Sicherheits-Forschung · Juri Janovski

Ausführung ist nicht Finalität.

Was HALVETH ist, wie es wirkt, was es geschafft hat, und wo es ehrlich scheitert.

Konzept, kein fertiges Produkt im Labor geprüft „assume breach“ ehrlich gerahmt

Die meisten Werkzeuge versuchen, den Angreifer draußen zu halten oder seinen Weg zu erkennen. HALVETH nimmt das Gegenteil an: der Angreifer ist vielleicht schon drin. Es stellt sich deshalb ans Ziel und sorgt dafür, dass die eine folgenschwere Änderung nicht endgültig wird, ohne einen echten, unfälschbaren Beleg.

Der Kern

Warum es zwischen 0 und 1 lebt

Jede wichtige Änderung durchläuft zwei Zustände: 0, sie ist passiert, aber noch nicht als wahr anerkannt. Und 1, sie ist versiegelt und gilt ab jetzt als wahr. In fast allen Systemen gibt es keinen Abstand zwischen beiden: was passiert, gilt sofort. Genau diese Null-Distanz nutzt der Angreifer.

HALVETH öffnet den Abstand. Es lebt im Dazwischen und entscheidet, ob aus einer 0 je eine 1 werden darf. Ohne echten Beleg bleibt die Änderung bei 0 hängen, sie wird gehalten, nicht wahr.

0 · passiert1 · versiegelt, wahr

Normale Systeme: 0 wird sofort 1. HALVETH: der Torwart im Spalt entscheidet.

Wie es wirkt

Modelle zum Anfassen

Derselbe Gedanke aus mehreren Winkeln. Die interaktiven kannst du bedienen.

Modell 1 · interaktiv

Die zwei Momente

Passiert heißt noch nicht wahr. Nur ein echtes Siegel macht endgültig.

Modus:
Änderung passiert Tor?
 

Modell 2 · interaktiv

Perimeter, Weg, Ziel

Fast alle Werkzeuge bewachen die ersten beiden Stationen. HALVETH bewacht die letzte.

Draußen Perimeter
Firewall
Weg
Monitoring
Ziel
Kronjuwel
 

Modell 3

Der Notar

Jeder darf ein Dokument schreiben. Rechtskräftig wird es erst mit dem Siegel des Notars, das man nicht fälschen kann. HALVETH ist der Notar deiner kritischen Zustände: Schreiben ist frei, Siegeln ist bewacht.

Modell 4 · interaktiv

Die Kosten-Leiter

Es gibt keine unknackbare Mauer. Sicherheit ist Kosten: wie viele unabhängige Dinge muss ein Angreifer brechen?

0Kein TorDer Angreifer muss gar nichts.
1Ein Software-SchlüsselEinen Schlüssel stehlen oder selbst berechtigt werden. SolarWinds, xz zeigen: machbar.
2Schlüssel in HardwareSoftware kann ihn nicht mehr auslesen. Hardware oder Mensch angreifen. Teurer.
3Mehrere Parteien + HardwareMehrere getrennte Parteien UND Hardware gleichzeitig. Sehr teuer, nie unmöglich.
 

HALVETH steht heute auf Stufe 1. Sein Weg ist nach oben.

Der Angriff, Schritt für Schritt

Wer kommt rein, und was dann?

Nimm an, der Angreifer ist schon am Ziel. Ab hier hat er drei Wege. Wähle einen und sieh, wie HALVETH reagiert, ehrlich, mit allen drei Ausgängen.

Angreifer drin am geschützten Punkt er versucht …
Wähle oben einen Weg.

Kurz: Fälschen ist hart (die Mathematik hält). Schlüssel werden ist die ehrliche Grenze (dann ist er berechtigt). Drumherum ist heute die Lücke, und genau die treibt die Vision unten.

Was wirklich geprüft wurde

Ergebnisse, ehrlich gemessen

Alles im Labor, auf konstruierten Fällen, nichts in der echten Welt. Aber echt gemessen und unabhängig gegengeprüft, nicht behauptet.

27/27
Kern-Tests grün
Zeichen für Zeichen unverändert
87/87
Kontroll-Schicht grün
Pfad-Fix für Reproduktion nötig
3
blinde Angriffsrunden
unabhängige Angreifer + Richter
5
Angriffe auf den Zeugen
VM+TPM, 13.–14.07., live geschlossen
0
Krypto-Brüche
ohne den echten Schlüssel nicht fälschbar
„Fix Holds“
Urteil des letzten Richters
Was das heißt

Das kryptografische Herz ist über drei blinde Angriffswellen bestätigt: ohne den echten Schlüssel wird nichts endgültig, auch nicht, wenn der Angreifer das ganze Regelbuch umschreibt. Wo der Schutz drumherum Lücken hatte (bestimmte Pfad-Tricks), wurden sie blind gefunden und geschlossen und mit Tests festgenagelt.

Ehrlich dazu: das sind Labor-Zahlen. Sie beweisen den Mechanismus, keine reale Einsatz-Rate.

Ehrlich gescheitert

Was nicht geklappt hat

Das steht bewusst hier drin. Ein System, das seine Fehlversuche offen zeigt, ist glaubwürdiger als eines, das Perfektion behauptet.

Der Zirkel-Fehler

Ein Versuch, HALVETH an echten historischen Zertifikat-Angriffen (DigiNotar und Co.) zu „beweisen“, war im Kreis gebaut: die eigentliche Entscheidung traf eine getippte Liste, nicht HALVETH. Ein unabhängiger Prüfer hat das entlarvt. Nichts davon kam auf diese Seite.

