Ein Bit genügt

Auch Ken Thompson [12], einer der legendären Väter von Unix, machte in einer amüsant zu lesenden Rede [13] anlässlich einer Preisverleihung klar, dass es keine absolut sichere Software gibt – es sei denn, man schreibt einen eigenen Compiler und baut alle Software selbst. Denn oft macht ein einziges Bit in einem 500 KByte großen Binärpaket den Unterschied zwischen einer sicheren und einer angreifbaren Software aus.

Dies belegten Tor-Entwickler in einem Vortrag [14] auf dem Chaos Computer Congress 2014 (31c3) anhand eines Fehlers im Netzwerkprotokoll SSH aus dem Jahr 2002 (CVE 2002-0083). Dort entschied ein einziges Bit darüber, ob sich jemand Root-Rechte auf der Maschine erschleichen konnte. Der Vortrag führte darüber hinaus einen Angriff vor, bei dem der Code eines Kernel-Moduls lediglich im Speicher geändert wurde. Auf dem Bildschirm erschien er dabei völlig intakt, das resultierende Binärpaket jedoch war kompromittiert.

Um solche und ähnliche Angriffe zu verhindern, begann die Idee der reproduzierbaren Builds zuerst bei Projekten wie Tor und Bitcoin Gestalt anzunehmen, da dort Sicherheit und Vertrauen eine zentrale Rolle spielen. Beide Projekte lassen sich seit 2012 gänzlich reproduzierbar bauen. Als Grundlage dafür dient Gitian [15], eine Distributionsmethode, die einen deterministischen Build-Prozess in einem Container oder einer virtuellen Maschine darstellt.

Mithilfe von Gitian Builder [16] bauen mehrere Personen unabhängig voneinander und der Umgebung das Paket. Stimmt alles, führt dies zu bitgenau identischen Binärpaketen. Für kleinere Projekte reicht Gitian aus, für eine komplette Distribution wie Debian mit zigtausenden Quellpaketen lässt es sich allerdings aufgrund des damit verbundenen Zeit- und Personalaufwands nicht gebrauchen.

Fazit

Bei den Distributionen nimmt Debian eine Vorreiterrolle in Sachen überprüfbare Pakete ein. Die dabei geschaffene Infrastruktur in Jenkins greifen mittlerweile andere Distributionen ebenso auf wie die Werkzeuge zum Lösen von Problemen und Überprüfen der Ergebnisse. So können etwa Fedora, OpenSuse oder Arch Linux die Ergebnisse von Debian verifizieren und umgekehrt.

Im letzten Jahr fand in Athen dazu ein distributionsübergreifendes Arbeitstreffen mit über 40 Teilnehmern statt, auch in diesem Jahr soll wieder eines stattfinden (Abbildung 7). Anfang August vermeldeten die Entwickler von Hardened GNU/Linux [17] – sie härten den Linux-Kernel mit PaX/Grsecurity – die Verfügbarkeit von Patches, um PaX/Grsecurity reproduzierbar zu bauen.

Abbildung 7: Auch 2016: europäisches Entwicklertreffen und GSoC-Beteiligung.

Damit entsteht Schritt für Schritt ein Netz des Vertrauens, das reproduzierbare Builds auch für solche Anwender vertrauenswürdig macht, die nicht selbst überprüfen möchten oder können, ob sich zwei Pakete bis aufs Bit gleichen. Die künftige Ausgestaltung des gesamten Prozesses und des Ergebnisses bedürfen weiterer Klärung – doch diese Probleme lassen sich lösen, sobald es erst einmal ein fast vollständig reproduzierbares Archiv gibt. 

Glossar

deterministisch

Als deterministisch gilt in der IT ein Algorithmus, wenn er bei gleichen Eingabewerten immer dieselben Schritte durchläuft und dasselbe Ergebnis liefert.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Broadcom Adapter 802.11n nachinstallieren
Thomas Mengel, 31.10.2017 20:06, 2 Antworten
Hallo, kann man nachträglich auf einer Liveversion, MX Linux auf einem USB-Stick, nachträglich...
RUN fsck Manually / Stromausfall
Arno Krug, 29.10.2017 12:51, 1 Antworten
Hallo, nach Absturz des Rechners aufgrund fehlendem Stroms startet Linux nicht mehr wie gewohn...
source.list öffnet sich nicht
sebastian reimann, 27.10.2017 09:32, 2 Antworten
hallo Zusammen Ich habe das problem Das ich meine source.list nicht öffnen kann weiß vlt jemman...
Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 6 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...