Generated Shownotes
Chapters
0:00:24 Intro
0:01:14 Rust News November
0:12:42 Interview: MeshCon
0:31:38 Musik: Tryad mit Listen
0:37:02 Interview: Nitrokey
0:56:06 Abmod
Long Summary
In dieser Episode präsentiere ich die Neuigkeiten aus der Rust-Community im November. Ich informiere über die Veröffentlichung von Rust 1.74, die einige neue Funktionen und Verbesserungen enthält. Des Weiteren teile ich offizielle News von crates.io, wo ein Problem mit Shields.io behoben wurde und non-canonical Downloads auf Crates.io abgeschaltet wurden. Außerdem berichte ich von der MESHcon 2023 in Berlin, bei der Menschen aus verschiedenen Bereichen zusammenkamen und verschiedene Perspektiven gezeigt wurden. Wir sprachen über Cloud- und KI-Themen und hörten spannende Vorträge. Zusätzlich diskutiere ich die Bedeutung offener Hardware und offener Chips, um gesellschaftliche Veränderung und technologische Innovation voranzutreiben. RISC-V wird als offener Standard erwähnt und es wird auf die Herausforderungen hingewiesen, solche Projekte in Europa voranzutreiben. Abschließend stelle ich unsere eigene Firma vor und erwähne unsere Veranstaltungen wie die MESHcon und den Open Tech Summit, sowie unser Produkt NitroKey, einen USB-Schlüssel zur sicheren Authentifizierung und Datenverschlüsselung.
Weiterhin erkläre ich, wie die Hardware-Entwicklung bei uns funktioniert. Wir kaufen Chips ein und löten sie auf die Leiterplatte. Die Entwicklungsleistung umfasst das Layout und Schema der Leiterplatte. Diese Projektdateien können heruntergeladen und mit entsprechender Software geöffnet werden. Die Produktion der Nitro Keys erfolgt in Berlin, während die Leiterplatten aus Deutschland geliefert werden. Ich erläutere auch, dass wir neben den Nitro Keys auch andere Hardware wie Telefone herstellen. Diese werden jedoch nicht in Deutschland produziert, sondern wir kaufen die Elektronik ein und spielen unsere eigene Firmware und Software darauf, um hohe Sicherheit zu gewährleisten.
Ich gebe Einblick in unsere Produkte, die auf Open-Source- und Open-Hardware basieren. Bei Laptops verwenden wir eine offene Firmware basierend auf Coreboot und als Betriebssystem entweder Linux oder KubeOS. Bei den Nitro-Phones handelt es sich um Google Pixel Telefone, auf denen wir das GrapheneOS installieren, eine auf Sicherheit fokussierte Android Distribution. Diese bieten starke Sicherheitsfunktionen und bis zu sieben Jahre Software-Updates. Auf Wunsch bieten wir die Telefone auch ohne Mikrofone, Sensoren und Kameras an, um höhere Sicherheitsanforderungen zu erfüllen.
Des Weiteren präsentiere ich einen Passwortmanager, der normale statische Passwörter sowie Einmalpasswörter speichern kann. Er bietet größeren Speicherplatz und die Möglichkeit, mehrere Personen oder unterschiedliche E-Mail-Adressen zu nutzen. Ein weiteres Feature ist ein Nitro Key, auf dem verschlüsselte Dateien abgelegt werden können. Dabei ist eine PIN erforderlich, um auf die Daten zugreifen zu können. Zudem kann der Nitro Key verwendet werden, um SSH abzusichern und sich remote auf Linux- oder BSD-Rechnern anzumelden.
Ich erläutere verschiedene Möglichkeiten, wie man mit uns in Kontakt treten kann, wie ein Forum, E-Mail oder einen Matrix-Kanal. Feedback, Codebeiträge und Verbesserungsvorschläge werden immer willkommen geheißen.
Abschließend bedanke ich mich bei Jan dafür, dass er uns erklärt hat, was Nitro-Key ist und wie man sich daran beteiligen kann. Am Ende der Sendung bedanke ich mich auch bei meinen Interview-Partnern Mario Billing und Jan Suhr sowie bei Matthias, der an der Sendung beteiligt war. Ich empfehle die MESHcon und den Open Tech Summit als interessante Veranstaltungen für das kommende Jahr. Ich werde auf Mastodon und Co. bekannt geben, wo wir unterwegs sind. Zum Abschluss wünsche ich eine frohe Zeit und wir hören uns im Dezember wieder. Ciao, ciao!
Brief Summary
In dieser Episode präsentieren wir die Neuigkeiten aus der Rust-Community im November, darunter die Veröffentlichung von Rust 1.74. Wir berichten auch von der MESHcon 2023 und stellen unser Produkt NitroKey vor. Außerdem erläutern wir unsere Open-Source-Hardware und verschiedene Kontaktmöglichkeiten. Danke an Jan, Mario, Jan und Matthias. Empfehlung für MESHcon und Open Tech Summit. Bis zum nächsten Mal! Ciao, ciao!
Tags
Rust-Community, November, Veröffentlichung, Rust 1.74, MESHcon 2023, NitroKey, Open-Source-Hardware, Kontaktmöglichkeiten, Jan, Mario, Matthias, MESHcon, Open Tech Summit
Transcript
Intro
[0:25] Hallihallo, herzlich willkommen zur Radio Tux Sendung im November 2023.
Also langsam wird es kalt draußen. Hier liegt schon ganz schön viel Schnee.
Weihnachten ist auch nicht mehr so weit weg.
Es ist lange Zeit dunkel draußen.
Auch während ich jetzt schon wieder aufnehme. Ja, aber da müssen wir durch durch die Zeit.
Ich hoffe, ihr könnt euch trotzdem ein bisschen amüsieren. was ihr nicht geht auf Weihnachtsmärkte oder was auch immer ihr so treibt, um durch diese dunkle Jahreszeit zu kommen.
Vielleicht natürlich auch, ja, diese Folge Radio Tux hören und genau, wir haben für euch wieder ein kleines Programm und wir beginnen, wie in den letzten Folgen schon, mit den Rust News.
Rust News November
[1:15] Willkommen bei Radio Tux, ich bin Matthias und ihr hört den Newsshot aus der Rust-Welt, was im November passiert ist. Im November gab es Rust 1.74.
Alle sechs Wochen wird ja die Toolchain neu released und im November jetzt eben gab es die 1.74.0.
Dazu.
[1:31] Gibt es natürlich auch wieder einen Blogpost, den ich euch in den Show Notes verlinkt habe.
Und was ist drin? Ja, mit Rust 1.74 kann Cargo Lint Konfigurationen, das heißt ich kann jetzt in meinem Toolchain-File, also cargo.toml, kann ich Lins angeben, die verwendet werden sollen, wenn der Rust-Code geparsed wird.
Heißt, ich kann zum Beispiel in meinem Cargo.toml sagen, dass unsaveCode nicht erlaubt sein soll.
Des Weiteren gab es Änderungen für die Cargo Registry Authentication und zwar kann Cargo jetzt Credential Providers unter den gängigen Betriebssystemen, also Windows, MacOS und Linux ansprechen, also die Standard-Credential-Providers, und.
[2:15] Die Registries können nun optional Authentication erwarten.
Außerdem versteht der Compiler jetzt Projektionen in opaken Return Types.
Was heißt das? Nun, in Rust kann ich ja opake Return Types verwenden.
Heißt, ich sage in meinem Code, dass eine Funktion nicht einen bestimmten Typen returnt, wie zum Beispiel einen 32-Bit-Integer, sondern, einen beliebigen.
[2:41] Typen, der einen bestimmten Trait implementiert. Das heißt praktisch, ich sage in meinem Code, hey, diesen Typen, den ich jetzt hier returne, der implementiert Iterator zum Beispiel.
Und damit muss ich nicht meinen eventuell sehr komplexen Typen in meiner Funktionssignatur angeben.
Und in diesen opaken Return Typen, also in dieser Annotation praktisch, dass ich einen Iterator returne, konnte ich bislang keine Projektion verwenden wie zum Beispiel Self, also den eigenen Typen wiederum, auf dem die Funktion implementiert ist.
