Beweis durch Behauptung funktioniert nicht.
Aus diesem Grund wuerde ich gerne wissen, wovon Stamp genau redet. Und dafuer muss er mir ja mitteilen, wo das steht.
Im Usenet hat sich daher die simple Frage: "mid?" eingebuergert, also eine Nachfrage nach der Message-ID des entsprechenden Postings.
Kann man hierher zwar nicht 1:1 uebertragen, aber was zaehlt ist in diesem fall:
"You get the point."
hm... habe es gestern nicht gefunden. es ging aber um einen trojaner in einer linux-software, wozu du gemeint hast, dass man doch keine unbekannte software benutze, dass man immer den code lesen und verstehen solle... daraufhin wollte ich halt wissen, ob du das machst, aber du hast leider nicht mehr geantwortet.
Okay.
Nun, ich hab die Sache selbst gesucht, aber nicht gefunden. Ich bin mir aber durchaus bewusst, das ich mal so eine Aeusserung gemacht habe. Allerdings denke ich nicht, das ich sie ernst gemeint habe.
(Ist durchaus moeglich, das man das bei mir nicht merkt, mein Chef meinte mal, ich sei ernsthaft von XML begeistert).
Gegen Trojaner in Software hilft nur eines. GPG Sigs pruefen.
Nicht absolut, nein. Aber der Aufwand, eine GPG Sig zu faelschen ist unglaublich hoch, so das es ueberhaupt nicht mehr lohnenswert ist, dies zu probieren.
Wir bedenken:
Fuer das faelschen einer GPG Sig braucht man
a) Mehr Rechenzeit als wir im moment haben
b) den Private Key des Authors und ein paar Jahre Zeit
c) den Private Key des Authors MIT passphrase
Moeglichkeit a) nehmen wir in den naechsten 10 Jahren als unmoeglich an.
Moeglichkeit b) ist unrealistisch, ein Schluessel laeuft normalerweise nach 2 Jahren ab.
Moeglichkeit c) bleibt als einzige. Hier ist wieder der Schwaechste Faktor bei IT-Sicherheit im Mittelpunkt. Der Mensch. Dies ist die einzig realistische Variante. Erfolgreicht praktizitiert wurde sie, iirc, jedoch noch nie.
Als Schlussfolgerung:
GPG Sigs schuetzen vor Trojanern.
Nicht jedoch vor boeswilligen Authorenr.
Sicherheit kann absolut sein, wenn man einen Angriff definiert.
Soweit ich mich erinnenr kann, waren grad vor ein paar Wochen Files von sendmail Trojaner infoziert, weil die Jemand in den Current-tree eingeschläust hat. Da nützt die keine einzige GPG Sig irgend was. Daraus folge ich, es gibt keine Sicherheit.