Oh, das mit Githunb habe ich überlesen.
Das ist absolut unbegründet und eigentlich sogar das exakte gegenteil dessen, was eigentlich intuitiv sein sollte.
Auf der einen Seite stehen Gewinnorientierte Unternehmen / Privatpersonen , die dir versprechen, dass du ihnen vertrauen kannst. Sie versuchen interoperabilität zu unterbinden und schaffen Standrs, die die Zusammenarbeit ihrer Produkte mit anderen, die ihnen kein Geld geben erschweren (ok, das kostet vor allem zeit und Nerven). Fuehrt aber dazu, dass verdammt viel durch diese Firmen selbst implementiert wird.
Auf der andren seite stehen Unternehmen / Privatpersonen, die nichts geheim halten, ihren quellcode publiziieren und ab einer Gewissen relevanz auch verdammt gute Doku bereitstellen, oeffentliche Audits durchfuhren lassen und offene Standards verwenden. Wenn es für etwas bereits eine gescheite offene lösung gibt kann die eingebunden werden.
Was davon findest du vertrauenswürdiger?
Was viele gern auch als unsicher ansehen, was mir auch sehr unintuitiv vorkommt sind verschlüsselungsalgorithmen. Aus irgend einem Grund hält sich der Glaube, verschlüsselung wäre unsicher, wenn jeder den Algorithmus kennt. Das gegenteil ist der Fall. Die verschlüsselungsalgorithmen die alle nutzen sind die selben.
Super Artikel zu gut verstehbaren Verfahren sind, falls du bock hast:
https://de.wikipedia.org/wiki/Diffie-Hellman-Schlüsselaustausch
https://de.wikipedia.org/wiki/RSA-Kryptosystem
https://de.wikipedia.org/wiki/Advanced_Encryption_Standard
Bei RSA kannst du einem Angreifer sogar den schluessel mit dem du verschluesselt hast sagen und er kann nichts entschluesseln. Bei Diffie Hellmann kann jemand im Klartext deine komplette kommunikation mitlesen und hat 0 Ahnung davon, welche schluessel du und dein Gegenueber getausscht haben. Auch wenn er weiss, dass ihr dieses Verfahren genutzt habt.
Zurueck zu Open Source: Gestatten,
OpenSSL. Einer der Pfeiler des Internets wenn du so willst. wird von Millionen Firmen in Produkten genutzt. Noch mehr von kleinen Projekten.
Verdammt viele verdammt kluge Menschen arbeiten daran. Es gibt Spendenfinanzierte Audits und trotzdem findet sich gelegentlich hier und da eine eher schwere Sicherheitslücke. Happens
Nun stell dir mal vor, Firma X hat eine 10 Personen Abteilung, die so etwas selber implementiert. Machen tausende Firmen. Geht jedes einzelne mal schief. Den Quellcode geheim zu halten, schuetzt nicht davor, dass Leute immer wieder an den gleichen Stellen ihr Keyhandling verkacken.
Nehmen wir mal putty, ein Projekt mit eher zweifelhaftem ruf. Zitieren wir mal aus dem Changelog:
- a remotely triggerable memory overwrite in RSA key exchange, which can occur before host key verification
- potential recycling of random numbers used in cryptography
- on Windows, hijacking by a malicious help file in the same directory as the executable
- on Unix, remotely triggerable buffer overflow in any kind of server-to-client forwarding
- multiple denial-of-service attacks that can be triggered by writing to the terminal
So mist passiert, wenn du nicht auf offene, gut getestete Vertrauenswuerdige Loesungen setzt, sondern glaubst, dass du es schaffst nicht die fehler zu wiederholen, die alle anderen gemacht haben.
Dazu kommt ncoch, dass Firmen, wenn man ihnen SIcherheitslücken meldet meist ihre Anwaelte schicken. Denn Compliance geht ueber alles. Sogar darueber das Problem zu loesen. Selbst wenn die Mail von Goolges Project Zero Team kommt, stellen sich Microsoft, Oracle, HP und Co oft quer und brauchen teils mehr als 6 Monate um kritische Lücken zu stopfen. Kommt immer wieder in die News, sorgt immer wieder für Lacher.
Hast du dazu bisher fragen / stellen wo du sagst "Ehm, aber der Aspekt da, der Verunsichert mich nun doch"