Und mit Rust 1.74 geht es jetzt. Außerdem haben wir in Rust 1.74 natürlich wieder jede Menge stabilisierte APIs, das wäre jetzt etwas zu länglich, um diese hier alle aufzulisten.
Wir haben drei neue Funktionen, die im Const-Kontext stabil sind, und das sind core, mem, transmute, copy.
Str ist ascii und slice von u8 ist ascii. Außerdem wurde mit Rust 1.74 noch das Minimum Requirement für Apple-Plattformen hochgesetzt.
Wir brauchen jetzt für macOS die 10.12 Sierra, für iOS die Version 10 und für tvOS auch die Version 10.
Was gab es im November von offizieller Seite? Zunächst einmal gab es ein Postmortem über ein Problem bei crates.io mit dem wunderbaren Blogpost-Titel Broken Badges and 23,000 Features.
[4:03] Ja, warum ging es da? Nun, es wurde vom crates.io-Team festgestellt bzw.
Jemand hat sich gemeldet Und zwar hat dieser Create-Autor ein Problem gehabt mit Shields.io.
Shields.io ist ein Provider für so Batches.
[4:21] So kleine Labels praktisch, die man in seinen Repository hängen kann zum Beispiel und dann steht da, dass zum Beispiel dieses Projekt mit Rust 1.74 gebaut wurde oder eben diesen Compiler aktuell verwendet.
Ja und dieser jemand hatte eben Probleme damit, nämlich dass Shields I.O.
Nicht mehr funktioniert hat.
Und man hat dann herausgefunden, warum. Und zwar hat Shields I.O.
Fragt für jeden Aufruf die Crates I.O.
API an und fragt praktisch die Informationen über diese Crate ab.
Nun hat sich allerdings herausgestellt, dass die Crate, die hier abgefragt wurde, einen Rep-Request ausgelöst hat, den Crates.io mit einem sehr, sehr großen Payload beantwortet hat, nämlich über 20 MB.
Und Shields.io hat eben ein Limit, das bei 20 MB einfach Schluss ist.
Und dementsprechend hat es nicht mehr funktioniert. Nun, wie kann es passieren, dass eine einfache Abfrage für Informationen über eine Crate einen so großen Payload erzeugen?
Das ist relativ einfach. Die Crate, die hier infrage kam, hat nur neun Versionen, aber sie hat 23.000 Features.
Was ist ein Feature? Ein Feature ist praktisch ein Compile-Time-Flag, ob ein bestimmter Teil vom Code mitcompiled werden soll oder nicht.
Und diese Crate hatte eben 23.000 davon.
Warum hatte die so viele? Nun, die Crate ist eine SVG-Icon-Crate, für.
[5:50] Web-Applikationen. Heißt, es gibt ganz viele Icons, die in dieser Crate definiert, sind und jedes Icon ist eben hinter einem einzelnen Feature, was durchaus Sinn macht.
Da wenn ich eine Applikation, eine Web-Applikation mit Rust bauen will, ich keine 23.000 SVG-Icons, brauche, sondern halt eben vielleicht nur 10 oder 15 und ich kann genau diese 15 dann mit Feature Flags für diese Dependency, für diese Crate anmachen und in meinem finalen Kompilat landen dann eben auch bloß die 10 von mir Verwendeten und nicht alle 23.000, was natürlich offensichtliche Vorteile hat.
Nun ist aber das Problem, dass Crates.io hier eine riesige Anfrage oder eine Anfrage bekommen hat, die es mit einem riesigen Payload beantwortet hat, was natürlich dann nicht mehr funktioniert hat wegen diversen Limits.
Und der Fix ist jetzt von dem Crates-IO-Team eingespielt worden, dass neue Crates oder neue Versionen von existierenden Crates maximal 300 Features haben dürfen.
Ich verlinke euch natürlich den entsprechenden Blogpost in den Show Notes und ihr könnt es nochmal nachlesen. Es ist ein sehr lesenswerter Artikel.
[7:07] Was gab es noch im November? Im November wurden non-canonical Downloads abgeschalten auf Crates.io.
Und zwar genau genommen am 20. November. Was sind non-canonical Downloads?
Nun, zunächst muss man wissen, dass Cargo nicht unterscheidet zwischen einem Unterstrich und einem Bindestrich in einem Crate-Namen.
Heißt, serde-derive, was eine bekannte Crate ist, und serde-derive sind.
[7:34] Im Endeffekt das gleiche für Cargo und eben auch für Crates.io.
Deswegen konnte man die gleiche Crate von zwei unterschiedlichen URLs runterladen, nämlich einmal eben mit diesem Underscore und einmal anstatt mit dem Underscore mit dem Bindestrich.
Aus Performancegründen wird das jetzt abgeschalten, beziehungsweise wurde das schon abgeschalten. Wer nutzt sowas überhaupt?
Cargo selber nutzt es nämlich nicht, aber es gibt aufgrund der Logs, die man analysiert hat, ein paar Projekte, die diese non-canonical downloads, nutzen und zwar einmal Cargo Binstall, GnuGUIL oder GIL, ich weiß nicht genau, wie man es ausspricht, dann Python Requests, Faraday, GoHttpClient und natürlich eventuell selbst gestrickte Skripte, die ihr daheim rumliegen habt.
Deswegen müsst ihr die eventuell anpassen.
Die genannten Projekte wurden darüber, soweit ich weiß, schon informiert.
Cargo Bin Stall gibt es inzwischen auch in neueren Versionen, die dann eben nur noch die kanonischen Downloads benutzen.
[8:35] Generators are dead. Long-Live Coroutines. Generators are back.
Wer Rust Nightly verwendet, hat vielleicht schon mal vom Generator-Trade gehört.
Der ist bislang noch unstable und der wurde jetzt umbenannt zu Coroutine.
Warum? Ein Generator ist im Endeffekt nur ein sehr einfacher Weg, eine Iterator-Implementation zu schreiben und deswegen ist ein Generator im Endeffekt eine Coroutine ohne Argumente und ohne Return-Type.
[9:05] Mehr Details dazu findet ihr in dem Blogpost, der natürlich in den Show Notes verlinkt ist.
Genau, und Generators sind trotzdem allerdings wieder back.
Eine Sache, die besonders viel Aufmerksamkeit im November erzeugt hat, ist ein Post Faster Compilation with the Parallel Frontend in Nightly.
Und zwar wird das Rust-Compiler-Frontend schneller.
[9:28] Das ist ein relativ langer Artikel, warum diese Änderung jetzt gemacht wurde und warum sie bislang noch nicht gemacht wurde.
Spoiler Alert, weil sich niemand drum gekümmert hat. Aber der Rust-Compiler, hatte im Frontend bis jetzt keine Parallelisierung. Jetzt allerdings wird er paralysiert bzw.
Ist er schon und ja, surprise, er ist schneller.
Aktuell ist das ganze noch nightly. Default ist trotzdem noch single-threaded, aber spielen ist explizit erwünscht.
Das heißt, wenn ihr mal ausprobieren wollt, ob eure Crate schneller kompiliert, wenn ihr nightly und eben das Parallel Frontend verwendet, dann könnt ihr das jetzt tun.
Außerdem gibt es im November noch Updates vom Leadership Council.
Und zwar gibt es jetzt einen Prozess, wie Project Directors ernannt werden und dieser Prozess wurde auch schon angewandt, deswegen gibt es neue Project Directors.
Neben Ryan Levick und Mark Ruskov gibt es jetzt außerdem noch Scott McMurray, Jacob Deegan und Santiago Pastorino.
In dem Artikel werden auch noch jede Menge weitere Dinge genannt, zum Beispiel gibt es Es gibt eine Änderung an der Project Governance Documentation, an dem Leadership Council Documentation.
Es gibt einen Schedule für Events und Deadlines für den Council.
Es gibt einen Prozess für Council-Meeting-Beobachter.
[10:54] Es gibt einen Prozess für die 2024-Edition, welche jetzt gestartet wurde.
Und es gibt jetzt einen offiziellen Masternode-Server beziehungsweise einen offiziellen Masternode-Account, über den ihr dem Rust-Project folgen könnt.
