Re: Sicherheit als Ausrede für proprietäre Software (Re: gematik e-rezept app)
Am Dienstag 24 Mai 2022 16:52:54 schrieb Henning Thielemann: > On Tue, 24 May 2022, Bernhard E. Reiter wrote: > > Am Freitag 13 Mai 2022 10:04:02 schrieb Dr. Michael Stehmann: > >> Wann spricht sich in Deutschland eigentlich endlich die > >> wissenschaftliche Erkenntnis von 1883 'rum? [0] > >> > >> [0] https://de.wikipedia.org/wiki/Kerckhoffs%E2%80%99_Prinzip > > > > das Kerckhoffs’sche Prinzip bezieht sich auf Kryptographie, > > aber nicht auf ein IT-System (gemeint ist mit IT-System eine > > Software-Anwendung, deren Konfiguration und Betriebsstruktur). > > > > Es ist also nicht so einfach. > > Vielleicht darf man dieses Prinzip mal ein bisschen großzügiger auslegen, > als ursprünglich beabsichtigt. Darf mensch probieren, ist dann aber keine "wissenschaftliche Erkenntnis" mehr, sonst müsstest Du streng sein. > Ich habe mir letztens folgenden Vergleich überlegt: Wenn ich einen > Ersatzschlüssel zu einem Hochsicherheitstrakt neben dem Gebäude unter > einem Pflanzkübel verstecke, dann werdet ihr mir sicher zustimmen, dass > das kein gutes Sicherheitskonzept ist. Ändert es jetzt was an der > Sicherheit, ob man die Pläne, wo die Lage des Ersatzschlüssel > eingezeichnet ist, veröffentlicht oder nicht? Es ist eigentlich egal, > oder? Wenn Du den Ersatzschlüssel drei Meter nach Links und 4,4 Meter vor der Klinke 20 cm tief eingräbst, dann schon. Auch der Plan mit dem Kübel ändert was, es ist leichter einen Angriffpunkt zu finden, wenn ich aus der Ferne mir überlege, wie ich angreifen möchte. Vielleicht ein wenig anders, das Beispiel: Wenn ich genaue Baupläne habe, dann könnte ich einen guten Punkt fürs Durchsprengen oder Bohren finden. Gilt übrigens auch für einen Tresor. Macht Angriffe billiger and it is all about security economics these days. > Anderes Beispiel: War es für die Entdeckung von Meltdown und Spectre > nötig, die Schaltpläne der Intel-Prozessoren zu kennen? Offenbar nicht. > Intel hat ja noch nicht einmal veröffentlicht, wie die einzelnen > Prozessoroptimierungen genau funktionieren oder auch nur welche und > wieviele Ausführungseinheiten ihre Prozessoren haben. Das haben > Außenstehende durch Experimente herausgefunden. Siehe > https://www.agner.org/optimize . Die Schaltpläne hätten die Entdeckung und Verfikation beschleunigen können. Wenn es sich nicht leicht ändern lässt (Chips sind da draußen), dann könnte die Bewertung hier sogar sein, dass die Geheimhaltung die Gesamtsicherheit erhöht. (Das ist jetzt von mir keine abschließende Bewertung, ich möchte nur zeigen, dass die Bewertung nicht so leicht ist, wie das Berufen auf ein bestimmtes Prinzip. Es braucht eine fallbezogene Sicherheitsanalyse.) Gruß Bernhard -- FSFE -- Founding Member Support our work for Free Software: blogs.fsfe.org/bernhard https://fsfe.org/donate | contribute signature.asc Description: This is a digitally signed message part. ___ FSFE-de mailing list FSFE-de@lists.fsfe.org https://lists.fsfe.org/mailman/listinfo/fsfe-de Diese Mailingliste wird durch den Verhaltenskodex der FSFE abgedeckt. Alle Teilnehmer werden gebeten, sich gegenseitig vorbildlich zu behandeln: https://fsfe.org/about/codeofconduct
Re: Sicherheit als Ausrede für proprietäre Software (Re: gematik e-rezept app)
