Freie Hard- und Software

[Dr. Michael Stehmann]

Hallo,

ich finde diese Diskussion interessant und wichtig.

Es geht darum, inwieweit wir unserer Hardware trauen können - und zwar
am Beispiel eines wichtigen und sehr komplexen Bauteils.

Bei der Software ist "eigentlich" - zumindest theoretisch - alles ganz
einfach. Es gibt Freie Software, die einem Codereview unterzogen werden
kann.

Inweit weit der Einzelnen in der Lage ist, ein solches durchzuführen,
und inwieweit der Quellcode tatsächlich von hierzu fähigen tatsächlich
kontrolliert wird, steht auf einem anderen Blatt.

Und es gibt "reproducible builds". Damit kann man prüfen, ob ein Binary
tatsächlich aus dem angegebenen Quellcode gebaut wurde. Das gibt dem
Einzelnen tatsächlich weitgehende Kontrollmöglichkeiten. Jeder mag sich
fragen, wie oft er sie bei sicherheitskritischer Software bisher
tatsächlich genutzt hat.

Hierzu noch eine Anmerkung: LibreOffice steht, weil es ein "Codeungetüm"
ist, beim entsprechenden Debian-Projekt auf einer Blacklist, weil man
nicht die Ressourcen hat, LibreOffice immer wieder nachzubauen. Es ist
natürlich erstrebenswert, dass sich dieser Zustand ändert.

Aber theoretisch ist insoweit "alles in Butter".

bei Hardware scheint mir die Lage insoweit etwas anders. selbst wenn
alle Konstruktionsunterlagen für eine CPU freigeben würden. Wieviele
Menschen wäre in der Lage, diese "sinnerfassend" zu lesen?

Und dann müsste geprüft werden, ob der Chip tatsächlich ausschließlich
auf der Grundlage dieser Konstruktionspläne hergestellt worden ist. Wer
wäre hierzu angesichts des damit verbundenen Aufwands in der Lage?

Intel hat die umstrittene Funktion seines Chips offengelegt. Natürlich
dürfte wohl niemand von uns in der Lage sein, zu prüfen, ob dies
tatsächlich vollständig geschehen ist oder gar plausibel nachzuweisen,
dass keine Backdoor verhanden ist.

Aber was ist mit all den anderen CPUs und Chips? Auch dort könnte doch
ein "zusätzlicher Computer" vorhanden sein, ohne das dies offengelegt wurde.

Hinzukommt noch, dass Chips in der Regel in Ländern hergestellt werden,
deren Regierung man ein gewisses Interesse an solchen Funktionen
nachsagen kann.

Und was ist mit all den anderen Geräten?

Ich bin in meinem Büro aus nachvollziehbaren Gründen bemüht, nur Freie
Software einzusetzen. aber die Betriebsysteme beispielsweise meiner
Drucker sind nicht frei. Wer sagt mir, dass dort nicht "Spionagesoft-
und -hardware" verbaut wurde? Oder in meinen Bildschirmen? Oder, oder, oder?

Selbst, wenn ich den Netzwerktraffic sorgfältig überwachen würde, was
vom Aufwand her wohl unrealistisch ist, gibt es immer noch die
Möglichkeit von Funkchips. Soll ich meine Hardware in faradayschen
Käfigen betreiben?

Früher sagte man, die beste Firewall seien fünf Zentimeter Luft. Heute
würde ich auch dieser "Firewall", die übrigens leider auch sehr
unpraktisch ist und daher wohl nur in Ausnahmefällen zum Einsatz kommen
kann, nicht mehr vertrauen.

Ich stimme sowohl Marcus als auch Rince zu. Und das ist das Dilemma. Wir
arbeiten mit Technik, die wir als Einzelne gar nicht und als
Gemeinschaft nur sehr schwer vollständig kontrollieren können.

Natürlich entbindet uns dies nicht von der moralischen Pflicht, dies so
gut es uns möglich ist zu versuchen und beispielsweise Freie Software
aus vertrauenswürdigen Quellen einzusetzen. Und uns für Freie und damit
kontrollier_bare_ Hardware einzusetzen.

Dies ist trotz der Länge nur ein Essay, um die Dimension des Problems
anzureißen.

Gruß
Michael







-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 198 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20160721/e1c40f43/attachment.sig>