Und zu guter Letzt gibt es einen Blogpost zur Vision für die Rust-Spezifikation.
[11:13] Und zwar ist es RFC 3.3.5.5. Es gibt jetzt ein Spezifikationsteam als Subteam des Language Teams und in diesem sind Felix Glock, Mara Boos, Joelle Marcy und Eric Huss und der Artikel nennt, wer die Stakeholder für die Spezifikation sind, was die Ziele sind, wie die Spezifikation entwickelt wird, was der Scope ist, wie die Spezifikation veröffentlicht wird, Spoiler, wie die REST-Dokumentation, öffentlich und unter einer freien Lizenz natürlich, dass die Releases der Spezifikationen unabhängig sind von den Compiler-Releases, und natürlich auch andersrum und was jetzt eben die weiteren Schritte sind.
Auch ein sehr interessanter Artikel, der selbstverständlich in den Journals verlinkt wird.
Und zu guter Letzt möchte ich noch ein Highlight machen, nämlich Hyper 1.0.0 wurde released.
Hyper ist eine asynchrone Bibliothek für HTTP 1 und HTTP 2 Server- und Client-APIs, diese.
[12:10] Wird seit neun Jahren entwickelt und ist jetzt eben in 1.00 rausgekommen.
Die Major-Versions, also 1.00 und so weiter, sind für mindestens drei Jahre als stabil announced und die Minimal Supported Rust-Version wird auf alle Fälle die letzten sechs Monate abdecken.
Vielen Dank fürs Zuhören. Mein Name ist Matthias und ihr hört Radio Tux.
[12:37] Ja, und ich war am Wochenende auf einer kleinen familiären Konferenz in Berlin
Interview: MeshCon
[12:45] und hab mir einen der Organisatoren geschnappt und mir mal erzählen lassen, wie es überhaupt zu dieser Konferenz kam und ja, was sie da so machen und planen.
[12:58] Ja, bei mir ist jetzt Mario Billing und wir sind hier auf der MESHcon 2023 in Berlin. Hallo Mario.
Hallo, freu mich, dass ich das Jahre lang hier sein kann mit dir.
Genau, wir haben schon im Vorgespräch gemerkt, wir haben uns ewig lange nicht gesehen. Ja, also es ist schon Jahre her.
Natürlich ist immer alles vor Corona, aber selbst vor Corona ist es schon eine ganz schöne Zeit, die dazwischen liegt. Ja, du warst ja auch lange in Asien.
Ja, ich war in Asien. Vor sehr langer Zeit war ich in Afghanistan, habe da Uni-Projekte gemacht, dann in Vietnam und Singapur und ja auch zwischenzeitlich wieder in Deutschland und hin und zurück.
Also es ist spannend, was so in der Welt passiert, aber ich freue mich auch immer wieder hier zu sein und tolle Leute zu treffen.
Und jetzt bist du hier und hast die MeshCon mitorganisiert.
Genau, also MeshCon, das ist eben eine Veranstaltung, die wir seit 2014 machen und auch immer mit Verein im Hintergrund, die uns da unterstützen, also mit den FFEE oder die LXD Foundation und auch verschiedenen Firmen, also meine eigene Firma zum Beispiel, die da sehr gerne natürlich auch mit unterstützt.
Und das Ziel der MESHcon ist, dass wir Leute aus verschiedenen Blasen zusammenbringen.
Also jeder hat ja so seine eigene Blase und denkt immer so ist das Leben und so funktioniert es und so ist die Technologie, aber es gibt doch viele verschiedene Facetten in der Gesellschaft und gerade in der Tech-Gesellschaft.
[14:23] Auch und die interpretieren wir viel weiter, bis hin zu Fashion-Tech.
[14:29] Also wo Leute eben über Mode reden oder auch über ganz andere Bereiche wie zum Beispiel Gesundheit oder Hardware, Mechanik, Laserkarten, 3D-Druck, bis hin zu Cloud- Es spielt einfach wirklich viel eine Rolle in der Zukunft der Gesellschaft, die sich gerade so entwickelt.
Und da wollen wir mal die verschiedenen Perspektiven zusammenbringen.
Okay, das heißt, ihr habt nicht nur ein Thema.
Also beim Mesh-Con könnte man jetzt auch denken, ich bin ein IT-Guy, es sind Service-Meshes oder so. Nee, es sind ganz viele verschiedene Themen.
Ja, es sind ganz viele verschiedene Themen, aber immer mit dem Ansatz der Offenheit.
Ich persönlich komme aus dem Open-Source-Bereich, auch viel mit Technologie, Web-Technologien und so weiter gearbeitet.
Und da haben wir gemerkt, es kann sich wirklich viel bewegen, wenn Leute offen Sachen zur Verfügung stellen können, dann kann man einfach zusammenarbeiten, auch mit Leuten auf ganz anderen Ecken der Welt und diese.
[15:30] Ordnung und Bewegung, die findet auf ganz vielen Ebenen statt, in ganz vielen Bereichen der Gesellschaft, in ganz vielen Technologiefeldern und da passieren spannende Dinge, von denen wir vielleicht gar nicht immer so wissen und deswegen sagen wir, lasst uns alle möglichen interessanten Leute mal einladen, dass sie uns hier erzählen, was passiert in ihrem Bereich da und wie sind sie in der Lage eben auch diesen offenen Ansatz umzusetzen.
Open Source, Open Hardware, Open Knowledge, also freies Wissen, Open Science.
Ich finde es immer ganz witzig, dass man Open Science sagen muss heutzutage ja leider, weil Wissenschaft ist gar nicht immer so offen.
Man kann leider heutzutage nicht immer was nachzuvollziehen und das ist ja eigentlich das Das Ziel ist, dass man Sachen nachvollziehen kann, dass man Daten verstehen kann, dass man neue Dinge auch damit vielleicht verstehen kann und dann auch umsetzen, bis hin zu Produkten bauen.
Und das ist ja das Ziel. Also wir haben einfach so viele Probleme in dieser Welt.
Wir müssen diese Probleme lösen und dazu brauchen wir freie Daten, dazu brauchen wir freies Wissen, dazu brauchen wir freien Code.
Die Sachen müssen offen und frei zur Verfügung stehen und es ist nicht so, dass man damit kein Geld verdienen kann, wie wir hier auf der Veranstaltung sehen. gibt es ja auch viele Menschen, die in großen Firmen arbeiten und damit auch ganz gutes Einkommen erzielen.
Was waren jetzt die Themen der diesjährigen MeshCon?
Also die Themen waren natürlich die Cloud und KI-Themen, die wir ja ganz groß hatten.
[16:52] Wir hatten zum Beispiel Frank Kaliček von Nextcloud da.
Er hat uns eben erzählt, also wie setzen Sie der Open Source KI in Nextcloud um und welche sind die Herausforderungen und wie ist es auch dann im Vergleich dazu.
Geschlossenen Firmen, wie Open AI, was ja eben viele auch mit Chats GPT momentan probieren.
Aber man kann schon eine ganze Menge auch mit Open Source umsetzen.
Und klar ist, diese ganze Basis der KI-Entwicklung ist ja sowieso Open Source.
Man braucht bloß die Computing Power und das kostet natürlich viel Geld.
Und ja, wenn wir eben da alle Nextcloud benutzen und das vielleicht auch in den Firmen einsetzen und im Bereich der Gesellschaft, dann gibt es da auch noch viel größere Chancen, dass wir diese KI-Entwicklung.
[17:37] Auch gesellschaftlich kontrollieren können, anstatt das jetzt nur einigen Firmen zu überlassen.
Eine andere Sache war auch von Gina AI.
Da hat hier der Gründer einen Vortrag gehalten. Gina AI, viele Hacker kennen es ja auch, weil es ständig in Hacker-News ist sozusagen und das war natürlich eine fantastische Sache, dass er hier ein bisschen ins Detail gehen konnte zu den technischen Fragen.
Und die andere Sache ist, natürlich ich habe schon kurz angedeutet, Open Hardware.
Also wir haben diese Sache, dass eben das nicht nur in dem Code ist, dem Quellcode, den man überall kennt, dass eben alles offen ist, sondern dass es immer weitergeht.
