[Gpg4win-users-de] Gpg4win Binaries überprüfen (was: Frage zu 'Unterstützung' durch das BSI)

[Bernhard Reiter]

Hallo Holger, liebe Mitleser!

dazu sind mir noch Gedanken gekommen:

On Tuesday 30 July 2013 at 17:54:57, Bernhard Reiter wrote:
> Gegen mehr Stellen oder Leute, welche Gpg4win bauen und zur Verfügung
> stellen oder seinen Quelltext überprüfen haben wir nichts. Im Gegenteil,
> das wäre schön! Allerdings müssten wir deren Binaries auch bis zu einem
> gewissen Grade vertrauen. Wir Unternehmen (Intevation, g10code, KDAB)
> wurden immerhin über einen öffentlichen Auftrag (meist per Ausschreibung)
> mit öffentlichen Geld bezahlt und haben komplett alles in der
> Öffentlichkeit entwickelt.

Mehrere unabhängige Überprüfungen der Binaries und des Quelltextes
wären etwas Messbares. Eigentlich wäre das ja eine Dienstleistung von 
Antiviren-Dienstleistern, aber es lassen sich auch Sicherheitsdienstleister 
beauftragen oder Forscher befragen. Wenn mehrere Gruppen die Kosten
für diese Überprüfung unabhängig zusammentragen und ihnen vertrauenswürde
Dritte beauftragen, dann kann hier mehr überprüft werden.
Vielleicht können hier auch Hochschulen oder 
IT-Experten aus der Fachpresse helfen.

Bitte bedenken: Absolute Sicherheit gibt es nicht. 
Und der niedrigste Teil des Zauns ist (vermutlich) nicht das Gpg4win Binary. 
Die Erhöhung der Gesamtsicherheit hängt aber vom Teilstück mit der niedrigsten 
Höhe ab. (Siehe Grundlagen der IT-Sicherheits-Literatur. Ein anderes Bild ist 
das der Kette mit dem schwächsten Glied. Meine These ist: Gpg4win Binaries 
sind eins der stärkeren Glieder in der Kette, wer Aufwand treibt sollte 
eigentlich immer erst das schwächste Glied zuerst stärken.)

Noch ein Gedanke:
Wie alle Wissen, bedeutet eine Bezahlung auch einen Einfluß. "Follow the 
money", heißt es immer. Deshalb fragen ja so viele Leute nach den 
Beauftragungen des BSIs. (Meiner Ansicht nach hat das BSI einen 
guten "Einfluß" gehabt, das ist jetzt aber nicht der Punkt.)
Es wäre natürlich noch viel schöner, wenn mehr Nutzer, privat und 
institutionell zur Finanzierung beitragen würden. Dann haben die Interessen
dieser Einzelpersonen, Unternehmen oder Organisation noch 
direkteren "Einfluß", in dem Sinne, dass ein Anbieter natürlich viel stärker 
motiviert ist etwas für den Kundennutzen zu tun. Das BSI möchte die 
Interessen dieser Nutzer in Deutschland vertreten (wieder denke ich, dass es 
das auch recht gut macht), aber wenn dem BSI weniger getraut würde, 
dann ist die direkte Finanzierung ein guter Weg.

Und nun schließt sich der Kreis:
Wenn wir wirklich die hunderttausende Euros für aussagekräftige unabhängige 
Überprüfungen finden könnten, dann würde ich vorschlagen, das Geld doch 
erstmal in die Software zu stecken, damit sie benutzbarer wird. Solche 
Finanzmittel hat die Gpg4win-Initiative nicht zur Verfügung. Damit es noch 
besseres Schulungsmaterial und Schulungen gibt. Damit das bessere Konzept 
STEED voran kommt und in Freier Software durchgängig implementiert wird.

Gruß,
Bernhard

-- 
www.intevation.de/~bernhard (CEO)    www.fsfe.org (Founding GA Member)
Intevation GmbH, Osnabrück, Germany; Amtsgericht Osnabrück, HRB 18998
Owned and run by Frank Koormann, Bernhard Reiter, Dr. Jan-Oliver Wagner
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 490 bytes
Beschreibung: This is a digitally signed message part.
URL         : <http://lists.wald.intevation.org/pipermail/gpg4win-users-de/attachments/20130731/99d87fb4/attachment.sig>