News Clip OS: Neues Betriebssystem direkt von der Sicherheitsbehörde

Ich bin jetzt da nicht so der Crack - aber nur weil etwas open source ist gleich darauf zu schließen das da keine backdoor drinne ist halte ich für sehr verwegen. Ja, die Wahrscheinlichkeit ist bei offenem Quellcode sicher geringer und die Entdeckungswahrscheinlichkeit ist größer, keine Frage. Aber prinzipiell frage ich mich in heutiger Zeit immer "Wem nützt es?" und "Was möchte derjenige damit bezwecken?". Wenn dann noch eine "Sicherheitsbehörde" (egal aus welchem Land) im Spiel ist denke ich mir meinen Teil. Muss aber nicht jeder zum gleichen Schluss kommen. Ich würde dann wohl eher OpenBSD mein Vertrauen schenken.
 
das is genau so lange sicher bis sich jemand damit beschäftigt, der sich damit auskennt ;-)
 
ghecko schrieb:
Jetzt müssen unsere deutschen Behörden das nur noch Forken, etwas anpassen und schon ist Microsoft Windows nicht mehr "alternativlos". War es zwar nie, aber :rolleyes:

Und dann stellen die fest, das man bei Hardware XY, also 98% der User, Probleme haben wird...
Wie die entwickelte Scanner Software, für die kein Scanner existiert (Stasi Unterlagen?).
 
Was ist denn aktuell das sicherste Linux?
Bisher dachte ich, dass es "Tails" ist, aber es tauchen scheinbar immer "sicherere" Linux-OS auf, wie zB "Qubes" etc.

Ich blicke da nicht mehr durch...
 
Zuletzt bearbeitet:
So viel substanzlose Kritik und Backdoor-Blabla im Thread?!? Kann ich nicht ganz nachvollziehen.

Ich halte es für sehr begrüßenswert, wenn ein Staat Betriebssystem-Entwicklung für den Eigenbedarf selbst in die Hand nimmt statt immer wieder bei Dritten einzukaufen oder an 100 verschiedenen Stellen selbst zusammengewurschtelte Frickelsysteme zu betreiben. Dank des riesigen Angebots an freier, qualitativ guter Software kann so ziemlich jedes Land mit geringem Ressourceneinsatz ein OS für z.B. den gesamten staatlichen Sektor und interessierte Dritte bereitstellen und pflegen. Wenn die Franzosen das Projekt nun quelloffen entwickeln, möglichst viele ihrer Erweiterungen upstream integrieren lassen wollen und den Kram entwicklerfreundlich in englisch dokumentieren wollen (https://docs.clip-os.org/), haben sie schon mal ein paar ganz grundlegende Dinge richtig gemacht. Vielleicht wirds ja was gescheites.

Viele jammern, weil eine "Sicherheitsbehörde" als OS-Entwickler auftritt. Vielleicht sollte man mal zugestehen, dass sog. Sicherheitsbehörden nicht per Definition Scheiße sein müssen, insb. agieren solchen Institutionen nicht notwendigerweise gegen die eigene Bevölkerung. Eine Behörde kann sich durch gute, nachvollziehbare Arbeit mit der Zeit durchaus zu einer respektablen Quelle für ein OS entwickeln. Gerade für den administrativen Sektor, dem man irgendein OS befehlen kann, wäre ein offen entwickeltes System ungemein nützlich. Ich wäre froh, wenn es in Deutschland ähnliche Versuche gäbe.

MIWA P3D schrieb:
Es ist von einer franzosischen behörde. In Frankreich wird Freiheit weit mehr geschätz als in andern Ländern wie DE oder USA bzw China
Solch pauschale Beweihräucherung würde ich vermeiden. Wenn ich z.B. an den jahrelang immer wieder verlängerten Ausnahmezustand in F denke ...
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Mort626, cryoman, mcforest880 und 2 andere
Welchen Mehrwert bringt Clip OS gegenüber den bereits existierenden Distributionen, die auf Sicherheit optimiert sind? Nicht falsch verstehen, ich begrüße grundsätzlich den Schritt in Richtung von freier und unabhängiger Software. Und auch eine gewisse Vielfalt ist kein Fehler. Aber es gibt schon so viele Distributionen. Da frage ich mich, ob es wirklich so sinnvoll ist, eine weitere zu gründen. Oder ob die Ressourcen nicht besser in die Mitarbeit von bereits bestehenden investiert wären. Vor allem bei dem Dimensionen, da scheint es ja um nichts Kleines zu gehen.
 
so_la_la schrieb:
...und als erste setzt es bestimmt die Stadt München ein.

An München kann man aber zumindest sehen warum wir hier Rückschritte machen und es so etwas wie das französische OS bei uns nicht geben darf.
 
  • Gefällt mir
Reaktionen: so_la_la
Praktisch direkt von der NSA frei Haus .........

Muss man nicht ernsthaft drüber debatieren ob man dem vertrauen kann oder ? lol
 
  • Gefällt mir
Reaktionen: goringo
Welche Motivation da wohl hinter der Entwicklung stand...
Muss etwas mit Paranoia oder dem herumschnüffeln zu tun haben.
 
der Unzensierte schrieb:
Ich bin jetzt da nicht so der Crack - aber nur weil etwas open source ist gleich darauf zu schließen das da keine backdoor drinne ist halte ich für sehr verwegen. Ja, die Wahrscheinlichkeit ist bei offenem Quellcode sicher geringer und die Entdeckungswahrscheinlichkeit ist größer, keine Frage. Aber prinzipiell frage ich mich in heutiger Zeit immer "Wem nützt es?" und "Was möchte derjenige damit bezwecken?". Wenn dann noch eine "Sicherheitsbehörde" (egal aus welchem Land) im Spiel ist denke ich mir meinen Teil. Muss aber nicht jeder zum gleichen Schluss kommen. Ich würde dann wohl eher OpenBSD mein Vertrauen schenken.
Es steht doch im Artikel, wer das entwickelt hat und wofür primär?
Gibt es einen Grund etwas anderes anzunehmen? Die 90%+ Windowsuser werden wohl kaum das Ziel gewesen sein. Anderen Staaten wird man das wohl auch weniger "schmackhaft" machen, und denen, die noch unsicherere Systeme nutzen, wird man das sicher nicht aufdrängen. Industrie? Welche relevante nichtfranzösische Industrie wird sich ein in englisch schlechtdokumentierte Software einbauen, für die sie auch keinen Support erhält?
Die einzigen, für die dieses OS wirklich Sinn macht, sind, große Überraschung, französische Behörden.
 
  • Gefällt mir
Reaktionen: Mort626 und instinkt
Miuwa schrieb:
Was dir ein ne formale Verifikation bescheinigen kann ist, das die SW eine Reihe formal spezifizierter Eigenschaften erfüllt. Sie garantiert dir aber nicht, dass du auch alle wichtigen Eigenschaften tatsächlich spezifiziert hast.
Ja. Habe ich aber bereits drauf hingewiesen. Finde aber gut, dass Du trotzdem noch mal darauf hinweist. Das es eigentlich nicht um Fehlerfreiheit als solche geht (was eine saloppe Bezeichnung ist; inkorrekt, aber für Laien am ehstesten verständlich), das es darum geht: Implementation entspricht Spezifikation

Das ist durchaus auch ein Problem, was ich anerkenne. Nichtsdestotrotz wäre das schon deutlich besser als das, was wir jetzt haben. Wie gesagt. Man macht es ja in gewissen Bereichen nicht umsonst. Darum reden wir auch nicht über rein theoretische Überlegungen die sich in der Praxis erst noch ähm . sozusagen beweisen müssen. :-)

Leider haben wir heute eher den umgekehrten Trend. Das was wir schon an Fortschritten hatten wie static typing wird weggeworfen (siehe Javascript/node.js) und man setzt Technologien ein, die noch nicht vollends verstanden werden wie machine-learning.

