Abo
  • Services:
Anzeige
Kontrolle und Vertrauen sind auch für Open-Source-Software notwendig.
Kontrolle und Vertrauen sind auch für Open-Source-Software notwendig. (Bild: Open Source Initiative/CC-BY 3.0)

Freie Software: Probleme bei Verifikation von Binärdateien

Kontrolle und Vertrauen sind auch für Open-Source-Software notwendig.
Kontrolle und Vertrauen sind auch für Open-Source-Software notwendig. (Bild: Open Source Initiative/CC-BY 3.0)

Die Binärdatei einer Software mit dem dazugehörigen Quellcode zu vergleichen ist schwieriger als eventuell vermutet. Selbst für Pakete von Linux-Distributionen sind das Rekompilieren und die anschließende Verifikation nicht einfach.

Einer der Vorteile von freier Software ist die Möglichkeit, die eingesetzte Binärversion der Software mit dem korrespondierenden Quellcode zu vergleichen. Ein Rekompilieren des Codes sollte genügen, um eventuelle Unstimmigkeiten zwischen eigener und bereitgestellter Binärversion aufzudecken. Der Entwickler Jos van den Oever beschreibt jedoch in seinem Blog, dass diese vergleichsweise naive Idee selbst für die Pakete einiger Linux-Distributionen schwer umzusetzen sei.

Anzeige

Denn die GPLv2 verlange zwar, sämtliche Skripte bereitzustellen, die für das Kompilieren notwendig sind, Angaben wie etwa zur Compiler-Version müssen aber nicht gemacht werden. Das, so van den Oever, mache die Überprüfung von Binärdatei und Quellcode sehr schwierig, denn unterschiedliche Compiler führen zu unterschiedlichen Binärdateien.

Pakete überprüfen?

Darüber hinaus sind die von Linux-Distributionen angebotenen Binärpakete sehr verschieden im Gegensatz zu einer einfachen, selbst kompilierten Datei. Wohl deshalb bieten die meisten Distributionen auch Quellpakete an, aus denen die Binärpakete selbst erstellt und gegebenenfalls überprüft werden können, was van den Oever versuchte.

Der Entwickler untersuchte beispielhaft für Debian, Fedora und Opensuse das Erstellen eines Pakets der Software Tar. Neben Unterschieden, die aus Zeitstempeln und Build-IDs entstanden, fand van den Oever auch einige Unterschiede, die nicht direkt zu erklären sind. Zwar belaufen sich die Unterschiede oft nur auf wenige Bytes, ob dies aber aus unterschiedlichen Build-Umgebungen resultiert, wie van den Oever vermutet, lässt sich derzeit nicht abschließend klären.

Um "Bit-perfekte Builds" zu erstellen, brauche es nur ein paar Veränderungen an den Werkzeugen, schreibt van den Oever, wie etwa die Dokumentation der Build-Umgebung. Sollte die Verifikation aber nicht funktionieren, bleibt nur das Vertrauen in den Dienst, der die Binärversionen anbietet, also meist die Distribution.

Doch selbst wenn dieses Vertrauen nicht vorliegt, schafft ein konsequent selbst kompiliertes System wie bei Gentoo oder Arch-Linux nicht unbedingt mehr Sicherheit. Denn auch dem Quellcode selbst muss jeder Nutzer vertrauen, worauf Unix-Pionier Ken Thompson in seinem Essay Reflections on Trusting Trust hinwies.


eye home zur Startseite
__destruct() 12. Aug 2013

Mir ist diesbezüglich nichts bekannt, aber noch viel unklarer ist mir, wie du darauf...

Andre S 24. Jun 2013

...die Einstellung wird immer Paranoider. Sicher ist es wichtig aufzupassen aber das...

dudida 23. Jun 2013

Frag Microsoft.

hjp 22. Jun 2013

In Reflections on Trusting Trust geht es nicht darum, dass man dem Source-Code vertrauen...

tundracomp 22. Jun 2013

Mit ABS kann man sich aber Arch Linux selbst kompilieren, wenn man will...



Anzeige

Stellenmarkt
  1. BG-Phoenics GmbH, München
  2. Dataport, Hamburg, Bremen
  3. Landratsamt Starnberg, Starnberg
  4. Melitta Business Service Center GmbH & Co. KG, Minden


Anzeige
Spiele-Angebote
  1. (-11%) 39,99€
  2. etwa 8,38€

Folgen Sie uns
       


  1. Facebook

    Nutzer sollen Vertrauenswürdigkeit von Newsquellen bewerten

  2. Notebook-Grafik

    Nvidia hat eine Geforce GTX 1050 (Ti) mit Max-Q

  3. Gemini Lake

    Asrock und Gigabyte bringen Atom-Boards

  4. Eni HPC4

    Italienischer Supercomputer weltweit einer der schnellsten

  5. US-Wahl 2016

    Twitter findet weitere russische Manipulationskonten

  6. Die Woche im Video

    Das muss doch einfach schneller gehen!

  7. Breko

    Waipu TV gibt es jetzt für alle Netzbetreiber

  8. Magento

    Kreditkartendaten von bis zu 40.000 Oneplus-Käufern kopiert

  9. Games

    US-Spielemarkt wächst 2017 zweistellig

  10. Boeing und SpaceX

    ISS bald ohne US-Astronauten?



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Indiegames-Rundschau: Krawall mit Knetmännchen und ein Mann im Fass
Indiegames-Rundschau
Krawall mit Knetmännchen und ein Mann im Fass
  1. Games 2017 Die besten Indiespiele des Jahres
  2. Indiegames-Rundschau Von Weltraumpiraten und dem Wunderdoktor

Matthias Maurer: Ein Astronaut taucht unter
Matthias Maurer
Ein Astronaut taucht unter
  1. Planetologie Forscher finden große Eisvorkommen auf dem Mars
  2. SpaceX Geheimer Satellit der US-Regierung ist startklar
  3. Raumfahrt 2017 Wie SpaceX die Branche in Aufruhr versetzt

Nachbarschaftsnetzwerke: Nebenan statt mittendrin
Nachbarschaftsnetzwerke
Nebenan statt mittendrin
  1. Hasskommentare Soziale Netzwerke löschen freiwillig mehr Inhalte
  2. Nextdoor Das soziale Netzwerk für den Blockwart
  3. Hasskommentare Neuer Eco-Chef Süme will nicht mit AfD reden

  1. Re: 20 Jahre zu spät...

    Hakuro | 08:00

  2. Re: Anstatt Eisen zu Gold machen sie Pappe zu Gold.

    ThaKilla | 07:45

  3. Re: 999 Mrd $ Klage

    Marius428 | 07:39

  4. Re: ist ja ein Lacher gegen die illegalen IPTV...

    RicoBrassers | 06:51

  5. Re: Nicht so schwer:

    sofries | 04:54


  1. 14:35

  2. 14:00

  3. 13:30

  4. 12:57

  5. 12:26

  6. 09:02

  7. 18:53

  8. 17:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel