Mit Distributionen hat das überhaupt nichts zu tun. Es geht ja um Backdoors im Linux-Kernel.
Ja. Aber woher weißt Du, ob in der betreffenden Distribution nun ein Kernel mit oder ohne Backdoor geliefert wird?
Wenn es nur eine (oder wenige) Bezugs-Quelle(n) gäbe, wäre das einfacher zu prüfen, als wenn es viele sind.
Ob diese im compilierten Code schwerer zu erkennen sind, kann nur ein Programmierer beurteilen.
Wenn sie im compilierten Code mit erträglichem Aufwand zu finden wären, würde das für Windows genau so gelten. Dass genau das unmöglich oder schwierig ist, wird Windows ja meist vorgeworfen.
Es reicht ja, wenn einzelne sachkundige Mitglieder der Community - einer aus 1 Million - in der Lage sind, dies zu erkennen.
Aber einer allein kann sich um die gesamte Vielfalt schon mal nicht kümmern.
Zum einen kann er die Community vor bestimmten Softwareversionen warnen, zum anderen gemeinsam mit anderen Programmierern für Abhilfe sorgen.
Grundsätzlich ja. Aber wie wird das zuverlässig organisiert? Wenn ich jetzt eine bestimmte Distribution benutze: Wo steht, dass die garantiert Backdoor-frei ist? Und könnte ich dieser Information trauen?
Insofern würde ich bei deinem Fazit, dass Open Source nur theoretisch backdoor-sicherer ist, ein großes Fragezeichen setzen.
Jeder, der das will, kann eine Backdoor einbauen. Wie lange es dauert, bis die dann entdeckt ist und bis alle betroffenen Nutzer den Kernel ausgetauscht haben, weiß ich nicht. Aber dass das Verfahren in der Summe sicherer sein soll, muss man mit genau dem selben Fragezeichen kennzeichnen.
Gruß, mawe2
mawe2
Olaf19