Miuwa schrieb:
Du kannst nicht fragen ist die SW korrekt ohne zu spezifizieren, was korrekt überhaupt bedeutet.
Schon klar. Sollte aber aus meinem Beitrag hervorgegangen sein.

Miuwa schrieb:
Außerdem, was heißt überhaupt komplett verifiziert?
Das sich halt der komplette Kernel angeschaut wurde und nicht nur Einzelaspekte.
Wobei es (und da kommen wir wieder zudem was Du sagtest) nicht darum ging, Fehlerfreiheit als Solche zu garantieren, sondern schwerpunktmäßig das der Kernel so funktioniert wie er soll und das bestimmte Fehlerklassen nicht auftreten können. Das sind dann solche Sachen wie Integer-Overflows usw.

Miuwa schrieb:
Für welche Plattformen?
ARM, woeit ich weiß.

Miuwa schrieb:
Auf welchem Level (binärcode? Programmcode? Algorithmen?) .
Sowohl Quelltext als auch das Kompilat.

Teralios schrieb:
Nein. richtig. Weil ich nicht alle gesagt habe, sondern. Viele. Deine Beispiele sind zwar korrekt. Aber mein Beispiel ebenso. Ich könnte jetzt noch FreeBSD, OpenBSD, Solaris.
Auch ist die frage, ob man Hybrid-Kernel nicht eher zu den monolithischen Kerneln zählt als zu den Microkerneln.
Und hinsichtlich der Security macht Windows mit seinem Hybrid-Kernel ja auch nicht die beste Figur. :-)
Bei MacOS X dürfte es sogar noch schlechter aussehen als unter Windows. Die haben halt bisher Glück gehabt, dass sie nicht so stark im Fokus von Angriffen standen.

Aber ich will mich auch nicht in unnötige Details verrennen. Fakt ist, wir haben ein Security-Problem. Und nu gilt es zu gucken, was am Ist-Zustand suboptimal ist und was man anders (optimalerweise besser!) machen kann.

Teralios schrieb:
Erneut falsch. Die Konzepte für die heutigen Betriebssysteme sind in den 90er entstanden
Wenn ich mir ein Linux angucke, finde ich sehr viel wieder was in UNIX schon Usus war. Wenn ich mir Windows angucke, sehe ich viel VMS.

So falsch kann ich also gar nicht gelegen haben. Ich hab ja nicht behauptet, dass seitdem keine Verbesserungen/Änderungen stattgefunden haben. Aber viel Kram ist eben halt schon schlicht alt.
Die Frage ist, ob wir darauf aufbauend an der Security-Problematik wirklich etwas verbessern können oder ob die Möglichkeiten da weitgehend ausgereizt sind und man bestimmte grundlegende Dinge doch endlich mal umwerfen müsste.
Ich meine Position geht eher in Richtung Letzteres.

Man kann dann höchstens sagen: Der alte Kram mag zwar nicht optimal sein, aber den beherrschen wir. Wir wissen halt, wo die Fettnäppchen sind und haben Erfahrung die zu vermeiden. Bei etwas Neuem (was vielfach ja so neu gar nicht ist) haben wir nicht nur Aufwand, sondern möglicherweise auch neue Probleme.

Aber gucken wir uns den Ist-Zustand an. Nur allein Windows (was ja durchaus auch von fähigen Leuten entwickelt wird mit einer Firma, die auch die Mittel hat einen ordentlichen Software-Engineering Prozess zu etablieren und durchzuziehen).
Trotzdem haben wir das spätestens am monatlichen Patchday irgendwelche Lücken gestopft werden müssen. Wie hoch ist die Wahrscheinlichkeit, dass das irgendwann mal vorbei ist und alle Fehler gefixt sind? Offenbar nicht sehr groß. Zumal auch fleißig neue Fehler eingebaut werden.

Offenbar ist die Security-Problematik also mit dem bisherigen Mitteln nicht nachhaltig lösbar.

