Abo
  • Services:
Anzeige
Wie vertrauenswürdig ist unsere Hardware?
Wie vertrauenswürdig ist unsere Hardware? (Bild: Soeb, Wikimedia Commons)

Transparenz und offene Quellcodes

Anzeige

Dazu kommt: Staatliche Behörden, die Zertifizierungen durchführen, sind angesichts der Ereignisse der letzten Jahre nicht gerade vertrauenswürdiger geworden. Vom BSI etwa ist bekannt, dass es bis 2014 Geschäftsbeziehungen zum dubiosen französischen Zeroday-Händler Vupen unterhielt. Die Verquickung staatlicher IT-Sicherheitsinstitutionen mit Überwachungsmaßnahmen von Geheimdiensten ist nicht gerade geeignet, das Vertrauen in diese Institutionen zu stärken.

Ein weiteres Problem: Zertifizierungen werden in aller Regel nicht direkt von den entsprechenden Institutionen durchgeführt, sondern an externe Firmen ausgelagert. Eine Firma, die Zertifizierungen durchführt, will vor allem ihre Kunden zufriedenstellen. Sie hat eigentlich kein Interesse daran, besonders kritisch nachzuhaken und auch in Grenzfällen auf das Beheben von Sicherheitslücken zu bestehen.

Die Community springt ein

Ein Prozess, der wirklich Vertrauen in die Sicherheit von Firmwares schaffen soll, kommt ohne eine Offenlegung der Funktionalität und damit der Quellcodes nicht aus. Die offenen Quellen haben einen weiteren Vorteil: Üblicherweise verzichten Hardwarehersteller heute schon nach kurzer Zeit darauf, Sicherheitslücken in ihren Firmwares zu beheben und verweisen darauf, dass ältere Gerätegenerationen nicht mehr unterstützt werden. Mit offenen Quellcodes könnte in so einem Fall zumindest die Community dafür sorgen, dass es für wichtige Sicherheitslücken weiterhin Fixes gibt. Aus genau diesem Grund hat der IT-Sicherheitsexperte Dan Geer auf der letzten Black-Hat-Konferenz in Las Vegas gefordert, dass Unternehmen den Quellcode von Programmen, die nicht mehr unterstützt werden, offenlegen müssen.

Doch ein offener Quellcode reicht nicht aus, um für Sicherheit zu sorgen. Vielmehr sollten die Firmwares einem Audit durch eine entsprechende Fachfirma unterzogen werden. Auch hier bitte keine Geheimniskrämerei: Das Ergebnis des Audits sollte für jeden öffentlich einsehbar sein.

Reproduzierbare Buildprozesse

Als weiterer Baustein zu einer wirklich sicheren Firmware müsste zudem ein Beweis dafür vorliegen, dass die Firmware-Images auch wirklich dem Quellcode entsprechen, der veröffentlicht wurde. Einige freie Softwareprojekte, darunter beispielsweise Tor, nutzen bereits sogenannte reproduzierbare Buildprozesse. Die Idee: Der Compilevorgang der jeweiligen Software muss für jeden nachvollziehbar sein und es sollte am Ende bitidentisch das gleiche Binary herauskommen.

Doch selbst das reicht nicht aus, um zu verhindern, dass einzelnen Nutzern eine manipulierte Firmware untergeschoben wird. Denn die Prüfung des Buildprozesses werden nur einige wenige Nutzer durchführen. Gezielte Angriffe auf einzelne Nutzer würden vermutlich in den meisten Fällen nicht auffallen. Um das zu verhindern, wären öffentliche, überprüfbare Logs sinnvoll, in denen Prüfsummen der Firmware-Images hinterlegt werden. Solche Logs könnten mit ähnlichen Technologien wie die Bitcoin-Blockchain oder Certificate Transparency funktionieren. Durch einen Abgleich mit dem Log kann sich ein Nutzer vergewissern, dass er das gleiche Firmware-Image wie alle anderen Kunden erhält.

Alles unrealistisch?