Also bis zu offener Hardware, wie kann man eigentlich Elektronik offenbauen und wie kann man das teilen?
[18:23] Und da hat Mitch seine Story auch berichtet und auch seine ganz persönliche Perspektive. Er hat ja damals dieses TV Begun gebaut.
Also Fernseh muss einfach weg oder sowas, ja. Weiß ich nicht, wie man es am besten übersetzt. Also TV Begun eben.
[18:38] Und eben so eine Sache, dass er sich immer abgelenkt gefühlt hat, dass in Amerika überall ständig Fernsehen läuft.
Da hat er eben so ein Gerät gebaut, womit man alle Fernseher abschließen, alle Fernseher ausschalten konnte, ja.
Und das ist eben einfach so eine Inspiration, ja. Also Leute können einfach auch irgendwie ein Problem sehen und sagen sich, Mensch, ja, wie kann ich dieses Problem lösen?
Und dann konnte ich nicht darauf hinarbeiten, das zu lösen.
Hat er ja auch seinen Weg beschrieben. Also er hat es erst mal auf dem klassischen Weg probiert, Patente eingereicht und so was.
Und warum er dann doch dazu gekommen ist, das als offene Hardware zu machen.
Ja, also das ist natürlich so, zum Beispiel hat er erzählt, dass sein Bruder Patentanwalt ist und da ist es immer ganz klar, ja natürlich muss man Patent machen, das passt alles zusammen und so weiter, aber er hat gemerkt, dass er damit gar nicht immer alle Leute erreichen, dass es ja auch ein unheimlicher Weg ist, ich meine, man muss sich das alles überlegen, wie ist das, wenn ich jetzt Patenteinwälte habe, wenn ich jetzt eine große Firma gründen muss und so weiter, also das kostet ja auch alles unheimlich Geld, das Produkt zu machen, das kostet vielleicht gar nicht so viel, ja, aber trotzdem ist ja die Frage, wie kann man das Produkt vermarkten? und so weiter.
Und heute gibt es mittlerweile ja viele Ansätze. Viele Leute kennen Raspberry PI, die kennen Arduino, also viele kleine Hardwaregeräte und Komponenten, die ja auch schon zu großen Teilen Open Source sind. Manche sind auch komplett Open Source.
[20:04] Und da gibt es eben viel, was es momentan gibt. Aber damals, als Mitch das gemacht hat, da gab es ja noch gar nichts.
Also er ist ja der Erste, der überhaupt auch Ideen haben muss, wie man das aufsetzt, wie man überhaupt auch so eine kleine Firma oder ein kleines Projekt global vertreiben kann.
Und das hat er irgendwie geschafft. Und das ist natürlich immer spannend zu hören.
Und ja, auch die jungen Leute, die jetzt hierher kommen, die sagen, wow. Also wenn Mitch das schon damals geschafft hat, dann kann man das heute auch schaffen.
Und jetzt gerade in der Wirtschaftskrise und ja, das Geld wird knapp.
Aber Mitch hat es damals geschafft. Selbst mit knappem Geld kann man es heute auch wieder schaffen.
Tolle Dinge auf die Beine stellen und auch kommerziell erfolgreich sein.
[20:46] Als Inventor hat er sich beschrieben, also als Ideengeber und dann natürlich als Ingenieur das Ganze noch zu bauen.
Wir haben mittlerweile, genau, Open Hardware. Ich meine, der Begriff ist noch nicht so alt, aber langsam kommt es ja jetzt auch, dass wir offene Chip-Designs, haben, wie RISC-V und sowas.
Also ich meine, es kommen immer mehr Bausteine dazu, dass man eben nicht nur offene Software hat, offene Firmware, was weiß ich, wie offene Biosysteme oder sowas, sondern eben auch offene Chips und dann können wir auch einen komplett offenen Computer endlich mal bauen.
Also das brauchen wir eben unbedingt. Wir sehen ja jetzt ja gerade mit dieser KI-Geschichte.
[21:23] Dass wir ja gar nicht mehr verstehen, was wirklich passiert in den Computern, und wir brauchen einfach einen gesellschaftlichen Wandel, eine Bewegung dahin, dass wir eine Bildungsoffensive brauchen.
Wir also wirklich auf allen Ebenen brauchen wir eine Veränderung hier.
Wir haben zum Beispiel diese Chips. Es gibt ja RISC-V. Das ist ein offener Standard.
Da gibt es schon viele Firmen, die das implementieren und an diesen Chips arbeiten.
Ich kenne auch viele Firmen in China.
Da muss ich mal sagen, Wahnsinn, was die da von der Regierung für Ressourcen bekommen.
Und da ist natürlich die Frage, wie machen wir das hier in Europa?
Bisher ist es so, dass wir eben große Firmen kontaktieren, Intel zum Beispiel, sollen in Magdeburg eine riesen Chip-Fabrik bauen.
Das kostet dann eben 10 Milliarden. Das muss ja auch erwirtschaftet werden.
[22:12] Ja, und da ist für mich immer die Frage, ist das der richtige Weg?
Oder gibt es vielleicht Alternativen? Also ich denke mal, mit 100 Millionen könnten wir sicherlich schon viel erreichen mit RISC-V und ich sage mal nicht, dass jetzt ich oder eine bestimmte Firma oder so dann eine riesige Geldsumme bekommen, sondern das könnte anders verteilt werden.
Da könnten wir ein Chip-Tech-Fund haben oder so, Da gibt es viele Möglichkeiten eben auf größerer Ebene Dinge anzuschieben und wirklich auch Innovation auf breiter Front hier aus Deutschland zu initiieren.
Solche Ideen fehlen mir in der Politik. Ich habe natürlich jetzt nicht die Patentlösung für alles, aber sozusagen den größten Firmen der Welt immer noch mehr zuzustecken.
Ja, das sehen wir einfach. Das funktioniert nicht.
Wir müssen hier in Deutschland lokal und vor Ort Dinge anschieben und das braucht lang Atem.
Ja, das braucht einige Jahre, aber...
Die Chipfabrik von Intel, das braucht ja auch einige Jahre. Also ich meine, nichts geht von heute auf morgen.
Und ich denke, wenn wir eben in unsere eigene Bevölkerung, in unsere eigene Bildung, in unser eigenes Technologienow-how investieren.
[23:21] Dann kommt das den Leuten eben doch mehr zugute. Und dann schaffen wir eben mehr.
Man hört heutzutage immer, wie war die Innovation nach dem Krieg?
Ja, und wie war die Verteilung der Ressourcen nach dem Krieg?
Und man hat einfach gesehen, wenn es verteilt wird, wenn die Ressourcen gut verteilt werden und in Bildung investiert werden, dann bewegt sich was, dann kann man eben auch hier in Deutschland wieder eine positive Zukunftsaussicht haben.
Und davon wollen wir weg. Wir wollen weg von dieser Negativität und wir machen das hier im Kleinen mit der MESHcon.
Wir bringen die Leute zusammen, wir zeigen denen alles, sagen immer, Mann Mario, du verstehst gar nicht, was da alles rauskommt.
Ich arbeite noch zwei, drei Jahre irgendwie mit Leuten zusammen, die ich hier vielleicht auf der MESHcon und deinen Events getroffen habe und ja ich erfahre das persönlich aber gar nicht, sondern ich erfahre das Jahre später ja und das freut mich natürlich und da eben auch eine positive Vision für die Leute zu ermöglichen, ja also dass sie da eine positive Vision haben.
Und wie kriegst du die Leute und Themen zusammen, weiß ich nicht, sitzt du da vor dem Rechner und denkst auch den den lädst du jetzt mal ein, auch das ist ein cooles Thema, wie funktioniert das?
[24:28] Also manchmal haben wir eben kurierte Veranstaltungen wie jetzt hier, weil man trifft ja auch viele Leute auf Veranstaltungen und man sieht einfach, was passiert.
Also man liest Hacker News ständig und ja, da guckt man eben, Mensch, kontaktiert einfach mal jemanden und fragt die Referenten oder den Referenten, ob er kommen möchte. Und viele sind ja auch in Berlin.