Teralios schrieb:
Die formelle Verifizierung (also mathematisch bewiesen) ist sehr schwer und der Aufwand steigt stark an, je komplexer eine Software wird.
Das ist mir bewusst. Nur viel ist auch dem geschuldet, dass häufig eingesetzte Programmiersprachen wie C und C++ den Aufwand hoch treiben. Zum Beispiel funktionalen Sprachen kommen da einem deutlich entgegen.
Wurde aber im Thread schon thematisiert.

Teralios schrieb:
Ab gewissen Komplexitäten wiederum ist eine formale Verifizierung nicht möglich. Stichwort: Halteproblem und Gödelscher Unvollständigkeitssatz.
Ja. Ich will hier Softwareverifikation auch nicht als Allheilmittel verstanden wissen. Es ist am sinnvollsten im Verbund mit anderen Maßnahmen. Wie Du schon sagtest. Ein komplexes C oder C++ Programm ist realistischer Weise nicht verifizierbar, da der Aufwand sehr groß ist.
Aber als Teil einer anderen Herangehensweise sieht das schon wieder anders aus. Und selbst, wenn Du nicht komplett alles durchverifizieren kannst ist das immer noch besser als quasi gar nix zu machen.

Teralios schrieb:
Und selbst DANN kommt es noch drauf an, was man formal denn wirklich verifiziert. Denn auch wenn ein Programm fehlerfrei ist, gilt das erst mal nur für den Quelltext, wenn der Quelltext da geht nämlich dann die Sache los mit Compilern, Hardwareunterbau und so weiter und so weiter.
Sehr gut erkannt. Darum hab ich ja gesagt, dass ein ansetzen an Programmen oder Betriebssystem auch nur quasi ein Anfang sein kann.
Aufwand ist es allemal. Die Frage ist nur, was ist die Alternative.

Teralios schrieb:
Und ansonsten, wenn wir von verifiziert Software sprechen - mit automatisierten Tests usw: Pustekuchen, dass garantiert dir überhaupt keine Fehlerfreiheit.
Du kannst aber bestimmte Fehlerklassen sehr gut ausschließen. Das hilft schon viel. Wie oft hat man es immer wieder mit den selben Fehlerklassen zu tun. Exemplarisch mal Überläufe, Memory-Leaks genannt.
Ergänzung ()

mensch183 schrieb:
Ich halte es für sehr begrüßenswert, wenn ein Staat Betriebssystem-Entwicklung für den Eigenbedarf selbst in die Hand nimmt
Ich weiß ja nicht, wie es in Frankreich aussieht, aber wenn in Deutschland eine Behörde IT selbst in die Hand nimmt, dann kommt da in der Regel Murks raus.
Kein Wunder, dass man hier im Forum skeptisch ist.

mensch183 schrieb:
Vielleicht sollte man mal zugestehen, dass sog. Sicherheitsbehörden nicht per Definition Scheiße sein müssen, insb. agieren solchen Institutionen nicht notwendigerweise gegen die eigene Bevölkerung.
Nicht notwendigerweise ist eine sehr schöne Formulierung. :-)
Wenn nicht seit Jahren Politik gegen die eigene Bevölkerung gemacht werden würde, wäre das Grundvertrauen sicher ein Anderes.
Es sollte einem eher zu denken geben, warum das nicht da ist.

mensch183 schrieb:
Gerade für den administrativen Sektor, dem man irgendein OS befehlen kann, wäre ein offen entwickeltes System ungemein nützlich. Ich wäre froh, wenn es in Deutschland ähnliche Versuche gäbe.
Wie Du schon sagtest. Da liegt viel Potential, weil es viel auch schon gibt. Und nehmen wir mal an, München würde eine Open-Source-Lösung für bestimmte Dinge die eine Stadtverwaltung eben braucht entwickeln, dann ist es sehr wahrscheinlich das es andere Städte übernehmen können. Bei 4 oder 5 Städten rechnet sich das vielleicht noch nicht und man zahlt effektiv drauf. Aber dann kippt irgendwann und es macht sich halt auch finanziell bezahlt (ganz abgesehen davon, dass man unabhängig in diesem Bereich ist und das Steuergeld im eigenen Land hält).

mensch183 schrieb:
Solch pauschale Beweihräucherung würde ich vermeiden. Wenn ich z.B. an den jahrelang immer wieder verlängerten Ausnahmezustand in F denke
Ja. Wie gesagt. Es gibt nicht wirklich viele Gründe für ein Grundvertrauen in die Politik und damit der Staatsorgane.
 
