debianforum.de

Hallo zusammen

Hab mir schon länger mal überlegt, wer eigentlich sicherstellt dass OpenSource Software wie z.B. diverse LinuxApplikationen in der vorkompilierten Version auch tatsächlich dem angebotenem Source entspricht.
Also ein frustierter DownloadServer Admin kompiliert einen Kernel mit Hintertürchen und ersetzt den bestehenden auf dem Server. Oder man übernimmt ein Repository für die zukünftige maintenance (weil sonst niemand will) und bastelt im source für das binary anderes rein als in der öffentlichen source im Download sichtbar ist.

Kann man eine solche Modifikation bemerken so mit sha256 oder md5?

Ist rein zur Neugier, denke aber da gibts sicherlich bereits eine Lösung

Gruss
lod

lod hat geschrieben:

29.06.2018 19:01:27

Hab mir schon länger mal überlegt, wer eigentlich sicherstellt dass OpenSource Software wie z.B. diverse LinuxApplikationen in der vorkompilierten Version auch tatsächlich dem angebotenem Source entspricht.

Ein Ansatz:
https://wiki.debian.org/ReproducibleBuilds
https://reproducible-builds.org/

Ansonsten kennt zumindest rpm ein "Verify", um zu überprüfen, ob alles noch dem installierten Paket entspricht:
https://www.centos.org/docs/5/html/5.1/ ... fying.html

Ob es ähnliches bei Debian/deb gibt entzieht sich meiner Kenntnis.

owl102 hat mit Reproducible Builds schon das passende Stichwort fuer Debian geliefert.

Falls darueber hinaus noch Interesse am allgemeineren Thema des Vertrauens auf korrektes Arbeiten von Software besteht, dann sollte man sich Ken Thompsons Turing Award Lecture ``Reflections on Trusting Trust'' zu Gemuete fuehren.

https://www.ece.cmu.edu/~ganger/712.fal ... ompson.pdf

Spannende Antworten. Vorallem den Kompiler selbst zu kompromitieren, der dann gleich pauschal Löcher "einkompiliert"...was sogar bei Max OSX resp XCode schon tatsächlich vorkam...immer wieder spannend auf was für Ideen die Leute kommen.

Vielen Dank für die Links!