Also ja, das ist eigentlich gar nicht so schwer, wie man sich das vorstellt.
Ja, also man stellt sich Ach Mensch, ja irgendein, der hat da irgendwie was vollbracht und so weiter und man guckt einfach online und die Leute sitzen in Berlin oder sie sitzen in Deutschland.
[25:04] Ja, einfach ansprechen und Leute kommen gern.
Und machen. Und das Konzept ist so gut, dass du demnächst noch die nächste Konferenz gleich wieder starten willst oder ist es einfach neue Version der MeshCon?
Also ihr wollt demnächst gleich wieder hier eine Konferenz machen in Berlin oder wo?
Ja, wir wollen in Berlin wieder den Open Tech Summit machen.
Das war ja praktisch die Nachfolge.
Des Linux-Tags. Das lief ja auch super. Das war damals eine Kalkscheune.
Alle möglichen Leute kamen, 1500 Teilnehmer. Ich meine, es gibt Riesen-Events, mit 10.000, aber 1500 war für uns schon, Mensch, das sind ja auch alles Macher.
Das sind ja nicht so nur Leute, die jetzt nur zuhören, sondern wirklich Leute, die hier Dinge tun.
Und Maker, Coder, Entwickler.
Und da wollen wir anschließen mit dem Open Tech Summit am 5. und 6. Februar 2024.
Das ist direkt nach dieser großen Konferenz in Brüssel.
Es gibt eben viele Leute in der Community, die sagen, Mensch, ich bin schon in Europa, ich komme hier aus Asien, ich komme aus Amerika.
Wo kann ich denn hin, direkt nach diesem Wochenende in Brüssel?
Die FOSDEM, genau, ja. Und wir haben gesagt, na gut, also wenn jetzt schon so viele Fragen, dann lasst uns einfach was auf die Beine stellen.
Und wir haben ja das Know-how. Das ist ja nicht mehr so wie vor zehn Jahren, dass man irgendwie Excel-Spreadsheets.
[26:25] Machen muss und da auf Windows und was weiß ich, sondern wir haben ja mittlerweile alle möglichen Tools und unter anderem liegt es an uns. Wir bauen auch selbst ein Tool. Das ist Event.EA.
Event.EA basiert eben auf der Open Event Plattform, die wir da seit über zehn Jahren entwickeln und immer wieder neue Versionen rausbringen.
Und das ist eben eine Plattform, mit der man relativ einfach Veranstaltungen organisieren kann.
Momentan arbeiten wir auch noch an der Internationalisierung, also es ist eben größtenteils auf Englisch, aber wir übersetzen das Schritt für Schritt und ja, also das ist eine tolle Sache und da brauchen wir eben viel weniger Zeit, um eben so eine Veranstaltung auf die Beine zu stellen.
Natürlich muss man noch die ganzen Speaker einladen, also ohne Arbeit geht es nicht.
Natürlich muss man für Catering sorgen und die Location buchen, aber es ist eben von der Veranstaltungsplattform und von der Arbeit in diesem Bereich eben viel einfacher als früher.
Ja, ich lade alle ein. Also guckt euch das mal an. Event und dann yay.com.
[27:22] Und schaut euch das mal an. Das wäre super. Vielleicht gibt es den einen oder anderen Event, der das auch nutzen kann.
Das heißt, der Code liegt irgendwo auf GitHub, GitLab irgendwo?
Also der Code liegt auf GitHub bei der FOSS-Asia-Organisation.
Ich war ja selbst, wie gesagt, viele Jahre in Asien und da haben wir eben ein großes Entwicklerteam.
Mittlerweile benutzt das ja auch die Wikipedia-Community mit der Wikimedia Foundation jedes Jahr.
Die machen diesen Wikimania-Event, also alles über Wiki, es geht über Wiki, und ja, also die machen das hybrid, online und gleichzeitig vor Ort und das kann man eben da auch mit umsetzen und das ist alles Open Source.
Wie muss ich mir das vorstellen, ist das auch für die Planung eines Events?
Also ich habe es jetzt nur kennengelernt als jemand, der hierher kommt.
Ich habe mich da registriert auf der Webseite, habe dann einen PDF gekriegt mit Code und konnte das ja entweder vorlegen oder ihr habt ja eine Liste irgendwie gekriegt, wo die Leute durchstreicht.
Also ist das auch für die Planung oder ist das nur für die Besuchereinladungs-Abwechslungsgeschichten?
[28:26] Ja, also die Planung, das ist eigentlich der größte Teil der Arbeit.
Und wir haben zum Beispiel diese ganzen Sessions, da kann man den Call for Speakers, also dass sich Redner eben anmelden können und dann auch eingeteilt werden in verschiedene Tracks oder verschiedene Themenbereiche und auch wie lang die Sessions sind und so weiter, das kann man in so einen internen Kalender einfach per Drag-and-Drop reinziehen, und da spart man sich viel Arbeit.
Also die ganze Planung ist damit viel einfacher möglich. Es gibt auch andere tolle Tools, mit denen sind wir sogar teilweise kompatibel, dass man eben aus einem Tool dann auch was rüber kopieren kann und so weiter.
Aber was wir versuchen ist eigentlich jetzt nicht nur das Ticketing und nicht nur die Planung, sondern wir versuchen alles in einer Plattform zusammenzubringen.
[29:07] Und da wir eben selbst viele Jahre Veranstaltungen organisieren, denke mir, dass das auch so ein gutes Modell ist.
Also ein komplettes Konferenzmanagementsystem, Lifecyclemanagementsystem.
Ja, und da gibt es ja auch andere.
Es gibt ja proprietäre Lösungen wie jetzt C-Vent oder für Ticketing gibt es eben Eventbrite.
Und also diese Features decken wir eben größtenteils ab. Natürlich gibt es trotzdem noch tausende Dinge, die wir noch entwickeln wollen.
Und ja, wenn ihr das benutzen wollt oder wenn ihr da auch Feedback habt, da haben wir einen Issue Checker.
Also da kann man seine Verbesserungsvorschläge einreichen.
Und wenn ihr da eine Firma habt und gern noch irgendwie kommerzielle Dienste benötigt, dann, kontaktiert ihr uns einfach. Auf der Webseite gibt es da die Kontaktmöglichkeiten.
Da können wir euch gerne noch unterstützen oder an jemanden leiten, der euch da unterstützen kann.
[29:57] Okay, dass man es auch einsetzen kann. Und du hast vorhin gesagt, ihr wollt so ein bisschen mehr Internationalisierung machen.
Also wenn ich Übersetzer bin oder irgendeine Sprache toll kann, kann ich mir das auch mal angucken.
Genau, also da gibt es das Übersetzungstool, WebLate heißt das.
Da sind mittlerweile schon 30 Sprachen übersetzt, aber es kommen ja auch immer neue Funktionen hinzu.
Und das heißt, dann muss man es auch immer neu übersetzen. Außerdem ist natürlich manchmal die Sprache, auf Deutsch kennen wir das Du und Sie, auf Koreanisch gibt es noch viel mehr Möglichkeiten, ja.
Also da gibt es immer Möglichkeiten auch Sachen noch weiter zu übersetzen oder noch zu verbessern.
Und ja, würden wir uns freuen, wenn ihr da mitarbeitet. Also es gibt auf jeder Ebene Möglichkeiten, da mitzumachen.
Aber ihr habt da nicht irgendwie wie Hack-Sessions oder so, wo man sich mal zusammensetzen kann oder mal reinschnuppern kann?
Das ist eine gute Idee. Ich denke, das müssen wir auch umsetzen.
[30:49] Momentan fehlt es uns eigentlich nicht an Feedback und Features und Hack-Sessions, sondern eher so an Leuten, die jetzt auch sozusagen mitmachen wollen.
Denn es ist ja schon ein relativ komplexes System. Das heißt, man muss da schon ein bisschen Arbeit dran stellen und wir suchen Leute, die vielleicht erstmal freiberuflich bei uns mitarbeiten wollen. Wir stellen auch ein.
Also je nachdem, wenn jemand da Lust hat, mehr mitzumachen, würden wir uns auch freuen, da nächsten Schritte zu gehen.
