Abo
  • Services:
Anzeige
Kontrolle und Vertrauen sind auch für Open-Source-Software notwendig.
Kontrolle und Vertrauen sind auch für Open-Source-Software notwendig. (Bild: Open Source Initiative/CC-BY 3.0)

Freie Software: Probleme bei Verifikation von Binärdateien

Kontrolle und Vertrauen sind auch für Open-Source-Software notwendig.
Kontrolle und Vertrauen sind auch für Open-Source-Software notwendig. (Bild: Open Source Initiative/CC-BY 3.0)

Die Binärdatei einer Software mit dem dazugehörigen Quellcode zu vergleichen ist schwieriger als eventuell vermutet. Selbst für Pakete von Linux-Distributionen sind das Rekompilieren und die anschließende Verifikation nicht einfach.

Einer der Vorteile von freier Software ist die Möglichkeit, die eingesetzte Binärversion der Software mit dem korrespondierenden Quellcode zu vergleichen. Ein Rekompilieren des Codes sollte genügen, um eventuelle Unstimmigkeiten zwischen eigener und bereitgestellter Binärversion aufzudecken. Der Entwickler Jos van den Oever beschreibt jedoch in seinem Blog, dass diese vergleichsweise naive Idee selbst für die Pakete einiger Linux-Distributionen schwer umzusetzen sei.

Anzeige

Denn die GPLv2 verlange zwar, sämtliche Skripte bereitzustellen, die für das Kompilieren notwendig sind, Angaben wie etwa zur Compiler-Version müssen aber nicht gemacht werden. Das, so van den Oever, mache die Überprüfung von Binärdatei und Quellcode sehr schwierig, denn unterschiedliche Compiler führen zu unterschiedlichen Binärdateien.

Pakete überprüfen?

Darüber hinaus sind die von Linux-Distributionen angebotenen Binärpakete sehr verschieden im Gegensatz zu einer einfachen, selbst kompilierten Datei. Wohl deshalb bieten die meisten Distributionen auch Quellpakete an, aus denen die Binärpakete selbst erstellt und gegebenenfalls überprüft werden können, was van den Oever versuchte.

Der Entwickler untersuchte beispielhaft für Debian, Fedora und Opensuse das Erstellen eines Pakets der Software Tar. Neben Unterschieden, die aus Zeitstempeln und Build-IDs entstanden, fand van den Oever auch einige Unterschiede, die nicht direkt zu erklären sind. Zwar belaufen sich die Unterschiede oft nur auf wenige Bytes, ob dies aber aus unterschiedlichen Build-Umgebungen resultiert, wie van den Oever vermutet, lässt sich derzeit nicht abschließend klären.

Um "Bit-perfekte Builds" zu erstellen, brauche es nur ein paar Veränderungen an den Werkzeugen, schreibt van den Oever, wie etwa die Dokumentation der Build-Umgebung. Sollte die Verifikation aber nicht funktionieren, bleibt nur das Vertrauen in den Dienst, der die Binärversionen anbietet, also meist die Distribution.

Doch selbst wenn dieses Vertrauen nicht vorliegt, schafft ein konsequent selbst kompiliertes System wie bei Gentoo oder Arch-Linux nicht unbedingt mehr Sicherheit. Denn auch dem Quellcode selbst muss jeder Nutzer vertrauen, worauf Unix-Pionier Ken Thompson in seinem Essay Reflections on Trusting Trust hinwies.


eye home zur Startseite
__destruct() 12. Aug 2013

Mir ist diesbezüglich nichts bekannt, aber noch viel unklarer ist mir, wie du darauf...

Andre S 24. Jun 2013

...die Einstellung wird immer Paranoider. Sicher ist es wichtig aufzupassen aber das...

dudida 23. Jun 2013

Frag Microsoft.

hjp 22. Jun 2013

In Reflections on Trusting Trust geht es nicht darum, dass man dem Source-Code vertrauen...

tundracomp 22. Jun 2013

Mit ABS kann man sich aber Arch Linux selbst kompilieren, wenn man will...



Anzeige

Stellenmarkt
  1. PRÜFTECHNIK AG, Ismaning
  2. Bosch Service Solutions Leipzig GmbH, Leipzig
  3. medavis GmbH, Karlsruhe
  4. Deutsche Hypothekenbank AG, Hannover


Anzeige
Hardware-Angebote
  1. ab 799,90€
  2. 56,08€ (Vergleichspreis ab ca. 65€)
  3. 699€

Folgen Sie uns
       


  1. Bitkom

    Ausbau mit Glasfaser kann noch 20 Jahre dauern

  2. Elektroauto

    Nikolas E-Trucks bekommen einen Antrieb von Bosch

  3. HHVM

    Facebook konzentriert sich künftig auf Hack statt PHP

  4. EU-Datenschutzreform

    Bitkom warnt Firmen vor Millionen-Bußgeldern

  5. Keybase Teams

    Opensource-Teamchat verschlüsselt Gesprächsverläufe

  6. Elektromobilität

    In Norwegen fehlen Ladesäulen

  7. Metroid Samus Returns im Kurztest

    Rückkehr der gelenkigen Kopfgeldjägerin

  8. Encrypted Media Extensions

    Web-DRM ist ein Standard für Nutzer

  9. TP Link Archer CR700v

    Einziger AVM-Konkurrent bei Kabelroutern gibt auf

  10. Sparc M8

    Oracles neuer Chip ist 40 Prozent schneller



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Inspiron 5675 im Test: Dells Ryzen-Gaming-PC reicht mindestens bis 2020
Inspiron 5675 im Test
Dells Ryzen-Gaming-PC reicht mindestens bis 2020
  1. Android 8.0 im Test Fertig oder nicht fertig, das ist hier die Frage
  2. Logitech Powerplay im Test Die niemals leere Funk-Maus
  3. Polar vs. Fitbit Duell der Schlafexperten

Mini-Smartphone Jelly im Test: Winzig, gewöhnungsbedürftig, nutzbar
Mini-Smartphone Jelly im Test
Winzig, gewöhnungsbedürftig, nutzbar
  1. Leia RED verrät Details zum Holo-Display seines Smartphones
  2. Smartphones Absatz in Deutschland stagniert, Umsatz steigt leicht
  3. Wavy Klarna-App bietet kostenlose Überweisungen zwischen Freunden

Energieversorgung: Windparks sind schlechter gesichert als E-Mail-Konten
Energieversorgung
Windparks sind schlechter gesichert als E-Mail-Konten
  1. Apache Struts Monate alte Sicherheitslücke führte zu Equifax-Hack
  2. Kreditrating Equifax' Krisenreaktion ist ein Desaster
  3. Best Buy US-Handelskette verbannt Kaspersky-Software aus Regalen

  1. Re: Wenn das Marketingabteilung mal wieder...

    cicero | 18:47

  2. nächste Stufe der Automatisierung

    cicero | 18:46

  3. Re: Skandinavien ohne Tourismus

    medium_quelle | 18:44

  4. Re: Die sicheren Gewinner beim Goldrausch waren...

    warten_auf_godot | 18:44

  5. Re: Ja!! -> Abhaengigkeitshoelle

    burzum | 18:43


  1. 18:51

  2. 18:41

  3. 17:01

  4. 16:46

  5. 16:41

  6. 16:28

  7. 16:11

  8. 16:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel