Warum Quelloffenheit für die Sicherheit meiner Meinung nach nicht ausreichend ist

micu micuintus at gmx.de
Di Feb 24 21:13:31 UTC 2009 

Hallo Florian,

Am Montag, 23. Februar 2009 13:11:19 schrieb Florian Haas:
> In meinen Augen lassen die Fragen sich trennen.

auf jeden Fall. Allerdings sind sie meiner Meinung nach doch recht stark 
miteinander verknüpft --- und du bringst da auch schon ein ganz schönes 
Beispiel: :)


> PGP (die Applikation) ist in keinster Weise frei, gilt aber trotzdem als
> sicher. Diesen Status als sicher hat es, weil der komplette Quellcode
> verfügbar ist und nachvollziehbar ist, dass das kompilierte Programm zum
> veröffentlichtem Quellcode passt.

Ich vertraue freier Software (Bsp.: GnuPG) mehr als proprietärer Software 
(Bsp.: PGP), wenn ich davon ausgehen kann, dass diese Software von Leuten 
verschiedenster Coleur weiterentwickelt wird oder zumindest werden kann --- 
zum Beispiel von der NSA, vom BSI, von Uni-Mitarbeitern, von CCC-Mitgliedern, 
von der FSF(E) sowie vielen einzelnen Hackern. Und dieses Vertrauen ergibt 
sich für mich eben auch, ohne dass ich je eine einzige Zeile des Quellcodes 
gelesen hätte. Bei Programmen wie GnuPG hoffe ich einfach, dass dort genügend 
viele kluge Leute "drüber geschaut" haben, deren (politische) Interessen 
außerdem ausreichend genug gestreut sind, dass es eine der beteiligten 
Parteien nicht durchsetzen könnte Backdoors etc. einzubauen.

Ich denke aber eben, dass nur eine sehr geringe Anzahl von Leuten Quellcode 
einfach nur just for fun liest. Quellcode zu lesen macht imho erst dann 
wirklich Spaß, wenn man damit herumspielen kann, wenn man ihn modifizieren 
kann, neue Features einbauen kann, die Patches veröffentlichen und auf der 
zugehörigen Mailingliste diskutieren kann. Natürlich kann es sein, dass mal 
die IT-Abteilung eines Sicherheitsdienstes oder vielleicht --- im Rahmen 
eines Forschungsprojekts --- ein paar Unimitarbeiter auch eine semifreie 
Software wie PGP auf ihre Sicherheit hin untersuchen. Aber ich bin der 
Ansicht, dass sich in der Regel das volle Vertrauen in Software aus o.g. 
Gründen nur dann einstellen kann, wenn sie wirklich alle 4 Freiheiten 
beinhaltet.

Beste Grüße,
micu
-- 
GnuPG:		https://www1.inf.tu-dresden.de/~s3418892/micuintus.asc
Fingerprint:	1A15 A480 1F8B 07F6 9D12 3426 CEFE 7455 E4CB 4E80

<<</>>

https://wiki.c3d2.de/Benutzer:Micuintus

Mehr Informationen über die Mailingliste FSFE-de