Super. Da können sie sich bei euch melden, da an der Stelle.
Ja, vielen Dank Mario, dass du uns mal erklärt hast, was die MeshCon ist, was EventJay ist, dass man da mitmachen kann und das für seine eigenen Konferenzen auch benutzen kann und dann ja wünsche ich euch viel Erfolg mit der mit dem Open Tech Summit. Du kannst noch mal kurz Werbung machen. Wann ist das Ganze?
Musik: Tryad mit Listen
[31:41] Open Tech Summit, der ist am 5. und 6. Februar 2024 hier in Berlin.
Gut und dann sehen wir uns alle da. Dankeschön. Danke, hat mich sehr gefreut.
[31:50] Music.
[36:56] Hallo, hier ist Mark Shuttleworth, der Gründer des Ubuntu-Projekts, und ihr hört RadioTax.
Interview: Nitrokey
[37:26] Zu der Idee, so eine Firma zu gründen?
Genau, also wir haben angefangen mit dem Produkt NitroKey. Das ist ein USB-Schlüssel.
Ein USB-Schlüssel, der jetzt nicht dafür dient, um einfach nur Dateien darauf zu legen.
Das kann man auch bei vielen Modellen unseres NitroKeys gar nicht, sondern der dient zur sicheren Authentisierung und zur Verschlüsselung von Daten.
Das heißt? Das heißt, bei der Authentisierung spielt häufig dieses Stichwort Zwei-Faktor-Authentisierung rein, was ja mittlerweile relativ geläufig ist.
Dahinter steckt, dass man das gängige Passwort durch einen zweiten Faktor ergänzt, um höhere Sicherheit zu erlangen.
Und dieser zweite Faktor, das kann dann so ein physischer USB-Nitro-Key zum, Beispiel sein, der dann auch für eine Anmeldung nötig ist.
[38:18] Also da gibt es auch zwei gängige Technologien dahinter.
Das eine sind diese klassischen Einmalpasswörter, die es schon lange gibt und die neue Technologie, die eigentlich viel spannender ist und jetzt relativ viel Fahrt in den letzten Monaten und Jahren aufgenommen hat, ist das Thema WebOutN oder da gibt es unterschiedliche Namen für unterschiedliche Ausprägung.
Auch Passkeys ist ein Begriff, der häufig verwendet wird oder Securitykeys oder Fido.
Und das ist ein fortschrittlicheres Verfahren, was die Benutzbarkeit vereinfacht im Vergleich zu diesen Einmalpasswörtern und besser und auch direkt in den gängigen Browsern integriert ist.
Das kann man in mindestens zwei Ausprägungen verwenden.
Das eine ist halt weiterhin als Ergänzung, als zweiten Faktor zu einem Passwort, sodass man dann den USB-Nitrokey an den Rechner ansteckt.
[39:14] Und letzten Endes dann über ein kryptografisches Verfahren geprüft wird, dass der vorhanden ist und man drückt dann Knopf und bestätigt damit den Anmeldevorgang.
Und der andere Modus, der eigentlich viel spannender ist, ist die sogenannte passwortlose Authentisierung.
Und hierbei wird das Passwort halt ersetzt, gänzlich ersetzt durch ein Nitrokey.
Oder halt ein anderes kompatibles Gerät. Und trotzdem hat man halt die hohe Sicherheit von zwei Faktoren.
Aber man muss sich halt kein Passwort mehr merken oder mit irgendwelchen Passwortmanagern rumhantieren.
Das Ganze ist halt einfacher dadurch auch zu benutzen. Das heißt, hier haben wir zu einem der wenigen Fälle, wo wir höhere Sicherheit und höhere Usability kombiniert haben.
Das ist sehr spannend und deswegen wurde das jetzt auch in der letzten Zeit recht populär und auch die großen Dienste wie Google und wie sie alle heißen unterstützen das in der einen oder anderen Form.
Ja ich glaube gerade spannend ist wirklich, dass man dann passwortlos sich authentifizieren kann, also bei diesem alten Mechanismus, den du erst erklärt hast, OTP und sowas muss ich ja immer nochmal was von irgendwo eintippen und das frisst ganz schön Zeit.
Genau, man braucht eine Zusatzsoftware, es ist halt immer ein bisschen komplizierter, es ist halt nicht so schön integriert.
[40:37] Okay, und welche Technik steckt so hinter eurem Key, also was habt ihr da so gebaut?
[40:45] Wir haben die Hardware selber entwickelt. Letzten Endes ist das natürlich eine kleine Platine.
Dort haben wir dann drauf einen kleinen Mikroprozessor und ein Sicherheitselement oder auch Secure Element, wo dann auch gegen Hardwareangriffe die kryptographischen Schlüssel sicher drin gespeichert werden.
Und das mag man vielleicht von außen auch häufig ein bisschen unterschätzen, Der Großteil der Komplexität steckt halt gar nicht in dieser Elektronik, sondern in der Firmware, also letztendlich in der Software, die darauf läuft, die wir jetzt mit der aktuellen Nitro-G-Generation auch von Grund auf neu entwickelt haben.
[41:28] In der Premier-Sprache Rust, weil wir dadurch schöne Eigenschaften bekommen, wie Speichersicherheit und auch eine bessere Wartbarkeit.
Dann entwickeln wir dazu auch so ein Krypto-Framework, eine Art Betriebssystem, was es uns dann ermöglicht, auch mehrere Funktionalitäten auf diesem Mikrocontroller und auf dem Nitro-Key auszuführen.
Also mittlerweile haben wir da dann erstens diese eben beschriebenen Fido-Funktionalität.
Wir nennen das dann sogar so eine App. Da sieht man jetzt nicht von außen, es ist halt einfach nur eine Schnittstelle des Nitro-Keys, aber intern die Das ist halt schon recht modular aufgebaut, quasi ein eigenes Modul oder App.
Dann haben wir diese älteren Einmalpasswörter.
Dann haben wir auch einen klassischen Passwortmanager, wo man auch normale statische Passwörter drin speichern kann.
Da haben wir auch eine OpenPGP-Card und PEV-PIV als.
[42:26] Weitere, Chipkarte implementiert, um mit dem er weitere kryptographische Operationen machen kann, wie zum Beispiel E-Mail Verschlüsselung oder auch professionelle Anwendungsfälle.
[42:37] Das heißt, also ihr habt nicht nur den Stick und die Firmware dafür entwickelt, sondern auch Apps, die ich dann auf dem Desktop oder auf dem Telefon oder sowas verwenden kann?
Nee, damit waren jetzt erstmal alles nur Funktionen in der Firmware gemeint, was ich eben beschrieb.
Aber in der Tat haben wir auch eine grafische und auch eine Kommandozeilen-App, die man dann zur Benutzung des Nitro Keys verwenden kann. Das ist richtig.
Und das Ganze, was ihr entwickelt, ist Open Source, also sowohl die Hardware-Seite, als auch die Software-Seite? Ja, genau.
Okay, und warum habt ihr euch für sowas entschieden? Also, was ist das jetzt?
Alleinstellungsmerkmal? Oder habt ihr euch damals gedacht, nee, also es muss unbedingt Open Source sein?
Also erstens sind wir der Überzeugung, dass man vernünftige Sicherheit nur mit Transparenz erreichen kann.
Und das bedeutet halt hier in diesem Fall die Entwicklung, die wir leisten, als Open Source zur Verfügung zu stellen.
Sowohl die Elektronik als auch die Firmware und sonstige Software, die wir entwickeln.
So kann halt jeder Mann zumindest oder jeder Mensch mit der nötigen Expertise die Implementierung überprüfen, dass da keine Sicherheitslücken oder anderer Schmu drin steckt.
Und die Vergangenheit, wir führen auf unserer Webseite auch so eine wachsende Liste zeigt halt, dass es bei klassischen proprietären Unternehmen, die nicht diesen Open-Source-Ansatz führen, immer wieder Sicherheitslücken gibt.
[44:05] Und, viele von diesen wären sicherlich nicht da gewesen, wenn das ganze System von Anfang an Open-Source gewesen wäre. Das wollen wir halt besser machen.
