Warum Quelloffenheit für die Sicherheit meiner Meinung nach nicht ausreichend ist
micu
micuintus at gmx.de
Di Feb 24 21:13:31 UTC 2009
Hallo Florian,
Am Montag, 23. Februar 2009 13:11:19 schrieb Florian Haas:
> In meinen Augen lassen die Fragen sich trennen.
auf jeden Fall. Allerdings sind sie meiner Meinung nach doch recht stark
miteinander verknüpft --- und du bringst da auch schon ein ganz schönes
Beispiel: :)
> PGP (die Applikation) ist in keinster Weise frei, gilt aber trotzdem als
> sicher. Diesen Status als sicher hat es, weil der komplette Quellcode
> verfügbar ist und nachvollziehbar ist, dass das kompilierte Programm zum
> veröffentlichtem Quellcode passt.
Ich vertraue freier Software (Bsp.: GnuPG) mehr als proprietärer Software
(Bsp.: PGP), wenn ich davon ausgehen kann, dass diese Software von Leuten
verschiedenster Coleur weiterentwickelt wird oder zumindest werden kann ---
zum Beispiel von der NSA, vom BSI, von Uni-Mitarbeitern, von CCC-Mitgliedern,
von der FSF(E) sowie vielen einzelnen Hackern. Und dieses Vertrauen ergibt
sich für mich eben auch, ohne dass ich je eine einzige Zeile des Quellcodes
gelesen hätte. Bei Programmen wie GnuPG hoffe ich einfach, dass dort genügend
viele kluge Leute "drüber geschaut" haben, deren (politische) Interessen
außerdem ausreichend genug gestreut sind, dass es eine der beteiligten
Parteien nicht durchsetzen könnte Backdoors etc. einzubauen.
Ich denke aber eben, dass nur eine sehr geringe Anzahl von Leuten Quellcode
einfach nur just for fun liest. Quellcode zu lesen macht imho erst dann
wirklich Spaß, wenn man damit herumspielen kann, wenn man ihn modifizieren
kann, neue Features einbauen kann, die Patches veröffentlichen und auf der
zugehörigen Mailingliste diskutieren kann. Natürlich kann es sein, dass mal
die IT-Abteilung eines Sicherheitsdienstes oder vielleicht --- im Rahmen
eines Forschungsprojekts --- ein paar Unimitarbeiter auch eine semifreie
Software wie PGP auf ihre Sicherheit hin untersuchen. Aber ich bin der
Ansicht, dass sich in der Regel das volle Vertrauen in Software aus o.g.
Gründen nur dann einstellen kann, wenn sie wirklich alle 4 Freiheiten
beinhaltet.
Beste Grüße,
micu
--
GnuPG: https://www1.inf.tu-dresden.de/~s3418892/micuintus.asc
Fingerprint: 1A15 A480 1F8B 07F6 9D12 3426 CEFE 7455 E4CB 4E80
<<</>>
https://wiki.c3d2.de/Benutzer:Micuintus
Mehr Informationen über die Mailingliste FSFE-de