Joachim Büchse*Erwiderung zu v. Gravenreuth, Open source und fremder Code nach zwingendem nationalem Recht, JurPC Web-Dok. 209/2004JurPC Web-Dok. 0224/2004, Abs. 1 - 13 |
| Der Artikel http://www.jurpc.de/aufsatz/20040209.html von Herrn Günter Frhr. v. Gravenreuth ist in mehreren technischen Punkten nachweisbar falsch: | JurPC Web-Dok. 0224/2004, Abs. 1 |
| Abs 10:
Die vollständige Einbindung eines neuen Moduls in einem Open-source-Programm, beispielsweise dem Bildbearbeitungsprogramm "Gimp" beinhaltet zwingend eine Veränderung dieses Programms, d.h. der eingebundene Code müsste demnach a) im Quellcode veröffentlicht und b) wiederum GNU/GPL unterstellt werden. | Abs. 2 |
| Dies ist falsch. | Abs. 3 |
| 1) Eine Einbindung von Programmcode in Gimp ist ohne Veränderung des unter GPL stehenden GIMP-Programmcodes möglich. Zum Laden von Modulen wird typischerweise ein Modullader beziehungsweise "Plugin"-Mechanismus verwendet. Ein solcher Mechanismus ist bereits in GIMP und zahlreichen anderen Programmen vorhanden. | Abs. 4 |
| 2) Selbst wenn ein solcher Plugin-Mechanismus nicht vorhanden wäre, könnte er ohne Probleme eingefügt werden. Gemäss GPL muss in diesem Fall nur der Plugin-Mechanismus selbst, d.h. der Code welcher zum Nachladen des Moduls dient, veröffentlicht werden. Das nachzuladende Modul bleibt hiervon gänzlich unberührt und unterliegt keiner Veröffentlichungspflicht. | Abs. 5 |
| Abs 9:
Es liegt auf der Hand, dass praktisch jede Sicherheitssoftware ihre Sicherheit u.a. auch aus der Vertraulichkeit ihres Quellcodes ableitet. Wer den Quellcode kennt kann Umgehungslösungen finden. | Abs. 6 |
| Dies ist falsch. | Abs. 7 |
| Wenngleich aus der Sicht eines Nicht-IT-Experten "auf der Hand liegen" mag, dass eine Software sicherer ist, wenn ihr Quellcode nicht veröffentlicht wird, so ist dies in der Praxis für den konkreten Fall eines in der Breite ausgelieferten Moduls nicht korrekt. | Abs. 8 |
| Der ausgelieferte, maschinenlesbare Code lässt sich mittels einfacher und weit verbreiteter Methoden in menschenlesbare Form (äquivalenter Quellcode) überführen und algorithmisch analysieren. | Abs. 9 |
| Eine Steigerung der Sicherheit eines Moduls durch Geheimhaltung des Sourcecodes kann nur dann impliziert werden, wenn es sich hierbei um hochkomplexe mathematische Mechanismen handelt. Dies ist zumindest bei der "Eurion-Konstellation", welche dem EURO-Noten Kopierschutz zugrunde liegt, nicht der Fall. | Abs. 10 |
| Die Schlussfolgerungen in den Abschnitten Abs 13 und folgende bauen auf den beiden zentralen und falschen Annahmen in Abs 9 und Abs 10 auf und sind somit nicht schlüssig. | Abs. 11 |
| Weitere Anmerkung: Der Mechanismus, welcher dem Kopierschutz von EURO-Noten zugrunde liegt, ist seit mehreren Jahren öffentlich dokumentiert. Siehe http://www.cl.cam.ac.uk/~mgk25/eurion.pdf | Abs. 12 |
| Weitere Anmerkung: Gemäss aktueller Auffassung der meisten
IT-Sicherheitsexperten lässt sich aus der Vertraulichkeit des
Quellcodes keine Sicherheit der Software ableiten. Insofern könnte
diese Aussage von Herrn Frhr. v. Gravenreuth ganz allgemein als falsch
bezeichnet werden. In der Praxis wird allerdings der Sourcecode von
sicherheitskritischen Systemen idR nicht veröffentlicht. Dies
Geheimhaltung findet allerdings nicht etwa statt um eine
Systemsicherheit abzuleiten, sondern vielmehr um Entstehungshinweise
(Autoren, Kommentare, etc) und allfällige
Umsetzungsfehler zu verdecken welche von einem Angreifer potentiell
genutzt werden könnten.
| JurPC Web-Dok. 0224/2004, Abs. 13 |
| * Joachim Büchse ist seit 1998 als Informatik-Ingenieur und Projektleiter im IT-Bereich tätig. Zuletzt war er bei der Ergon Informatik AG (www.ergon.ch) in Zürich zuständig für Softwareprojekte der Schweizer Bahn SBB. Technische Fachgebiete: Mobile Applikationen, Kommunikation, Performanzevaluation, Fehlersuche und Reverse-Engineering. |
| [online seit: 21.06.2004 ] |