Offener Quellcode, transparente Audits und reproduzierbare Builds: Ist das nicht alles komplett unrealistisch? Aus heutiger Sicht vermutlich ja. Doch gerade im Enterprise-Bereich haben die Hardwarehersteller in jüngster Zeit einiges an Vertrauen eingebüßt. Die Diskussionen darüber, ob man in den USA chinesischen Produkten trauen kann und ob man im Rest der Welt US-amerikanischen Produkten trauen kann, sind bekannt. Wenn die Industrie Vertrauen zurückgewinnen will, muss sie etwas dafür tun - auch wenn das nicht immer ganz einfach sein mag. Fragwürdige Zertifizierungen helfen nicht weiter, sie bergen vielmehr die Gefahr, dass sie als Placebo-Lösungen dienen und von wirklichen Fortschritten ablenken.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach)

 IMHO: Zertifizierungen sind der falsche Weg

eye home zur Startseite
Accolade 29. Jan 2015

Hallo, mir ist, bei einem Rootkit Scan mit Spybot, aufgefallen das es hier Warnhinweise...

Moe479 27. Jan 2015

z.b. netzwerkarten bzw. onboard nics, die dinger haben eine eigene, typischerweise auch...

JTR 26. Jan 2015

Aha und das soll dich schützen. Ein allgemein nütziger Verein verklagst du dann als...

Juniper 26. Jan 2015

Der Zeitraum geht vermutlich trozdem in die Trillarden Jahre selbst wenn ich nur einen...

Nocta 26. Jan 2015

Deterministisch lösbar ist es sicher. Du meinst vermutlich, ob es in polynomialzeit von...



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, Berlin, Dresden
  2. Deutsche Edelstahlwerke GmbH, Witten
  3. Lampe & Schwartze KG, Bremen
  4. SQS Software Quality Systems AG, deutschlandweit, Köln, Frankfurt, Hamburg, Wolfsburg, München


Anzeige
Spiele-Angebote
  1. 50,99€ (Vorbestellung)
  2. 14,99€
  3. 99,99€ mit Vorbesteller-Preisgarantie

Folgen Sie uns
       


  1. Adobe

    Die Flash-Ära endet 2020

  2. Falscher Schulz-Tweet

    Junge Union macht Wahlkampf mit Fake-News

  3. BiCS3 X4

    WDs Flash-Speicher fasst 96 GByte pro Chip

  4. ARM Trustzone

    Google bescheinigt Android Vertrauensprobleme

  5. Überbauen

    Telekom setzt Vectoring gegen Glasfaser der Kommunen ein

  6. Armatix

    Smart Gun lässt sich mit Magneten hacken

  7. SR5012 und SR6012

    Marantz stellt zwei neue vernetzte AV-Receiver vor

  8. Datenrate

    Vodafone weitet 500 MBit/s im Kabelnetz aus

  9. IT-Outsourcing

    Schweden kaufte Clouddienste ohne Sicherheitsprüfung

  10. Quantengatter

    Die Bauteile des Quantencomputers



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Shipito: Mit wenigen Mausklicks zur US-Postadresse
Shipito
Mit wenigen Mausklicks zur US-Postadresse
  1. Kartellamt Mundt kritisiert individuelle Preise im Onlinehandel
  2. Automatisierte Lagerhäuser Ein riesiger Nerd-Traum
  3. Onlineshopping Ebay bringt bedingte Tiefpreisgarantie nach Deutschland

Creoqode 2048 im Test: Wir programmieren die größte portable Spielkonsole der Welt
Creoqode 2048 im Test
Wir programmieren die größte portable Spielkonsole der Welt
  1. Arduino 101 Intel stellt auch das letzte Bastler-Board ein
  2. 1Sheeld für Arduino angetestet Sensor-Platine hat keine Sensoren und liefert doch Daten
  3. Calliope Mini im Test Neuland lernt programmieren

Ikea Trådfri im Test: Drahtlos (und sicher) auf Schwedisch
Ikea Trådfri im Test
Drahtlos (und sicher) auf Schwedisch
  1. Die Woche im Video Kündigungen, Kernaussagen und KI-Fahrer
  2. Augmented Reality Ikea will mit iOS 11 Wohnungen virtuell einrichten
  3. Space10 Ikea-Forschungslab untersucht Umgang mit KI

  1. Re: Viel zu spät

    ChristianKG | 23:11

  2. Trustzone die Ursache?

    MisterFreeze | 23:09

  3. Re: Fake News vs. Satire

    HorkheimerAnders | 23:08

  4. Re: Offizielle Ladepunkte meist unbrauchbar

    FlashBFE | 23:06

  5. 2020 die Flashentwickler:

    Sharra | 23:06


  1. 21:02

  2. 18:42

  3. 15:46

  4. 15:02

  5. 14:09

  6. 13:37

  7. 13:26

  8. 12:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel