Von Christoph Hellwig am Di, 11. April 2000 um 15:49 #
Ich finde es interresant, daß das gerade jetzt kommt, wo doch SGI eine b1 (ja!) Zertifizierung für linux noch in diesem jahr versprochen hat. (Siehe auch http://oss.sgi.com, nach ob1 suchen).
Für "Linux" kann es keine entsprechende Zertifizierung geben. Zertifiziert werden kann nur ein konkretes Produkt, beispielweise Red Hat Linux 6.2, und da wäre ich mal gespannt, wie SGI hier vorgehen will: ein eigenes, zertifiziertes Linux auf der Basis einer anderen Distribution (z.B. Trusted SGI Linux 1.0 auf der Basis von RH 6.2) oder die Finanzierung der Zertifizierung für einen Distributor ihrer Wahl.
Von Christoph Hellwig am Di, 11. April 2000 um 16:45 #
> Für "Linux" kann es keine entsprechende > Zertifizierung geben. Zertifiziert werden > kann nur ein konkretes Produkt, > beispielweise Red Hat Linux 6.2, und da > wäre ich mal gespannt, wie SGI hier > vorgehen will: ein eigenes, > zertifiziertes Linux auf der Basis einer > anderen Distribution (z.B. Trusted SGI > Linux 1.0 auf der Basis von RH 6.2) oder > die Finanzierung der Zertifizierung für > einen Distributor ihrer Wahl.
Ok, du willst es also genau wissen ;) Konkret zertifiziert werden kann nur eine Implementierung, d.h. ein rechner, bestehend aus hardware und software. Also wird wohl eine SGI SN1 (IA64) unter SGI Trusted Linux 1.0 (basierend auf RedHat 7.1(IA64) Zertifiziert. Allerding sagt man dann umgangssprachlich, daß Linux B1 zertifiziert sei. (Genauso, wie man sagt, daß NT3.51 C2 zertifiziert sei, auch wenn das nur für einen speziellen Rechner ohne Floppy & Netzwerk gilt ...)
Okay okay, Du hast recht :-). Allerdings besteht zu NT3.51 (NT4.0 ist m.W.n. auch C2-zertifiziert mit SP6) ein Unterschied: NT3.51 ist ein einheitliches Produkt, so daß jeder einen Rechner gemäß den Zertifizierungsbedingungen zusammenstellen kann, NT3.51 drauf installieren, die notwendigen Einstellungen tun, und erhält dann eine trusted Umgebung. Bei Linux würde das ebenfalls nur mit diesem konkret zertifizierten Linux stimmen, also SGI Trusted Linux. Die Behauptung, "Linux" sei zertifiziert, ist in dem Fall genauso eine falsche Verallgemeinerung wie die Aussage, Windows sei C2-zertifiziert. Schon ein "aktualisierter" Kernel würde die Zertifizierung hinfällig machen, so daß ein zertifiziertes Linux sicher nicht dem üblichen Update-Rhythmus unterliegen würde :-).
Egal, Fakt ist: ein B1-zertifiziertes OpenSource-Betriebssystem, sei es nun ein BSD oder ein Linux, wäre schon ein Quantensprung. Fragt sich halt nur, wer das außer dem wirklich großen Firmen (wie Red Hat oder SGI) bezahlen soll, vor allem bei BSD ?!
Wir sollten a) nicht vergessen, dass diese Einstufung Anfang der 80er entstammt und b) manche Entwickler schon eine B-Zertifizierung hinter sich haben, und _danach_ noch Fehler/Sicherheitsluecken festgestellt haben ;) So whom do you trust ? ;)
Christoph
> Für "Linux" kann es keine entsprechende
> Zertifizierung geben. Zertifiziert werden
> kann nur ein konkretes Produkt,
> beispielweise Red Hat Linux 6.2, und da
> wäre ich mal gespannt, wie SGI hier
> vorgehen will: ein eigenes,
> zertifiziertes Linux auf der Basis einer
> anderen Distribution (z.B. Trusted SGI
> Linux 1.0 auf der Basis von RH 6.2) oder
> die Finanzierung der Zertifizierung für
> einen Distributor ihrer Wahl.
Ok, du willst es also genau wissen ;)
Konkret zertifiziert werden kann nur eine Implementierung, d.h. ein rechner, bestehend aus hardware und software. Also wird wohl eine SGI SN1 (IA64) unter SGI Trusted Linux 1.0 (basierend auf RedHat 7.1(IA64) Zertifiziert. Allerding sagt man dann umgangssprachlich, daß Linux B1 zertifiziert sei. (Genauso, wie man sagt, daß NT3.51 C2 zertifiziert sei, auch wenn das nur für einen speziellen Rechner ohne Floppy & Netzwerk gilt ...)
Christoph
Allerdings besteht zu NT3.51 (NT4.0 ist m.W.n. auch C2-zertifiziert mit SP6) ein Unterschied: NT3.51 ist ein einheitliches Produkt, so daß jeder einen Rechner gemäß den Zertifizierungsbedingungen zusammenstellen kann, NT3.51 drauf installieren, die notwendigen Einstellungen tun, und erhält dann eine trusted Umgebung.
Bei Linux würde das ebenfalls nur mit diesem konkret zertifizierten Linux stimmen, also SGI Trusted Linux. Die Behauptung, "Linux" sei zertifiziert, ist in dem Fall genauso eine falsche Verallgemeinerung wie die Aussage, Windows sei C2-zertifiziert. Schon ein "aktualisierter" Kernel würde die Zertifizierung hinfällig machen, so daß ein zertifiziertes Linux sicher nicht dem üblichen Update-Rhythmus unterliegen würde :-).
Egal, Fakt ist: ein B1-zertifiziertes OpenSource-Betriebssystem, sei es nun ein BSD oder ein Linux, wäre schon ein Quantensprung. Fragt sich halt nur, wer das außer dem wirklich großen Firmen (wie Red Hat oder SGI) bezahlen soll, vor allem bei BSD ?!
nicht vergessen, dass diese
Einstufung Anfang der 80er entstammt
und
b) manche Entwickler schon eine B-Zertifizierung
hinter sich haben, und _danach_ noch
Fehler/Sicherheitsluecken festgestellt
haben ;)
So whom do you trust ? ;)
Mosh
UNIX stammt auch aus den späten 60ern und hatte viele Sicherhietlücken und Bugs, und ist trotzdem das überlegene Prinzip ...
Christoph