte ich nur mal wissen, wie eigentlich die
PAL-Fernsehnorm aussieht. Schwubs, schon wieder 'nen kostenpflichtiger
ITU-download. So interessant ist's dann doch nicht. Schon schräg,
daß es nichtmal den Vereinten Nationen möglich ist, der Allgemeinheit
dort festgelegte, technische Standards (die ja z.T. auch gesetzlich
vorgeschrieben werden) zur Verfügung zu stellen. Die Allgemeinheit
umfasst ja einen grösseren Personenkreis, als nur Leute, die sich
gewerbsmmässig mit Standards befassen.

Gruss

Jan Bruns

Jan Bruns wrote:
> Was ist nur los mit dieser Welt. Jahrtausendwende ist längst gewesen,
> und trotzdem liest man, wenn man irgendwelchen Kram implementieren will,
> ständig sowas wie: "Buy this standard as pdf for only XXXX USD. Your
> CreditCard will be billed some weeks later".

Zumindest bei den Sprachstandards steht da eben nicht unbedingt einer
dahinter, der den Standard pushen will und daher finanziert, sondern die
Komitee-Mitglieder zahlen das fein selber. Aber irgendwer muss halt auch
den Orga-Kram bezahlen, und das macht der Käufer des Dokuments. Und im
ANSI-Webstore sind die Dinger m.W. auch recht bezahlbar.

Außerdem bekommt man zahlreiche Drafts kostenlos im Netz. Für C++ zum
Beispiel das Dokument WG21/N2464, für C WG14/N1124.

Weiterhin gibt's einiges kostenlos bei ECMA oder anderswo. Man nimmt
halt nicht ISO-9660:1998, sondern ECMA-119. Statt ISO-14496-14 reicht
meistens auch die Quicktime- oder Flash-Video-Dokumentation, statt
IEEE-1003 (POSIX) die Single Unix Specification.

> Wird man dem Problem gerecht, indem man seine müden
> Knochen zur nächstgelegenen Bücherei schleppt, um sodann riesen
> Stapel realen Papiers nach Hause zu transportieren, auf daß es
> dann für einige Jahre in irgendeiner Ecke eurer Behausung
> vergilben möge?

Auch eine Möglichkeit. Uni-Bibliotheken haben DINs und ISOs gerne verfügbar.


Stefan

"Jan Bruns":
> Neulich irgendwann wollte ich nur mal wissen, wie eigentlich die
> PAL-Fernsehnorm aussieht. Schwubs, schon wieder 'nen kostenpflichtiger
> ITU-download.

Eigentlich hätte ich mich ja auch gern mit Digitalvideo befassen
können, aber das schienen mir noch mehr kostenpflichtige downloads
zu sein.

Vorgestern hatten wir im Usenet 'ne Diskussion über irgendein
HDL (HardwareDescriptionLanguage) Konstrukt. Führte mal wieder
zu nix, weil kein Mensch (ich zumindest) sich das die Sprache
definierende Originalpapier leisten kann.

Das Papier zu C++ liegt mir auch nicht vor. Ist schon nervig
bei jedem C++ Projekt auf für mich bis dahin unbekannte Konstrukte
zu stossen. Vom C-Standard habe ich wenigstens eine illegale
Draft-Version ausdrucken können, bevor ich die Datei verklüngelt
habe.

Gruss

Jan Bruns

"Stefan Reuther":
> Jan Bruns wrote:

> Zumindest bei den Sprachstandards steht da eben nicht unbedingt einer
> dahinter, der den Standard pushen will und daher finanziert, sondern die
> Komitee-Mitglieder zahlen das fein selber.

Mir war eh' noch nie ersichtlich, inwiefern Reisen zu irgendwelchen
Komitee-Treffs zum Endergebnis beitragen. Ich finde, gepflegte
Sachdiskussionen lassen sich auch bestens über web führen.

> Aber irgendwer muss halt auch den Orga-Kram bezahlen, und das macht
> der Käufer des Dokuments.

Den Orga-Kram bzgl. Vorhaltung eines Web-Stores? Jeder Trottel hat 'ne
eigene Webseite. Warum also nicht auch die Vereinten Nationen?

