Von Verfluchtnochmal-05995bd7b am Sa, 23. Juni 2018 um 14:00 #
Klar, nur Checksums etc. kannst du heute auch schon machen, reproducible-builds sind ausschliesslich deshalb relevant weil sich damit eben beweisen lässt dass das wirklich aus dem behaupteten Quelltext gebaut wurde und um den Beweis finally anzutreten musst du eben sehr wohl den Source Code übersetzen was ohne reproducible-builds nichts bringt
absolut richtig! Das ist exakt was das Projekt ermöglichen will und deine Aussage bzgl. das es reicht wenn Experten den finalen Beweis antreten und nicht jeder zum Experten avancieren muss ist auch richtig. Aber wem kann man dieses Vertrauen entgegen bringen wenn nicht sich selbst oder wenn es direkt oder abgeleitet zum Standard wird.
Auch deine Anmerkungen zu Checksumen, Hashing sind richtig. Gibt es schon lange aber in Kombination mit dem, dem man vertrauen kann oder besser muss ;.-), ist es ein gutes und bewährtes Mittel für die optimierte Massenprüfung wie sie in Bereichen wir Scannern oder Echtzeitanalyse zu Einsatz kommen kann. Aber klar, ich muss dem der sie publiziert vertrauen. Daher ist diese Idee und das Projekt auch richtig und von besonderer Bedeutung. Aber leider ist es so, dass wenn die Menschen nicht mehr verstehen wie etwas funktioniert oder verwendet wird, wird es ignoriert oder schlicht deaktiviert (Firewalls, Virenscanner, Echtzeitschutz,etc.).
Nicht jeder ist in der Lage ein großes Projekt, geschweige denn ein ganzes OS, zu compilieren und dann das alles noch gehen die Referenz zu verifizieren. Daher müssen diese Technologischen Ansätze in leicht zu verwendende Tools oder indirekt über das OS selbst genutzt werden. Ebenen da sind die erwähnten Checksume- und Hash- Werte eine Alternative.
Der Punkt ist doch, bisher bringen die Checksummen recht wenig. Du weißt nur, dass das was du dir heruntergeladen hast dem erwarteten Ergebnis entspricht. Ob das Ergebnis aber auch dem einsehbaren Code entspricht kann erst durch reproduzierbare Builds nachgewiesen werden. So kann die gesamte Kette vom Code bis zum Nutzer verifiziert werden. Ich finde das sehr wichtig, so können Manipulationen einfach aufgedeckt werden.
Du hast recht, dafür muss der Code kompiliert werden, aber es reicht aus wenn das einer oder wenige machen. Immerhin kann es überhaupt nachvollzogen werden, das war bisher kaum möglich.
Hmmmmm also man verschiebt also das vertrauen vom distributor, der mir bisher schon kryptographisch verifizierbar, bestätigt hat, dass sourcen und binaries identisch sind, auf eine oder mehrere externe"zertifizierungsstelle" hat zwar sicherlich gewisse Vorteile. Man könnte aber auch ohne verifizoerbare builds ein Debian"built n certofied by tüv süd" anbieten, hätte den selben Effekt tüv kompiliert und signiert ich traue tüv...
Egal ist halt momentan ein spleen, einziger Vorteil ich lann überprüfen, ob tüv, debian, dekra, nist und die chinesische zuständige Behörde zum selben Ergebnis kommen.
Ob dann die Sourcen auch geprüft wirden oder denen blind vertraut wurde steht auf einem anderen Blatt.
Ja, sicher muss sich nichts ändern, aber reproduzierbare Builds sind die Vorraussetzung dafür, dass man überhaupt unabhängig überprüfen kann. Der praktische Vorteil mag gering erscheinen, ich halte ihn aber für sehr wichtig.
Von kamome umidori am So, 24. Juni 2018 um 19:26 #
Ich _vermute_, dass es doch wesentlich besser wird: Wenn die Reproduzierbarkeit automatisiert überprüft wird, musst du nur dieser Automatisierung des Distributors trauen, die Dir garantiert, dass der veröffentlichte Quellcode den veröffentlichten Binaries entspricht. Außerdem kann das nun auch jeder selbst nachprüfen. Sorgfältige Audits (mehrere) der veröffentlichten Quellen sind natürlich dennoch nötig, um „sicher zu gehen“. So reproduzierbar über mehrere Architekturen hinweg stelle ich mir auch das Ausnutzen von eventuell bösartigen Prozessor-Features aufwändiger vor.
Von Verfluchtnochmal_5987109 am So, 24. Juni 2018 um 20:03 #
Man verschiebt überhaupt nichts - Du kannst nur ZUSÄTZLICH wie jeder andere auch überprüfen ob beim Distributor nicht irgendwas schief gelaufen ist wie zB Maschine vom maintainer kompromitiert und manipulierten tarball eingefangen oder Infrastruktur der distribution gehackt und manipulierte Pakete im Umlauf die blöderweise auch noch korrekt signiert sind
Wie prüft das denn jetzt jemand ohne einfach blind zu vertrauen?