So, das ist erstmal der faktische Grund. Historisch haben wir damit dann auch schon von Anfang an angefangen.
Also das Ganze wurde, hat ein Vorgängerprojekt, Das hieß damals CryptoStick.
Es war ein Non-Profit-Projekt, was wir einfach aus eigenem Bedarf gestartet, haben für uns erst mal, aus dem das Ganze dann hervorgegangen ist.
[44:36] Und wenn ich das jetzt, also bei Software kann ich es mir relativ vorstellen, ihr habt da dann was weiß ich, den Rust-Code oder sowas, der ist in dem Gitter-Projekt, und wie ist das bei der Hardware?
In was liegt das vor? Ist das ein Chip-Design irgendwie, was ich mir runterladen, kann und nachgucken kann, okay, ihr habt, weiß ich nicht, das mit dem verbunden?
Ja, wir produzieren nicht unseren eigenen Chip, sondern kaufen Chips ein, die wir dann auf der Leiterplatte, jetzt nennt es auf die Leiterplatte, löten und die Entwicklungsleistung, die wir dann da tun, ist die Leiterplattenentwicklung, das Layout bzw.
Schema, wie die ganzen Komponenten zusammen verdrahtet sind und positioniert sind.
Und das kann man sich runterladen. Da gibt es dann eine entsprechende Software, übrigens auch eine Open-Source-Software, mit der man dann diese Projektdateien öffnen kann.
Und ihr, also gut, die Chips kauft ihr ein, aber ansonsten, die Produktion läuft hier in der Gegend.
Also ihr sitzt dann tatsächlich und schraubt die Dinger selber zusammen?
Genau, also die Nitro Keys, die produzieren wir hier in Berlin.
[45:50] Da haben wir einen Partner, der die entsprechenden Maschinen hat, bei denen dann die Bestückung stattfindet.
Die Leiterplatten werden dann halt auch irgendwo zugeliefert hier aus Deutschland und dann flashen wir das Ganze bei uns.
Das heißt, wir spielen da unsere Software, die Firmware rauf, verpacken das Ganze, testen das, verschicken das dann von hier.
Okay. Ähm, ihr habt aber auch noch andere Hardware.
Da baut ihr die jetzt nicht in Deutschland. Also, ich glaub, mit das Interessante, was ich gesehen hab, ist so ein Nitrophone.
Also, ihr nehmt irgendwie ... Ihr baut auch Telefone.
Ja, genau. Also, vielleicht kurzer Überblick. Ähm, Nitrophone.
Wir haben ein relativ großes Portfolio, um so die gesamte ...
Ich sag mal so, den gesamten Bedarf im digitalen Zeitalter an sicherer Hardware abzudecken.
Und da gehören Telefone dazu, da gehören Laptops dazu, PCs, auch eine lokal ausgehostete Cloud und auch noch ein bisschen was für einen Enterprise-Einsatz.
[46:57] Genau, in diesem Fall oder in diesen Fällen ist häufig die Komplexität der Elektronik deutlich höher als bei so einem USB-Stick, sodass man das einfach nicht wirtschaftlich wäre, sowas hier vor Ort zu produzieren.
Und in diesem Fall müssen wir halt die Elektronik einkaufen.
Und da fangen wir dann aber low level an, unsere eigene Firmware und Software draufzuspielen, um trotzdem halt noch ein hohes Maß an Sicherheit damit zu gewährleisten.
Also zum Beispiel eine offene Firmware, wenn ich jetzt ein Laptop bei euch dann hole.
Genau, da läuft dann eine offene Firmware drauf, basierend auf Coreboot, die es dann in unterschiedlichen Ausführungen gibt.
Aber meistens dann als HATS-Firmware daherkommt, was dann noch Sicherheitsfeatures, ergänzt oder Sicherheitsfeatures leistet im Vergleich zu der üblichen Firmware.
Und ins Betriebssystem kommt dann ein Linux- oder ein KubeOS, was auch ein Linux-basiertes Open-Source-Betriebssystem ist.
[47:57] Mit so einem Sicherheitsfeature oder Sicherheitsfokus daher.
Und wie ist es bei diesen Phones, bei diesen Nitro-Phones? Genau, die Phones.
Da kaufen wir auch die Elektronik ein. Das sind letzten Endes Google Pixel Telefone, auf die wir ein Open Source Android Betriebssystem aufspielen.
Und das ist das sogenannte GrapheneOS. Das ist ein auf Sicherheit fokussiertes Android Distribution, die sehr gut funktioniert, sehr starke Sicherheitsfunktionen leistet, was so weltweit auf dem Markt eigentlich seines gleichen sucht und trotzdem.
[48:43] Sehr gut zu benutzen ist es ist ja weiterhin android nur an einigen stellen merkt man halt dass es anders ist aber in 95 prozent der fälle kann man es halt ganz normal nutzen.
Und man hat halt bis zu sieben jahre software updates und super schnelle updates auch die kommen teilweise da ist eine stunden nach veröffentlichung bis es dann updates gibt also nicht wie bei vielen anderen hersteller wo es dann.
Wochen monate oder vielleicht nur irgendwie einmal im jahr ein sicherheits update gibt. Sind sonst noch irgendwelche Sicherheitsfeatures dabei?
Genau, wir liefern die Telefone auch auf Wunsch ohne Mikrofone, ohne Sensoren, ohne Kameras aus.
Das heißt, wir löten dann physisch die Mikrofone aus, den Gyroskop, also letzten Endes der Sensor, der so für Bewegungsinformationen zuständig ist, oder halt die Kameras.
Und das Ganze machen wir dann für die Kunden, die halt noch eine im Grunde höhere Sicherheitsanforderung haben, als rein mit so einem sicheren Graphene OS erreicht werden würde.
Denn man kann sich vorstellen, wenn kein Mikrofon vorhanden ist, dann kann halt auch keine Umgebungssprache abgehört werden.
Also nochmal sicherer, als wenn ich nur so ein Hardware-Switch hätte.
[50:06] Da müsste man im Detail schauen, welche Art von Hardware-Switch.
Also manche sind da wirklich physisch. Ich sage mal so ein klassischer Kippschalter, der physisch ist, das wäre dann weiterhin physische Sicherheit.
Es gibt dann aber auch so Taster, die dann wiederum so ein bisschen Elektronik drin haben, wo man potenziell dann vielleicht auch wieder eine Sicherheitslücke sehen würde.
Dann kommt häufig die Frage, ein Telefon ohne Mikrofone, damit kann man ja gar keine Gespräche führen, kann man natürlich doch.
Dafür muss man dann allerdings ein externes Headset anschließen.
Das kann man dann halt auch wieder absteppseln, entweder Bluetooth oder USB-C, wenn das Telefonat vorbei ist und man halt wieder diese hohe Sicherheit genießen möchte.
Klingt interessant, da habe ich mir noch nie Gedanken darüber gemacht, dass es auch eine Möglichkeit wäre, die Dinger tatsächlich auszulöten.
Aha, okay. Also kann ich auch Telefone von euch kriegen und andere Hardware.
Kommen wir trotzdem nochmal zu dem namensgebenden Produkt sozusagen zurück, NitroKey.
Ich selbst habe einen YubiKey, hat man vielleicht ein bisschen mehr schon gehört, also ich habe jetzt erst durch die Konferenz sozusagen von euch erfahren und war auch total überrascht, dass ihr hier aus Berlin seid.
[51:20] Wie, gibt es da irgendwelche Unterschiede oder warum sollte ich jetzt eher euer Produkt nehmen?
Also gut, zwei Gründe hatten wir schon gehört, ist Open Source, ist Open Hardware, aber gibt es auch noch irgendwelche technologischen Gründe?
Also im Großen und Ganzen ist es relativ ähnlich und vergleichbar, das ist schon richtig.
Ich fasse nochmal zusammen, genau, die Entwicklungen, die wir leisten, sind halt Open Source, die veröffentlichen wir.
Das ist Open Hardware, das ist Hardware, die hier in Berlin, in Deutschland produziert wird.
Das ist für die meisten unserer Kunden eigentlich schon ausschlaggebend und überzeugend genug.