Zuletzt bearbeitet:
Herdware schrieb:
Wenn es mit Open-Source-Lizenz veröffentlicht wird, dann kann ja jeder (mit genug Ahnung) im Quellcode überprüfen, ob Backdoors drin sind oder nicht.

Das ist zwar richtig, aber auch eine sehr naive Einstellung.
Nur weil eine Lücke (noch) nicht gefunden wurde, ist sie trotzdem vorhanden.

Anhand von vielen Laien könnte ich in den letzten Tagen herauslesen, dass viele eine Software für sicher halten, nur weil die Open Source ist.

Wenn man bedenkt, dass einige Lücken erst nach vielen Monaten oder Jahren, vielleicht auch nie entdeckt werden, darf man OpenSource nicht automatisch sicherer als ClosedSource ansehen.

Vor allem die Tatsache, dass Leute bei ClosedSource Software für Windows beispielsweise auch in der Lage sind Lücken zu finden, die viele Profis über Jahre verwalten und persönlich entwickelt haben zeigt, dass man auch als Profi oder mit Ahnung vieles übersehen kann.
 
johannismueller schrieb:
Alles was von einer Regierung kommt, hinterfrage ich sehr Kritisch...!

Dabei sollte man die Konzerne kritischer hinterfragen als den Staat. (Google, Facebook, etc.)
Leider sind die Menschen zu naiv dafür.

Bei einem staatlichen OpenSource Projekt werden wahrscheinlich mehr Fachleute nach Lücken suchen und diese groß aufzeigen, als es bei einer Datenkrake wie Google gemacht wird. Dort wird man schließlich mit mehrdeutigen Aussagen wie "dient zur Verbesserung unseres Dienstes" zufriedengestellt.

Selbst wenn dieses OpenSource Projekt eines Staates super ist, wird bei jedem Update die Chance bestehen, dass man eine Hintertür einbaut. Es würde wahrscheinlich bereits ausreichen, wenn man eine Hintertür für ein paar Tage einbaut und diese wieder schließt, um in diesen paar Tagen "Dinge zu tun". ;)
 
Highspeed Opi schrieb:
Dabei sollte man die Konzerne kritischer hinterfragen als den Staat.
Unbedingt. Aber eigentlich sind Konzerne und Staat eh das selbe, wenn man so sieht, wie die Hand-in-Hand gehen.
Wenn es sogar so weit geht, dass Gesetzsentwürfe aus der Wirtschaft kommen 1:1 übernommen werden, sollte man sich diesbezüglich keinen Illusionen hingeben.
 
Wenn die Sicherheitsbehörden in Frankreich eine Linux-Variante mehr unterstützen, dann werden sie selbst wenig Interesse haben dort Sicherheitslücken einzubauen.
Die gleiche Diskussion gibt es beim Tor Projekt.
 
  • Gefällt mir
Reaktionen: cryoman und Mort626
Ist es nicht nur Theoretisch so das OpenSource Tendenziell sicherer ist. In der Praxis ist es doch einfacher mit Geld Menschen zum finden von Sicherheitslücken zu engagieren? Nur weil etwas Theoretisch möglich ist heisst es ja nicht auch gleich das es mit freude und hingabe ausgenutzt wird. Ich bin da sehr skeptisch bzl dem etablierten Grundsatz Open Source ist sicherer weil der Code ja offen ist... Siehe Android zB... Da ist iOS faktisch sicherer, aber offensichtlich viel weniger Open Source als Android. ;)
 
andy_m4 schrieb:
Unbedingt. Aber eigentlich sind Konzerne und Staat eh das selbe, wenn man so sieht, wie die Hand-in-Hand gehen.
Wenn es sogar so weit geht, dass Gesetzsentwürfe aus der Wirtschaft kommen 1:1 übernommen werden, sollte man sich diesbezüglich keinen Illusionen hingeben.