Davon abgesehen werden die Standards ja von Menschen entwickelt.
Keine Ahnung, wie ehrenamtlich die das machen.
Jedenfalls müssen die ja auch irgendwie versorgt sein.
Nur bin ich schlicht nicht in der Situation, die versorgen zu können.
Deshalb diese grandiosen Meisterwerke nicht sehen zu dürfen, ist
aber schon echt störend.

> Und im ANSI-Webstore sind die Dinger m.W. auch recht bezahlbar.

Ja, wenn man einmal im Leben einen solchen Schrieb haben will, ist
der Preis ganz ok, stimmt.

> Außerdem bekommt man zahlreiche Drafts kostenlos im Netz. Für C++ zum
> Beispiel das Dokument WG21/N2464, für C WG14/N1124.

http://www.google.de/search?q=WG21%2FN2464&ie=utf-8

Es hilft im Übrigen auch nicht, jetzt krampfhaft eine Liste
von Ausnahmen von der Kostenpflichtigkeit von Standards zu erstellen.

> Auch eine Möglichkeit. Uni-Bibliotheken haben DINs und ISOs
> gerne verfügbar.

Tatsächlich? Habe ich nie ernsthaft probiert. Habe gestern mal kurz
erfolglos online geschaut, ob sowas bei der uni-bücherei hier zu
finden ist.

Gruss

Jan Bruns

"Jan Bruns":
> Schon schräg, daß es nichtmal den Vereinten Nationen möglich ist, der
> Allgemeinheit dort festgelegte, technische Standards (die ja z.T. auch
> gesetzlich vorgeschrieben werden) zur Verfügung zu stellen. Die Allgemeinheit
> umfasst ja einen grösseren Personenkreis, als nur Leute, die sich
> gewerbsmmässig mit Standards befassen.

Ob das vielleicht daran liegt, daß an zuständigen Stellen doch eher
Politiker (= Juristen) sitzen, als Techniker?

Bei Gesetzen ist das ja irgendwie ähnlich: Die werden alle
in irgendeinem Blatt veröffentlich, das kein Normalmensch erhält.
In einer Form, mit der auch kein Normalmensch was anfangen kann.
Da gibt es allerdings m.W. dann noch Schreiberlinge, die die im Blatt
veröffentlichten Veränderungsanweisungen auch durchführen, und
das Ergebnis (Gesetzestext auf neustem Stand) dann dem Interessierten
Normalbürger zur Verfügung stellen.

Gruss

Jan Bruns

* Jan Bruns:

> In IETF RFCs finden sich: einige symetrische Verschlüsselungsverfahren,
> eine verwendebare Kurzbeschreibung zu RSA, und tausende Querverweise
> auf X.509 (also die Beschreibung des Aufbaus von Zertifikaten), welches
> bei ITU immer noch 73 Franken kosten soll (momentan jedoch aus nicht
> ersichtlichen Gründen verblüffend trotzdem kostenlos herunterladbar ist).

Abschnitt 4.1 in RFC 5280 sollte die Syntax hinreichend vollständig
beschreiben.

> Da fehlen einem dann aber noch all die Querverweise in X.509. Man
> muss ja genauestens wissen, wie man Datensätze in Zertifikaten
> unterbringt.

Nein, man muß nur wissen, wie man das Schlüsselmaterial extrahiert
(und, wenn man ehrgeizig ist, den Zeitraum der Gültigkeit).

Der Rest sind Verzierungen, die man getrost ignorieren kann (und für
sicherheitsrelevante Anwendungen sogar ignorieren muß), weil sich die
Welt nicht über die Bedeutung einig ist.

> Dazu gibt's dann den Satz von ASN.1 Codierungen (BER, und so), die
> dann die das Containerformat beschreiben. Alle gemeinsam referenzieren
> die dann munter weitere ITU-Standards, um bspw. eine einheitliche
> Codierung von Datümern oder Strings zu gewährleisten. Bei jedem einzelnen
> dieser ITU Dokumente bleibt es dem Zufall/ dem Glück/ der Willkür
> überlassen, ob es kostenlos verfügbar ist, oder im Shop gegen Bargeld
> verkauft wird.

DER sollte mit den essentiellen Abhängigkeiten kostenlos erhältlich
sein.