Rein technisch sind das schon dann eher so Details, in denen die sich unterscheiden.
Da muss man dann je nach Funktion schauen.
Also beispielsweise haben wir so einen klassischen Passwortmanager, wo man normale statische Passwörter halt auch im Nitro-Key abspeichern kann oder halt auch eine große Anzahl von Einmalpasswörtern.
Wir haben sowieso einen größeren Speicher, können auch eine größere Anzahl zum Beispiel von Passkeys abspeichern oder was wir bei einem unserer Nitro Keys auch haben und auch auf den anderen ausrollen wollen, ist bei der Chipkarte, der sogenannten OpenPGP-Card.
[52:39] Die ist in der Regel für eine Person ausgelegt.
Und bei uns kann man das dann aber auch für mehrere...
Personen, beziehungsweise das kann auch bedeuten, unterschiedliche E-Mail-Adressen nutzen.
[52:55] Und dann haben wir noch ein Nitro Key, auf dem man verschlüsselte Dateien ablegen kann.
Das bedeutet, das ist ein Gerät, der erstmal wie so ein klassischer USB-Stick, daherkommt, wenn man ihn einsteckt, wird ein Laufwerk angezeigt.
[53:10] Und durch Eingabe der PIN wird dann ein weiteres Laufwerk freigeschaltet, auf dem man dann verschlüsselt seine Daten abspeichern kann oder darauf zugreifen kann.
Wenn jemand diesen Key findet, müsste er zumindest das Passwort kennen oder den Pin kennen, um auf die Daten zuzugreifen. Genau.
Dann hat man da über so eine integrierte Chipkarte bzw.
Secure Element hat man dann da zweimal drei Versuche oder sechs Versuche, um die Pin zu erraten, was nicht so viel ist.
Okay und danach ist es kaputt. Genau, danach, also kaputt nicht im Sinne von, dass man die Hardware wegschmeißen muss, aber man kommt nicht mehr an die Daten ran.
Okay, könnte dann höchstens neu initialisieren, neue Daten drauf tun. Genau.
Dann habe ich auf deinen Folien gesehen, SSH-Sachen kann ich auch irgendwie absichern damit?
Genau, das bedeutet, also SSH, werden ja wahrscheinlich die meisten kennen, letzten Endes ein Standard, um entfernt Rechner, Linux-Rechner in der Regel oder BSD zu administrieren, und anstelle ein Passwort zu verwenden oder eine Schlüsseldatei, die auf der Festplatte liegt, kann man ganz gut den Nitro-Key verwenden.
Das ist eine Funktion, die auch von der SSH-Software unterstützt wird und das auch schon seit etlichen Jahren.
Mittlerweile sind das zwei letzten Schnittstellen, die dafür in Frage kommen.
[54:30] Ursprünglich war es diese OpenPGP-Card als Chipkarte, sodass dann der kopiografische Schlüssel auf dem NITRO-Key liegt und mit dem wird sich dann angemeldet und dann kam vor einiger Zeit dann noch der FIDO-Standard, daher, der auch jetzt in OpenSSH unterstützt wird, der im Grunde das ähnliche leistet, aber technisch eine an der Schnittstelle ist.
Das heißt, da hat der User die Wahl, was er will.
So, dann noch eine letzte Frage. Also es ist Open Hardware, Open Source, wenn ich jetzt sage, okay, ich habe da entweder einen Bug gefunden oder hey, ich hätte noch eine total coole Verbesserungsidee.
Wie trete ich dann mit euch in Kontakt? Habt ihr da irgendwie eine Anlaufstelle?
Was weiß ich? Habt ihr irgendwie einen IOC-Channel, wo ihr eh alle abhängt?
Oder also wie komme ich mit euch in Kontakt, wenn ich sage, ja, ich habe was? Ja, sowas ist immer gerne willkommen, Feedback oder gerne natürlich auch Codebeiträge oder Fixes oder Weiterentwicklung.
Und wie in Kontakt über diverse Kanäle. Wir haben ein Forum, da kann man posten, natürlich auch über E-Mail. Wir haben einen Matrix-Kanal.
[55:35] Dazu muss man sagen, da sind nicht immer alle. Also wenn es da keine Antwort gibt, dann heißt das einfach nur, dass gerade irgendwie keiner, der dafür der Ansprechpartner ist, da ist oder Zeit hat, dann im Zweifelsfall dann doch wieder per E-Mail oder halt über Ticketsystem in GitHub.
Das sind eigentlich so die gängigen. Okay, super.
Vielen Dank, Jan, dass du uns mal erklärt hast, was Nitro-Key ist, wie er dazu kam, dass das alles Open Source und Open Hardware ist und dass man da jederzeit mitmachen kann. Vielen Dank.
Ich danke. Ja, und damit sind wir schon wieder am Ende dieser kleinen feinen
Abmod
[56:10] Sendung der RAL-TUX-Ausgabe im November 2023.
[56:15] Und, ich danke natürlich meinen Interview-Partnern, Mario Billing und Jan Suhr und natürlich auch Matthias, der an dieser Sendung beteiligt war.
Das, die MeshCon, genau, die, auf der wir da waren, eine super süße kleine Veranstaltung, also es war sehr, sehr eine schöne familiäre Atmosphäre, kann ich auf jedem Fall empfehlen, falls ihr die Gelegenheit habt, die beim nächsten Mal zu besuchen, die, der Open Tech Summit, habt ihr ja gehört, findet dann im Februar nach der FOSDEM statt, der wird natürlich ein bisschen größer, aber vielleicht auch interessant für alle, die hier in der Region sind oder, wie gesagt, auch internationales Publikum, was dann von der Forstung rüberkommt. Bin ich mal gespannt.
Ich versuche es auch möglich zu machen, da zu sein. Aber da das die Winterferien sind, ist das ein bisschen schwieriger.
Aber ja, ich hoffe mal, wir sehen uns nächstes Jahr dann auf irgendeiner der verschiedenen Konferenzen.
Und wenn ihr uns auf Mastodon und Co. folgt, Dann, genau, sage ich auch immer wieder Bescheid, wo wir gerade unterwegs sind.
[57:28] Ansonsten, das Nitro-Key-Thema fand ich besonders spannend auf der MeshCon.
Also das war tatsächlich was, wo ich überhaupt gar nicht wusste, dass die Firma hier aus der Region ist und deswegen hatte ich mir den Jan einfach mal geschnappt und ihn ein paar Fragen gestellt.
Also es war echt interessant, neben dem großen Thema AI, was natürlich auch, ja, sichtbar war, was irgendwie gerade auf allen Konferenzen Thema ist.
Und auch Frank Karliczek, der CEO von Next Cloud, war vor Ort und hat nochmal seine Vision vorgestellt, oder was die Next Cloud Jungs und gerade treiben, dass sie diesen Next Cloud Assistant zum Beispiel eingebaut haben.
[58:16] Und nachdem ich diese Folie schon zum zweiten Mal gesehen habe, habe ich gedacht, okay, jetzt muss ich das auch mal machen und habe tatsächlich auf die neueste Next Cloud Version endlich mal geupdatet und den Next Cloud Assistant bei mir auch aktiviert. Groß benutzt habe ich ihn noch nicht.
Dafür war das Ganze jetzt zu frisch, weil ich das gestern erst gemacht habe.
Aber ich gucke mal, wie das Ganze läuft und dann natürlich auch mit lokaler AI, dann ja, das ist ja auch das, was wir haben wollen.
Also nicht nur, dass alles Open Source ist, sondern auch, dass es bei uns auf der eigenen Plattform läuft, auf der eigenen Hardware, dass wir die eigene Kontrolle haben, digitale Solidität und alles, was dazugehört.
Das ist ja immer ein Herzensthema auch bei mir.
Und genau dafür werden wir natürlich auch wieder nächstes Jahr kämpfen sozusagen und auch Interviews und Community-Berichte in diese Richtung machen.
[59:13] Ja, dann bleibt mir nur noch zu sagen, dass ich euch wie immer eine frohe Zeit wünsche, passt auf euch auf, habt Spaß und wir hören uns im Dezember nochmal. Ciao, ciao!