On Tue, 24 May 2022, Bernhard E. Reiter wrote: Am Freitag 13 Mai 2022 10:04:02 schrieb Dr. Michael Stehmann: Wann spricht sich in Deutschland eigentlich endlich die wissenschaftliche Erkenntnis von 1883 'rum? [0] [0] https://de.wikipedia.org/wiki/Kerckhoffs%E2%80%99_Prinzip das Kerckhoffs’sche Prinzip bezieht sich auf Kryptographie, aber nicht auf ein IT-System (gemeint ist mit IT-System eine Software-Anwendung, deren Konfiguration und Betriebsstruktur). Es ist also nicht so einfach. Vielleicht darf man dieses Prinzip mal ein bisschen großzügiger auslegen, als ursprünglich beabsichtigt. Ich habe mir letztens folgenden Vergleich überlegt: Wenn ich einen Ersatzschlüssel zu einem Hochsicherheitstrakt neben dem Gebäude unter einem Pflanzkübel verstecke, dann werdet ihr mir sicher zustimmen, dass das kein gutes Sicherheitskonzept ist. Ändert es jetzt was an der Sicherheit, ob man die Pläne, wo die Lage des Ersatzschlüssel eingezeichnet ist, veröffentlicht oder nicht? Es ist eigentlich egal, oder? Anderes Beispiel: War es für die Entdeckung von Meltdown und Spectre nötig, die Schaltpläne der Intel-Prozessoren zu kennen? Offenbar nicht. Intel hat ja noch nicht einmal veröffentlicht, wie die einzelnen Prozessoroptimierungen genau funktionieren oder auch nur welche und wieviele Ausführungseinheiten ihre Prozessoren haben. Das haben Außenstehende durch Experimente herausgefunden. Siehe https://www.agner.org/optimize .___ FSFE-de mailing list FSFE-de@lists.fsfe.org https://lists.fsfe.org/mailman/listinfo/fsfe-de Diese Mailingliste wird durch den Verhaltenskodex der FSFE abgedeckt. Alle Teilnehmer werden gebeten, sich gegenseitig vorbildlich zu behandeln: https://fsfe.org/about/codeofconduct
Sicherheit als Ausrede für proprietäre Software (Re: gematik e-rezept app)
Hallo, Am Freitag 13 Mai 2022 10:04:02 schrieb Dr. Michael Stehmann: > Wann spricht sich in Deutschland eigentlich endlich die > wissenschaftliche Erkenntnis von 1883 'rum? [0] > [0] https://de.wikipedia.org/wiki/Kerckhoffs%E2%80%99_Prinzip das Kerckhoffs’sche Prinzip bezieht sich auf Kryptographie, aber nicht auf ein IT-System (gemeint ist mit IT-System eine Software-Anwendung, deren Konfiguration und Betriebsstruktur). Es ist also nicht so einfach. Meine Kenntnis nach können Baupläne und Quelltext dazu beitragen, dass bestimmte Informationen herauskommen, die bei einem Angriff auf ein IT-System helfen können. Gleichzeitig helfen die Quelltexte und eine offene Entwicklung auch bei der Überprüfung. Das sind schon zwei Effekte, die gegenander abgewogen werden müssen. Diese Publikation https://dl.acm.org/doi/10.1145/1188913.1188921 “Increased Security through Open Source” by Hoepman and Jacobs, January 2007, ist überzeugt, dass Offenheit langfristig die Sicherheit eines Systems erhöhen wird. Laut David A. Wheeler passt das zum "open design" Prinzip (von Saltzer und Schroeder schn 74/75 geschrieben, siehe https://dwheeler.com/oss_fs_why.html#security und https://dwheeler.com/essays/oss_software_assurance.odp Gruß Bernhard -- FSFE -- Founding Member Support our work for Free Software: blogs.fsfe.org/bernhard https://fsfe.org/donate | contribute signature.asc Description: This is a digitally signed message part. ___ FSFE-de mailing list FSFE-de@lists.fsfe.org https://lists.fsfe.org/mailman/listinfo/fsfe-de Diese Mailingliste wird durch den Verhaltenskodex der FSFE abgedeckt. Alle Teilnehmer werden gebeten, sich gegenseitig vorbildlich zu behandeln: https://fsfe.org/about/codeofconduct
Re: gematik e-rezept app
Am Donnerstag 12 Mai 2022 08:48:55 schrieb Henning Thielemann: > >> Würde ich mal über FragDenStaat.de versuchen. > > > > Meinst Du den Konjunktiv als Empfehlung oder, > > dass Du es bei Gelegenheit tun wirst? ;) > > Als Empfehlung an dich. Ich stehe aber gerne beratend zur Seite. Habe > selbst gerade etliche offene Anfragen laufen und auch mehrere > Untätigkeitsklagen. > > Fragen kostet nichts. Doch, Zeit. Formulieren, nachverfolgen, recherchieren. Werde ich persönlich wohl nicht schaffen. Trotzdem danke für Dein Angebot! Am Freitag 13 Mai 2022 07:29:51 schrieb Florian Snow: > und vermutlich ist die Antwort > eine Mischung aus "Geschäftsgeheimnis" und "Sicherheit". Da bist Du sarkastisch, wäre ja auch beides verkehrt. Helfen könnte auch hier nur ein politischer Prozess und Aufmerksamkeit. Gruß, Bernhard -- FSFE -- Founding Member Support our work for Free Software: blogs.fsfe.org/bernhard https://fsfe.org/donate | contribute signature.asc Description: This is a digitally signed message part. ___ FSFE-de mailing list FSFE-de@lists.fsfe.org https://lists.fsfe.org/mailman/listinfo/fsfe-de Diese Mailingliste wird durch den Verhaltenskodex der FSFE abgedeckt. Alle Teilnehmer werden gebeten, sich gegenseitig vorbildlich zu behandeln: https://fsfe.org/about/codeofconduct
Freier Software Abend am 25.05.2022- Erinnerung
Hallo, der nächste Freie Software Abend findet wieder "weltweit" statt und zwar am 25.05.2021 ab 19:30 Uhr Wir treffen uns wieder auf https://bbb.daten.reisen/b/nec-anu-ehn einem Big-Blue-Button-Raum. Antje wird einen Vortrag zum Thema Low-Code-Ansätze und blockbasierte Sprachen halten. Es geht um visuelle Programmierung - von Puzzle-Blöcken bis Low-Code und No-Code. Textbasierte Programmierung und Texteditoren, Python, Go, Emacs & Co. haben viele Freunde. Zu den Sprachen der vierten Generation gehören jedoch No-Code Umgebungen, mit denen ohne Code in kurzer Zeit professionellen Ansprüchen genügende Anwendungen entwickelt werden können. Wir wollen uns in diesem Vortrag einige visuelle Programmieransätze anschauen, die auf Freier Software beruhen, und daran die Fragen beantworten: Was sind überhaupt Low-Code-, No-Code-Umgebungen und was sind blockbasierte Sprachen? Was kann man damit machen und wo kommen sie zum Einsatz? Wo liegen die Grenzen dieser Sprachen und Entwicklungsumgebungen? Die teilnehmenden können sich ein eigenes Bild davon machen, ob diese Ansätze eine echte Bereicherung zum einfacheren und schnelleren Erstellen von Programmen darstellen oder nur wieder "eine neue Sau durchs Dorf getrieben wird". Natürlich kann es Freunde Freier Software nur freuen, wenn so mehr Menschen befähigt werden, eigene Programme nach ihren Wünschen und Bedürfnissen zu schreiben, und auf diese Weise an "digitaler Mündigkeit" gewinnen. Daher bin ich sehr gespannt. Der offizielle Teil des Treffens beginnt um 20:00 Uhr. Wer später kommt, verpasst also etwas. Gäste sind wie immer herzlich willkommen. Im Juni sollten wir versuchen, auch wieder Treffen "im richtigen Leben" an der frischen Luft zu veranstalten. Vielleicht kommen wir dann langsam in einen neuen "normalen" Rhythmus, der dann hoffentlich nicht im Herbst wieder enden muss. Mit freundlichem Gruß Michael OpenPGP_signature Description: OpenPGP digital signature ___ FSFE-de mailing list FSFE-de@lists.fsfe.org https://lists.fsfe.org/mailman/listinfo/fsfe-de Diese Mailingliste wird durch den Verhaltenskodex der FSFE abgedeckt. Alle Teilnehmer werden gebeten, sich gegenseitig vorbildlich zu behandeln: https://fsfe.org/about/codeofconduct
