[Gpg4win-users-de] Frage zu 'Unterstützung' durch das BSI

Di Jul 30 17:54:57 CEST 2013

On Tuesday 30 July 2013 at 16:56:00, Holger Schoenen wrote:
> An gpg4win ist ja dankenswerterweise das BSI beteiligt. Ein Teil der SW
> ist ja open source, 

Die ganze Software sogar.

> Wie kann ich sicher sein, daß der windows installer 
> für gpg4win kein "Hintertürchen" enthält?

Wie kannst Du sicher sein, 
dass sämtliche andere Software, welche Du nutzt keine Hintertür enthält? >:)

> Nach allen Erkenntnissen der letzten Zeit bin ich auch als Informatiker,
> wenn zwar nicht ganz unwissend, so doch sehr verunsichert!

Die Software selbst ist von g10code, Intevation und in der Vergangenheit KDAB 
gebaut worden. Das gilt (wie bei jeder Software) nicht für alle Bibliotheken 
und Werkzeuge in der Baukette. Siehe auch Werners Meldung dazu:
http://rem.eifzilla.de/archives/2013/07/16/gpg4win-and-the-feds

Das BSI und auch das BMWi davor hat nicht selbst an der Software
gebaut, unser Kenntnis nach, aber wir "bewachen" den Quelltext. 
Das BSI wird auch durch das BSI-Gesetz relativ klar begrenzt. Große 
Hintertüren würden vermutlich auffallen durch beobachtbaren Datenverkehr; 
Gpg4win wird weltweit eingesetzt und gibt es schon einige Jahre lang.

Gegen mehr Stellen oder Leute, welche Gpg4win bauen und zur Verfügung stellen 
oder seinen Quelltext überprüfen haben wir nichts. Im Gegenteil, das wäre 
schön! Allerdings müssten wir deren Binaries auch bis zu einem gewissen Grade 
vertrauen. Wir Unternehmen (Intevation, g10code, KDAB) wurden immerhin über 
einen öffentlichen Auftrag (meist per Ausschreibung) mit öffentlichen Geld 
bezahlt und haben komplett alles in der Öffentlichkeit entwickelt.

Vergleich das mal mit einer attraktiven App oder einen günstigen Spiel
oder sonstigen Anwendung. Die hast Du woher genau? Und wie bist Du sicher, das 
bei der Übertragung alles unmanipuliert blieb?

Aus die Aufträge durch das BSI angeht: Vielleicht könnten wir als Gesellschaft 
in Deutschland in Zukunft noch einen Schritt weitergehen und die inhaltlichen 
detaillierten Lastenhefte der öffentlichen Aufträge immer veröffentlichen. 
(Das ist eine alte Forderung von Transparency International.) Aber da hätten 
sicher viele proprietäre Unternehmen was dagegen. 

Gruß,
Bernhard
-- 
www.intevation.de/~bernhard (CEO)    www.fsfe.org (Founding GA Member)
Intevation GmbH, Osnabrück, Germany; Amtsgericht Osnabrück, HRB 18998
Owned and run by Frank Koormann, Bernhard Reiter, Dr. Jan-Oliver Wagner
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 490 bytes
Beschreibung: This is a digitally signed message part.
URL         : <http://lists.wald.intevation.org/pipermail/gpg4win-users-de/attachments/20130730/c613348e/attachment.sig>