[Linux-Biella] backdoor e key escrow
Federico "Darkmagister" Pietta
fede a darkmagister.org
Ven 20 Apr 2012 13:21:07 CEST
On 20/04/2012 12:57, PaulTT wrote:
> On 20/04/2012 08:32, Marco Vallini 說:
>> Rilancio un discorso che abbiamo toccato la settimana scorsa,
>> consideriamo solo ed esclusivamente i software completamente liberi.
>> Pongo due domande (la seconda più articolata):
>> 1. per i grandi progetti spesso ci possono essere anche sponsor di
>> 'peso', dunque potrebbe (secondo me c'è proprio) l'intendizione di
>> inserire backdoor e meccanismi di key escrow del tutto simili a quelli
>> inseriti nei software chiusi?
>
> si', ci hanno gia' provato, come da discussione scatenante ;P
> loop:
> ma prima o poi cascano
> in quello chiuso non cascano cosi' in fretta ;P
>
>> 2. se ci fossero, siamo sicuri che sarebbe davvero semplice
>> accorgercene? Ad esempio siamo davvero sicuri che l'implementazione di
>> AES fatta in openssl non contenga qualcosa di simile? Oppure il
>> generatore di numeri primi per un algo tipo RSA... Quante persone
>> davvero collaborano a questi progetti sapendo esattamente cosa fa'
>> ogni singola riga di codice? E quanti invece si fidano e basta dato
>> che il codice è disponibile?
>>
>> Il mio sospetto (non posso dimostrarlo ora) è che queste cose
>> importantissime siano cmq nelle mani di pochi (comprabili?)
>
> io di tante cose mi fido, ma mi fido anche del fatto che invece tanti
> altri non si fidano e guardano cosa fa il codice
> ;)
> goto loop
>
esatto concordo, è già successo, che nei sw liberi qualcuno provasse a
inserire modifiche non lecite diciamo, ma prima o poi vengono scoperti,
comunque grazie ai sistemi di versioning, puoi ricevere richieste di
modifica codice, ovviamente tu o chi per te controlla prima di inserire
tale modifiche, o comunque come storia ci insegna, c'è gente che se lo
legge il codice, infatti vengono beccati.
sicuramente cambia il numero se i progetti sono grandi o piccoli, ma
ovviamente sei tu che scegli di usare un sw piuttosto che un alto, e
software con grandi community o comunque attive (parlo lato
sviluppatori) sono quelli più usati.
ricorda che è pieno di paranoici in giro :D e molti di questi sanno
anche come usare un computer ;) e questo è un bene per te :D
--
Federico Pietta "Darkmagister"
http://www.darkmagister.org
http://www.wosp.it
Linux Registered User: #425709
public gpg key: gpg --keyserver pgp.mit.edu --recv-key 65E45DEF
Maggiori informazioni sulla lista
Linux