Keine Ahnung wie man auf die dämliche Idee kommt dass deswegen irgendwas verschoben wird! Es geht um ZUSÄTZLICHE Möglichkeiten zu verifizieren und mögliche verdächtige Dinge frühzeitig festzustellen weil es halt schon einen Unterschied macht ob manipulierte Pakete 2 Stunden oder 2 Wochen im Umlauf sind
Klar, nur Checksums etc. kannst du heute auch schon machen, reproducible-builds sind ausschliesslich deshalb relevant weil sich damit eben beweisen lässt dass das wirklich aus dem behaupteten Quelltext gebaut wurde und um den Beweis finally anzutreten musst du eben sehr wohl den Source Code übersetzen was ohne reproducible-builds nichts bringt
absolut richtig! Das ist exakt was das Projekt ermöglichen will und deine Aussage bzgl. das es reicht wenn Experten den finalen Beweis antreten und nicht jeder zum Experten avancieren muss ist auch richtig. Aber wem kann man dieses Vertrauen entgegen bringen wenn nicht sich selbst oder wenn es direkt oder abgeleitet zum Standard wird.
Auch deine Anmerkungen zu Checksumen, Hashing sind richtig. Gibt es schon lange aber in Kombination mit dem, dem man vertrauen kann oder besser muss ;.-), ist es ein gutes und bewährtes Mittel für die optimierte Massenprüfung wie sie in Bereichen wir Scannern oder Echtzeitanalyse zu Einsatz kommen kann. Aber klar, ich muss dem der sie publiziert vertrauen. Daher ist diese Idee und das Projekt auch richtig und von besonderer Bedeutung. Aber leider ist es so, dass wenn die Menschen nicht mehr verstehen wie etwas funktioniert oder verwendet wird, wird es ignoriert oder schlicht deaktiviert (Firewalls, Virenscanner, Echtzeitschutz,etc.).
Nicht jeder ist in der Lage ein großes Projekt, geschweige denn ein ganzes OS, zu compilieren und dann das alles noch gehen die Referenz zu verifizieren. Daher müssen diese Technologischen Ansätze in leicht zu verwendende Tools oder indirekt über das OS selbst genutzt werden. Ebenen da sind die erwähnten Checksume- und Hash- Werte eine Alternative.
lle
Der Punkt ist doch, bisher bringen die Checksummen recht wenig. Du weißt nur, dass das was du dir heruntergeladen hast dem erwarteten Ergebnis entspricht. Ob das Ergebnis aber auch dem einsehbaren Code entspricht kann erst durch reproduzierbare Builds nachgewiesen werden. So kann die gesamte Kette vom Code bis zum Nutzer verifiziert werden. Ich finde das sehr wichtig, so können Manipulationen einfach aufgedeckt werden.
Du hast recht, dafür muss der Code kompiliert werden, aber es reicht aus wenn das einer oder wenige machen. Immerhin kann es überhaupt nachvollzogen werden, das war bisher kaum möglich.
Hmmmmm also man verschiebt also das vertrauen vom distributor, der mir bisher schon kryptographisch verifizierbar, bestätigt hat, dass sourcen und binaries identisch sind, auf eine oder mehrere externe"zertifizierungsstelle" hat zwar sicherlich gewisse Vorteile. Man könnte aber auch ohne verifizoerbare builds ein Debian"built n certofied by tüv süd" anbieten, hätte den selben Effekt tüv kompiliert und signiert ich traue tüv...
Egal ist halt momentan ein spleen, einziger Vorteil ich lann überprüfen, ob tüv, debian, dekra, nist und die chinesische zuständige Behörde zum selben Ergebnis kommen.
Ob dann die Sourcen auch geprüft wirden oder denen blind vertraut wurde steht auf einem anderen Blatt.
Ja, sicher muss sich nichts ändern, aber reproduzierbare Builds sind die Vorraussetzung dafür, dass man überhaupt unabhängig überprüfen kann. Der praktische Vorteil mag gering erscheinen, ich halte ihn aber für sehr wichtig.
Ich _vermute_, dass es doch wesentlich besser wird: Wenn die Reproduzierbarkeit automatisiert überprüft wird, musst du nur dieser Automatisierung des Distributors trauen, die Dir garantiert, dass der veröffentlichte Quellcode den veröffentlichten Binaries entspricht.
Außerdem kann das nun auch jeder selbst nachprüfen. Sorgfältige Audits (mehrere) der veröffentlichten Quellen sind natürlich dennoch nötig, um „sicher zu gehen“.
So reproduzierbar über mehrere Architekturen hinweg stelle ich mir auch das Ausnutzen von eventuell bösartigen Prozessor-Features aufwändiger vor.
Man verschiebt überhaupt nichts - Du kannst nur ZUSÄTZLICH wie jeder andere auch überprüfen ob beim Distributor nicht irgendwas schief gelaufen ist wie zB Maschine vom maintainer kompromitiert und manipulierten tarball eingefangen oder Infrastruktur der distribution gehackt und manipulierte Pakete im Umlauf die blöderweise auch noch korrekt signiert sind
Wie prüft das denn jetzt jemand ohne einfach blind zu vertrauen?
Keine Ahnung wie man auf die dämliche Idee kommt dass deswegen irgendwas verschoben wird! Es geht um ZUSÄTZLICHE Möglichkeiten zu verifizieren und mögliche verdächtige Dinge frühzeitig festzustellen weil es halt schon einen Unterschied macht ob manipulierte Pakete 2 Stunden oder 2 Wochen im Umlauf sind
Hauptsache rumgetrollt...
Immer besser dämlich schreien als zu verstehen was der vorposter wirklich geschrieben hat.
Over and out
Ja was hat er denn sinnvolles geschrieben? Nix