In einem Industrieland wie Deutschland, was nebenbei das 4. Stärkste ist, sollte das klar sein.
Der Wohlstand der Bürger hat auch mit dem Wohlstand der Unternehmen zu tun.

Jetzt könnte man beim Punkt Gesetze überlegen, wer wirklich mehr Ahnung hat. Mehrere Konzerne mit vielen tausenden Profis mit praktischer Erfahrung oder irgend ein Haufen Politiker, welcher von den meisten Bereichen im Leben absolut keine Ahnung hat.
Als Beispiel sollte ein Politiker niemals eine Entscheidung über Datenschutz treffen dürfen, ohne die entsprechenden Unternehmen einzubeziehen, welche sich explizit mit Datenschutz beschäftigen.

Der Staat ist zum Regulieren da und um das Gleichgewicht zu halten. Ohne den Staat und den vielen tausenden Gesetzen, Steuern und Anforderungen, ganz besonders in Deutschland, würde es den Menschen nicht so extrem gut gehen, wie es aktuell der Fall ist.
Die meisten die sich über ihren Wohlstand beschweren, beschweren sich auf absolut hohem Niveau. Meistens sind es nur Luxusprobleme wie das Verlangen ein eigenes Auto, eigene Wohnung, eigenes dies, eigenes das zu haben. Vergleicht man die Leute die in Deutschland heulen mit denen aus vielen anderen Ländern, ist es nur noch ein Witz. Vor allem wenn man bedenkt, dass es den Menschen jedes Jahr immer besser geht.
Die Reichen werden zwar sehr viel reicher und die Schere immer größer, aber der Durchschnitt wird ebenfalls immer reicher und kann besser leben als früher.
Ausnahmen gab und wird es immer geben.

Die Bürger selbst entscheiden maßgeblich über den Erfolg der Unternehmen und steuern diese unbewusst.
Wenn die Bürger wirklich wollen, können die sogar jedes Unternehmen und jede Lobby zum Fall bringen. Leider sind die Bürger in der Masse viel zu dumm und haben schon immer jemanden gebraucht, auf den sie hören können. Die Bürger haben schon immer einen Führer (im Sinne von Leiter, nicht 2. Weltkrieg Führer) gebraucht, um ihre Macht zu konzentrieren.

Beispiel an der Spiele-Industrie:
Spiele werden immer teurer, Pay-to-Win, DLC, Seasonpass, Early Acces, etc. immer beliebter, weil die Menschen einfach das Geld dazu haben. Selbst die Kinder können es sich von ihrem Taschengeld leisten. Das zeigt nur, dass der Wohlstand immer größer wird.
Auf der anderen Seiten schreien die, die sich die Entwicklung nicht leisten können oder einfach nur nicht mögen immer häufiger und lauter auf. Aber nur weil man lauter und häufiger meckert, ist es nicht automatisch für den Durchschnitt schlechter, welcher es sich locker leisten kann.
Ich selbst mag die Entwicklung auch nicht und boykottiere sie, obwohl die Kosten für mich irrelevant winzig sind. Mir geht es da wie vielen (unter den Wenigen) rein ums Prinzip. Aber auch, weil ich sehr viele Alternativen habe.

Fazit:
Handelt in der Wirtschaft, statt auf dem Sessel zu sitzen und zu meckern.
Wenn ihr etwas besser wisst, verbreitet das Wissen sachlich und verständlich.

Und natürlich:
Geht die richtige Parteiwählen. ;)
Die Partei die man wählt, muss nicht unbedingt die meisten Stimmen haben. Es reicht auch eine kritische Anzahl zu erreichen, sodass die kurzfristig mitbestimmen können und langfristig für die Zukunft die Partei sich entwickeln und wachsen lässt, sodass diese irgendwann in allen Bereichen vertreten sein kann.
 
Zurück
Oben