[linux-l] GPLv3 erschienen

[Steffen Dettmer]

Hi,

erstmal Danke für eure Mails

* Steffen Schulz wrote on Sun, Jul 22, 2007 at 17:17 +0200:
> On 070722 at 16:00, olafBuddenhagen at gmx.net wrote:
> > > Wenn sie das koennen, wird ein Angreifer sie dazu bringen, es zu tun.
> > Wer sich dazu bequatschen lässt, würde sich mit Sicherheit mindestens
> > genauso einfach auch bequatschen lassen, ein "professionell"
> > manipuliertes Lesegerät einzusetzen. Ich sehe hier keinen nennenswerten
> > Sicherheitsverlust.
> 
> Physikalische Anwesenheit.

Weiterhin ist die Haftungsfrage interessant. Du darfst Deine PIN nicht
eingeben, weil das in den AGB steht, die ist geheim. Ausnahme bilden von
Sicherheitsgutachtern zertifizierte Applikationen. So ein
Sicherheitsgutachen kann natürlich mehr oder weniger jeder kaufen,
kostet aber pro Applikation fünfstellig Euros, daher kann man in der
Praxis halt nicht seine eigene PIN Verarbeitung bauen.

Diese Regeln legt übrigens der PIN / Kartenausgeber mit den AGB fest,
bei ec-Karten in DE der Zentrale Kreditausschuss.

Hier reden wir von einem Gerät zu Hause, da kommt kein professionell
hardware manipuliertes Gerät hin, weil das schlecht per Mail zu
verschicken geht, daher gelten "zu Hause" niedrigere
Sicherheitsanforderungen (z.B. reicht tamper evident statt tamper
responsive, was eine Batterie und einen Haufen aktive Sensorik spart
usw).

Interessanterweise ist nicht grundsätzlich ausgeschlossen, zusätlich
Applikationen mit eingeschränkten Rechten auf diesem (eventuell
linuxbasiertem) System zu fahren. Was natürlich nur geht, wenn Linux
nicht v3 ist, weil v3 fordert, dass man ALLES tauschen können muss UND
es dann noch funktionieren muss.

> Was man machen kann ist, dass der Anwender 3 rote Knoepfe druecken muss
> bevor nicht zertifizierte Software erlaubt wird. Wenn nun ein Trojaner
> ein DoS macht und regelmaessig zeigt, dass man doch bitte seinen
> Kartenleser updaten soll, dann werden die Leute aber genau das tun.

Nur ein Detail:
  Es geht ja sogar ohne die roten Knoepfe, wenn man nicht
  zertifizierte Software automatisch laden kann: man flasht die Firmware
  einfach um; die neue Version bucht halt auf ein neues Konto oder so. 
  Dabei wird erst der PC gehakt, damit man z.B. Eingaben vom "PC
  Keyboard" emuliert oder was auch immer man braucht.

> Sicher fallen anteilsmaessig nicht viele darauf rein, aber das Argument
> hilft bei Spam und Phishing auch nicht..

Das Problem hier wäre doch aber, besonders wenn man noch digitale
Unterschrift mit reinnimmt: es würde sich sehr lohnen! Die Auswirkungen
sind schon krass, wenn man mal darüber nachdenkt. Meiner Meinung nach
übrigens so krass, dass ich gar keine Digitale Unterschrift möglich
haben möchte, weil ich selbst einem Gerät, was nur signierten Code
ausführt, nicht genug traue!

> Allzu dramatisch finde ich diese Faelle nun auch nicht, weil sind
> vermutlich nicht sooo viele. Aber toll ist es auch nicht.
> 
> Man koennte die Geraete ja mit Sollbruchstelle verkaufen, die bei der
> Inbetriebnahme(oder schon im Handel) mit Hinweis auf die Konsequenzen
> kaputt gemacht werden soll. Bei Update dann Hardwareaustausch oder so.

Super Idee! Übrigens so gut, dass man es tatsächlich macht! [1]

Das gibt es, nennt sich "tamper responsive". Man kann i.d.R. ein
Sicherheitsmodul einfach kaputtmachen (Sollbruchstelle), z.B.
Magnetfeld, in den Tiefkühler packen oder einfach 100 mal schnell an-
und ausschalten (um drei praktische Beispiele zu nennen). 

Dann werden bei bestimmten Sicherheitsmodulen interne Schlüssel
gelöscht. Je nach Typ kann man dann neue Schlüssel und neue Software
laden. 

Reicht der GPL aber nicht, weil das dann auch noch am Netzwerk
funktionieren muss, dass heisst, der Bankcomputer müsste die Zahlung
akzeptieren. Das ist ganz klar nicht, was ich möchte :)

oki,

Steffen

[1] Mag banal klingen, aber unabhängig auf eine "übliche Praxis" zu
kommen (ohne z.B. darüber gelesen zu haben) ist eine Leistung, prima!

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.