Re: Sicherheit als Ausrede für proprietäre Software (Re: gematik e-rezept app)

Henning Thielemann lemming at henning-thielemann.de
Di Mai 24 14:52:54 UTC 2022


On Tue, 24 May 2022, Bernhard E. Reiter wrote:

> Am Freitag 13 Mai 2022 10:04:02 schrieb Dr. Michael Stehmann:
>> Wann spricht sich in Deutschland eigentlich endlich die
>> wissenschaftliche Erkenntnis von 1883 'rum? [0]
>
>> [0] https://de.wikipedia.org/wiki/Kerckhoffs%E2%80%99_Prinzip
>
> das Kerckhoffs’sche Prinzip bezieht sich auf Kryptographie,
> aber nicht auf ein IT-System (gemeint ist mit IT-System eine
> Software-Anwendung, deren Konfiguration und Betriebsstruktur).
>
> Es ist also nicht so einfach.

Vielleicht darf man dieses Prinzip mal ein bisschen großzügiger auslegen, 
als ursprünglich beabsichtigt.

Ich habe mir letztens folgenden Vergleich überlegt: Wenn ich einen 
Ersatzschlüssel zu einem Hochsicherheitstrakt neben dem Gebäude unter 
einem Pflanzkübel verstecke, dann werdet ihr mir sicher zustimmen, dass 
das kein gutes Sicherheitskonzept ist. Ändert es jetzt was an der 
Sicherheit, ob man die Pläne, wo die Lage des Ersatzschlüssel 
eingezeichnet ist, veröffentlicht oder nicht? Es ist eigentlich egal, 
oder?

Anderes Beispiel: War es für die Entdeckung von Meltdown und Spectre 
nötig, die Schaltpläne der Intel-Prozessoren zu kennen? Offenbar nicht. 
Intel hat ja noch nicht einmal veröffentlicht, wie die einzelnen 
Prozessoroptimierungen genau funktionieren oder auch nur welche und 
wieviele Ausführungseinheiten ihre Prozessoren haben. Das haben 
Außenstehende durch Experimente herausgefunden. Siehe 
https://www.agner.org/optimize .


Mehr Informationen über die Mailingliste FSFE-de