Abo
  • Services:
Anzeige
Kontrolle und Vertrauen sind auch für Open-Source-Software notwendig.
Kontrolle und Vertrauen sind auch für Open-Source-Software notwendig. (Bild: Open Source Initiative/CC-BY 3.0)

Freie Software: Probleme bei Verifikation von Binärdateien

Kontrolle und Vertrauen sind auch für Open-Source-Software notwendig.
Kontrolle und Vertrauen sind auch für Open-Source-Software notwendig. (Bild: Open Source Initiative/CC-BY 3.0)

Die Binärdatei einer Software mit dem dazugehörigen Quellcode zu vergleichen ist schwieriger als eventuell vermutet. Selbst für Pakete von Linux-Distributionen sind das Rekompilieren und die anschließende Verifikation nicht einfach.

Einer der Vorteile von freier Software ist die Möglichkeit, die eingesetzte Binärversion der Software mit dem korrespondierenden Quellcode zu vergleichen. Ein Rekompilieren des Codes sollte genügen, um eventuelle Unstimmigkeiten zwischen eigener und bereitgestellter Binärversion aufzudecken. Der Entwickler Jos van den Oever beschreibt jedoch in seinem Blog, dass diese vergleichsweise naive Idee selbst für die Pakete einiger Linux-Distributionen schwer umzusetzen sei.

Anzeige

Denn die GPLv2 verlange zwar, sämtliche Skripte bereitzustellen, die für das Kompilieren notwendig sind, Angaben wie etwa zur Compiler-Version müssen aber nicht gemacht werden. Das, so van den Oever, mache die Überprüfung von Binärdatei und Quellcode sehr schwierig, denn unterschiedliche Compiler führen zu unterschiedlichen Binärdateien.

Pakete überprüfen?

Darüber hinaus sind die von Linux-Distributionen angebotenen Binärpakete sehr verschieden im Gegensatz zu einer einfachen, selbst kompilierten Datei. Wohl deshalb bieten die meisten Distributionen auch Quellpakete an, aus denen die Binärpakete selbst erstellt und gegebenenfalls überprüft werden können, was van den Oever versuchte.

Der Entwickler untersuchte beispielhaft für Debian, Fedora und Opensuse das Erstellen eines Pakets der Software Tar. Neben Unterschieden, die aus Zeitstempeln und Build-IDs entstanden, fand van den Oever auch einige Unterschiede, die nicht direkt zu erklären sind. Zwar belaufen sich die Unterschiede oft nur auf wenige Bytes, ob dies aber aus unterschiedlichen Build-Umgebungen resultiert, wie van den Oever vermutet, lässt sich derzeit nicht abschließend klären.

Um "Bit-perfekte Builds" zu erstellen, brauche es nur ein paar Veränderungen an den Werkzeugen, schreibt van den Oever, wie etwa die Dokumentation der Build-Umgebung. Sollte die Verifikation aber nicht funktionieren, bleibt nur das Vertrauen in den Dienst, der die Binärversionen anbietet, also meist die Distribution.

Doch selbst wenn dieses Vertrauen nicht vorliegt, schafft ein konsequent selbst kompiliertes System wie bei Gentoo oder Arch-Linux nicht unbedingt mehr Sicherheit. Denn auch dem Quellcode selbst muss jeder Nutzer vertrauen, worauf Unix-Pionier Ken Thompson in seinem Essay Reflections on Trusting Trust hinwies.


eye home zur Startseite
__destruct() 12. Aug 2013

Mir ist diesbezüglich nichts bekannt, aber noch viel unklarer ist mir, wie du darauf...

Andre S 24. Jun 2013

...die Einstellung wird immer Paranoider. Sicher ist es wichtig aufzupassen aber das...

dudida 23. Jun 2013

Frag Microsoft.

hjp 22. Jun 2013

In Reflections on Trusting Trust geht es nicht darum, dass man dem Source-Code vertrauen...

tundracomp 22. Jun 2013

Mit ABS kann man sich aber Arch Linux selbst kompilieren, wenn man will...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Leinfelden-Echterdingen
  2. über TOPOS Personalberatung GmbH, Norddeutschland
  3. T-Systems International GmbH, Bonn, Berlin
  4. Broetje-Automation, Rastede


Anzeige
Spiele-Angebote
  1. 69,99€ (Release 31.03.)
  2. 6,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Samsung zum Galaxy Note 7

    Schuld waren die Akkus

  2. Automute

    Stummschalten beim Ausstöpseln der Kopfhörer

  3. Neue Hardwaregeneration

    Tesla-Autopilot 2.0 nur bis 72 km/h aktiv

  4. Digitale Assistenten

    LG hat für das G6 mit Google und Amazon verhandelt

  5. Instant Tethering

    Googles automatischer WLAN-Hotspot

  6. 5G-Mobilfunk

    Netzbetreiber erhalten Hilfe bei Suche nach Funkmastplätzen

  7. Tinker-Board

    Asus bringt Raspberry-Pi-Klon

  8. Privatsphäre

    Verschlüsselter E-Mail-Dienst Lavabit kommt wieder

  9. Potus

    Donald Trump übernimmt präsidiales Twitter-Konto

  10. Funkchips

    Apple klagt gegen Qualcomm



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Reverse Engineering: Mehr Spaß mit Amazons Dash-Button
Reverse Engineering
Mehr Spaß mit Amazons Dash-Button
  1. Online-Einkauf Amazon startet virtuelle Dash-Buttons

Glasfaser: Nun hängt die Kabel doch endlich auf!
Glasfaser
Nun hängt die Kabel doch endlich auf!
  1. US-Präsident Zuck it, Trump!
  2. Fake News Für Facebook wird es hässlich
  3. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so

Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. DACBerry One Soundkarte für Raspberry Pi liefert Töne digital und analog
  2. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  3. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel

  1. Re: Was für ein Fusch

    miauwww | 09:22

  2. Re: Nicht nur auf dem Land

    Lügenbold | 09:20

  3. Und ich habe gedacht die Kamera war schuld

    maze_1980 | 09:18

  4. Re: Kleiner, leichter, besser!

    Kakiss | 09:17

  5. Genau! Schuld sind die anderen!

    AllDayPiano | 09:16


  1. 08:36

  2. 07:26

  3. 07:14

  4. 11:29

  5. 10:37

  6. 10:04

  7. 16:49

  8. 14:09


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel