Ein Bit genügt

Auch Ken Thompson [12], einer der legendären Väter von Unix, machte in einer amüsant zu lesenden Rede [13] anlässlich einer Preisverleihung klar, dass es keine absolut sichere Software gibt – es sei denn, man schreibt einen eigenen Compiler und baut alle Software selbst. Denn oft macht ein einziges Bit in einem 500 KByte großen Binärpaket den Unterschied zwischen einer sicheren und einer angreifbaren Software aus.

Dies belegten Tor-Entwickler in einem Vortrag [14] auf dem Chaos Computer Congress 2014 (31c3) anhand eines Fehlers im Netzwerkprotokoll SSH aus dem Jahr 2002 (CVE 2002-0083). Dort entschied ein einziges Bit darüber, ob sich jemand Root-Rechte auf der Maschine erschleichen konnte. Der Vortrag führte darüber hinaus einen Angriff vor, bei dem der Code eines Kernel-Moduls lediglich im Speicher geändert wurde. Auf dem Bildschirm erschien er dabei völlig intakt, das resultierende Binärpaket jedoch war kompromittiert.

Um solche und ähnliche Angriffe zu verhindern, begann die Idee der reproduzierbaren Builds zuerst bei Projekten wie Tor und Bitcoin Gestalt anzunehmen, da dort Sicherheit und Vertrauen eine zentrale Rolle spielen. Beide Projekte lassen sich seit 2012 gänzlich reproduzierbar bauen. Als Grundlage dafür dient Gitian [15], eine Distributionsmethode, die einen deterministischen Build-Prozess in einem Container oder einer virtuellen Maschine darstellt.

Mithilfe von Gitian Builder [16] bauen mehrere Personen unabhängig voneinander und der Umgebung das Paket. Stimmt alles, führt dies zu bitgenau identischen Binärpaketen. Für kleinere Projekte reicht Gitian aus, für eine komplette Distribution wie Debian mit zigtausenden Quellpaketen lässt es sich allerdings aufgrund des damit verbundenen Zeit- und Personalaufwands nicht gebrauchen.

Fazit

Bei den Distributionen nimmt Debian eine Vorreiterrolle in Sachen überprüfbare Pakete ein. Die dabei geschaffene Infrastruktur in Jenkins greifen mittlerweile andere Distributionen ebenso auf wie die Werkzeuge zum Lösen von Problemen und Überprüfen der Ergebnisse. So können etwa Fedora, OpenSuse oder Arch Linux die Ergebnisse von Debian verifizieren und umgekehrt.

Im letzten Jahr fand in Athen dazu ein distributionsübergreifendes Arbeitstreffen mit über 40 Teilnehmern statt, auch in diesem Jahr soll wieder eines stattfinden (Abbildung 7). Anfang August vermeldeten die Entwickler von Hardened GNU/Linux [17] – sie härten den Linux-Kernel mit PaX/Grsecurity – die Verfügbarkeit von Patches, um PaX/Grsecurity reproduzierbar zu bauen.

Abbildung 7: Auch 2016: europäisches Entwicklertreffen und GSoC-Beteiligung.

Damit entsteht Schritt für Schritt ein Netz des Vertrauens, das reproduzierbare Builds auch für solche Anwender vertrauenswürdig macht, die nicht selbst überprüfen möchten oder können, ob sich zwei Pakete bis aufs Bit gleichen. Die künftige Ausgestaltung des gesamten Prozesses und des Ergebnisses bedürfen weiterer Klärung – doch diese Probleme lassen sich lösen, sobald es erst einmal ein fast vollständig reproduzierbares Archiv gibt. 

Glossar

deterministisch

Als deterministisch gilt in der IT ein Algorithmus, wenn er bei gleichen Eingabewerten immer dieselben Schritte durchläuft und dasselbe Ergebnis liefert.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 02/2018: PAKETE VERWALTEN

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

sharklinux
Gerd-Peter Behrendt, 18.01.2018 23:58, 0 Antworten
Hallo zusammen, ich habe sharklinux von der DVD Installiert. 2x, jedesmal nach dem Reboot ist di...
Anfänger sucht Ratschläge
Alucard Nosferatu, 18.01.2018 21:56, 0 Antworten
Guten Tag, meine Wenigkeit würde gerne auf einer meiner Festplatten von meinen Feldrechnern e...
Suchprogramm
Heiko Taeuber, 17.01.2018 21:12, 1 Antworten
Hallo liebe Community, keine Ahnung ob dieses Thema hier schon einmal gepostet wurde. Ich hab...
Linux Mint als Zweitsystem
Wolfgang Robert Luhn, 13.01.2018 19:28, 4 Antworten
Wer kann mir helfen??? Habe einen neuen Laptop mit vorinstaliertem Windows 10 gekauft. Möchte g...
externe soundkarte Kaufempfehlung
lara grafstr , 13.01.2018 10:20, 3 Antworten
Hallo Ich bin auf Suche nach einer externen soundkarte.. Max 150 Euro Die Wiedergabe is...