[Gpg4win-users-de] Gpg4win Binaries überprüfen (was: Frage zu 'Unterstützung' durch das BSI)
Bernhard Reiter
bernhard at intevation.de
Mi Jul 31 10:16:58 CEST 2013
Hallo Holger, liebe Mitleser!
dazu sind mir noch Gedanken gekommen:
On Tuesday 30 July 2013 at 17:54:57, Bernhard Reiter wrote:
> Gegen mehr Stellen oder Leute, welche Gpg4win bauen und zur Verfügung
> stellen oder seinen Quelltext überprüfen haben wir nichts. Im Gegenteil,
> das wäre schön! Allerdings müssten wir deren Binaries auch bis zu einem
> gewissen Grade vertrauen. Wir Unternehmen (Intevation, g10code, KDAB)
> wurden immerhin über einen öffentlichen Auftrag (meist per Ausschreibung)
> mit öffentlichen Geld bezahlt und haben komplett alles in der
> Öffentlichkeit entwickelt.
Mehrere unabhängige Überprüfungen der Binaries und des Quelltextes
wären etwas Messbares. Eigentlich wäre das ja eine Dienstleistung von
Antiviren-Dienstleistern, aber es lassen sich auch Sicherheitsdienstleister
beauftragen oder Forscher befragen. Wenn mehrere Gruppen die Kosten
für diese Überprüfung unabhängig zusammentragen und ihnen vertrauenswürde
Dritte beauftragen, dann kann hier mehr überprüft werden.
Vielleicht können hier auch Hochschulen oder
IT-Experten aus der Fachpresse helfen.
Bitte bedenken: Absolute Sicherheit gibt es nicht.
Und der niedrigste Teil des Zauns ist (vermutlich) nicht das Gpg4win Binary.
Die Erhöhung der Gesamtsicherheit hängt aber vom Teilstück mit der niedrigsten
Höhe ab. (Siehe Grundlagen der IT-Sicherheits-Literatur. Ein anderes Bild ist
das der Kette mit dem schwächsten Glied. Meine These ist: Gpg4win Binaries
sind eins der stärkeren Glieder in der Kette, wer Aufwand treibt sollte
eigentlich immer erst das schwächste Glied zuerst stärken.)
Noch ein Gedanke:
Wie alle Wissen, bedeutet eine Bezahlung auch einen Einfluß. "Follow the
money", heißt es immer. Deshalb fragen ja so viele Leute nach den
Beauftragungen des BSIs. (Meiner Ansicht nach hat das BSI einen
guten "Einfluß" gehabt, das ist jetzt aber nicht der Punkt.)
Es wäre natürlich noch viel schöner, wenn mehr Nutzer, privat und
institutionell zur Finanzierung beitragen würden. Dann haben die Interessen
dieser Einzelpersonen, Unternehmen oder Organisation noch
direkteren "Einfluß", in dem Sinne, dass ein Anbieter natürlich viel stärker
motiviert ist etwas für den Kundennutzen zu tun. Das BSI möchte die
Interessen dieser Nutzer in Deutschland vertreten (wieder denke ich, dass es
das auch recht gut macht), aber wenn dem BSI weniger getraut würde,
dann ist die direkte Finanzierung ein guter Weg.
Und nun schließt sich der Kreis:
Wenn wir wirklich die hunderttausende Euros für aussagekräftige unabhängige
Überprüfungen finden könnten, dann würde ich vorschlagen, das Geld doch
erstmal in die Software zu stecken, damit sie benutzbarer wird. Solche
Finanzmittel hat die Gpg4win-Initiative nicht zur Verfügung. Damit es noch
besseres Schulungsmaterial und Schulungen gibt. Damit das bessere Konzept
STEED voran kommt und in Freier Software durchgängig implementiert wird.
Gruß,
Bernhard
--
www.intevation.de/~bernhard (CEO) www.fsfe.org (Founding GA Member)
Intevation GmbH, Osnabrück, Germany; Amtsgericht Osnabrück, HRB 18998
Owned and run by Frank Koormann, Bernhard Reiter, Dr. Jan-Oliver Wagner
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 490 bytes
Beschreibung: This is a digitally signed message part.
URL : <http://lists.wald.intevation.org/pipermail/gpg4win-users-de/attachments/20130731/99d87fb4/attachment.sig>
Mehr Informationen über die Mailingliste Gpg4win-users-de