Lektion: HALVETH ist ein Zeuge, kein Spürhund. Es erkennt keine Angriffe, es hält unerlaubte Änderungen.

Zu früh „fertig“ gesagt

Ergebnisse wurden zweimal als abgeschlossen gemeldet, bevor sie es ganz waren (ein Website-Eintrag, ein Fix). Beide Male selbst gefangen und korrigiert, per Nachmessen statt Vertrauen.

Lektion: erst messen, dann melden. Belege statt Behauptungen.

Der „drumherum“-Einwand

Die ehrlichste Kritik: echte Angriffe laufen oft über Umwege, und wenn der Angreifer einen Punkt trifft, den man nicht bewacht, tut HALVETH nichts. Das stimmt für die heutige Form.

Antwort: nicht wegreden, sondern in die Vision heben, alles bewachen statt nur einige Punkte.

Ehrlicher Status

Was es kann, was nicht

Was HALVETH bezeugt
  • Die Unversehrtheit kritischer Zustände: Signaturschlüssel, Zertifikat-Speicher, Boot/Firmware, Integritäts-Baselines.
  • Genau die wenigen eingetragenen Anker, die Angriffe wie Supply-Chain-Manipulation (SolarWinds-Klasse), Schad-Zertifikate oder heimliche Persistenz verändern müssten. HALVETH macht solche Änderungen an diesen Ankern nachträglich beleg- und rückrollbar (auf Vorschlag, ein Mensch entscheidet), es verhindert die Angriffe nicht und ist kein Backup-Schutz. Den veränderten Inhalt stellt es roh und 1:1 als unfälschbaren Beleg für Forensik oder Prüfung bereit, für jede Änderung, auch versehentliche Fehler.
  • Kern-Versprechen: unerlaubte Änderung wird nicht endgültig, auch bei umgeschriebenem Regelbuch.
Was HALVETH nicht ist
  • Kein Detektor des Angriffswegs (Phishing, Exploit, seitliche Bewegung).
  • Kein Schutz gegen Datendiebstahl oder Ausfall. Nur Integrität.
  • Ein Insider mit dem echten Schlüssel gewinnt per Definition.
  • Heute ein Labor-Modell im Speicher, noch nicht in Hardware.

Die Vision

Vom Zeugen zum Wächter des Ganzen

Der „drumherum“-Einwand hat eine radikale Antwort: nicht ein paar Türen bewachen, sondern zwischen allen Zuständen sitzen. Nicht einzelne Punkte, sondern die Harmonie des Ganzen prüfen, und sobald eine Sache ins Kritische kippt, wird sie zurückgerollt, auf den letzten sauberen, versiegelten Stand.

Das hat echte Verwandte in der Welt: Integritäts-Wächter über den ganzen Zustand, Invarianten-Prüfung (Beziehungen, die immer gelten müssen), und selbst-heilende Systeme.

Der ehrliche Haken

Das Problem verschwindet nicht, es wandert nach oben. Statt „welche Punkte bewache ich“ heißt es dann „wie definiere ich Harmonie für alles“. Ist die Definition lückenhaft, sitzt die Lücke jetzt dort. Man kann nicht alles zurückrollen (gestohlene Daten sind weg), und der Insider mit dem Schlüssel gewinnt weiter. Also: stärkere Vision, kein Zauber, und noch nicht gebaut.

Wohin HALVETH gehört

Keine Erfindung aus dem Nichts

Die Idee lebt zwischen zwei echten, eingesetzten Technologien. Das beantwortet auch „Hardware oder Blockchain?“. Wichtig: das ist der Zielpunkt, nicht der heutige Stand.

Hardware-Vertrauensanker

TPM, HSM, Secure Element.

Ein Schlüssel, den Software nicht auslesen kann. Steckt schon in fast jedem PC.

Zu „Chip?“: nutzen, nicht bauen.

Transparenz-Logs

Certificate Transparency, Sigstore.

Ein append-only Register über viele Parteien: keine kann allein fälschen.

Zu „Blockchain?“: der ehrliche Kern, ohne Hype.

HALVETH dazwischen, der Zielpunkt

Ein allgemeines Finalitäts-Tor über beliebige kritische Zustände gehört in Hardware verankert und von einem Transparenz-Log (mehrere Parteien) gedeckt, das selbst ein Insider nicht umgeht. So ist es gemeint. Heute ist es ein Software-Modell im Labor, noch nicht hardware-verankert und ohne Transparenz-Log. Das ist der Weg, nicht der Stand.

Herkunft

Woher der Gedanke kam

Ehrlich getrennt: das Folgende ist persönliche Inspiration, nicht Teil der Sicherheits-Behauptung oben. Es erklärt nur, warum die Form so aussieht.

Persönliche Inspiration, kein Beweis

Die Grundform von HALVETH, ein Layer zwischen Zuständen, kommt aus einem älteren Gedanken von mir über Realität als Zustand: dass das Entscheidende nicht in den Dingen selbst liegt, sondern im Dazwischen, im Übergang von einem Zustand in den nächsten. Aus diesem Bild wuchs die Sicherheits-Frage: was, wenn man genau diesen Übergang bewachen könnte?

Diese Verbindung ist für mich sinnstiftend, aber sie ist keine technische Begründung. HALVETH steht oben auf Sicherheits-Logik allein. Die Philosophie lebt in ihrem eigenen Zuhause.

Zur Forschung „Realität als Zustand“ →