Hallo Florian,
Am Montag, 23. Februar 2009 13:11:19 schrieb Florian Haas:
In meinen Augen lassen die Fragen sich trennen.
auf jeden Fall. Allerdings sind sie meiner Meinung nach doch recht stark miteinander verknüpft --- und du bringst da auch schon ein ganz schönes Beispiel: :)
PGP (die Applikation) ist in keinster Weise frei, gilt aber trotzdem als sicher. Diesen Status als sicher hat es, weil der komplette Quellcode verfügbar ist und nachvollziehbar ist, dass das kompilierte Programm zum veröffentlichtem Quellcode passt.
Ich vertraue freier Software (Bsp.: GnuPG) mehr als proprietärer Software (Bsp.: PGP), wenn ich davon ausgehen kann, dass diese Software von Leuten verschiedenster Coleur weiterentwickelt wird oder zumindest werden kann --- zum Beispiel von der NSA, vom BSI, von Uni-Mitarbeitern, von CCC-Mitgliedern, von der FSF(E) sowie vielen einzelnen Hackern. Und dieses Vertrauen ergibt sich für mich eben auch, ohne dass ich je eine einzige Zeile des Quellcodes gelesen hätte. Bei Programmen wie GnuPG hoffe ich einfach, dass dort genügend viele kluge Leute "drüber geschaut" haben, deren (politische) Interessen außerdem ausreichend genug gestreut sind, dass es eine der beteiligten Parteien nicht durchsetzen könnte Backdoors etc. einzubauen.
Ich denke aber eben, dass nur eine sehr geringe Anzahl von Leuten Quellcode einfach nur just for fun liest. Quellcode zu lesen macht imho erst dann wirklich Spaß, wenn man damit herumspielen kann, wenn man ihn modifizieren kann, neue Features einbauen kann, die Patches veröffentlichen und auf der zugehörigen Mailingliste diskutieren kann. Natürlich kann es sein, dass mal die IT-Abteilung eines Sicherheitsdienstes oder vielleicht --- im Rahmen eines Forschungsprojekts --- ein paar Unimitarbeiter auch eine semifreie Software wie PGP auf ihre Sicherheit hin untersuchen. Aber ich bin der Ansicht, dass sich in der Regel das volle Vertrauen in Software aus o.g. Gründen nur dann einstellen kann, wenn sie wirklich alle 4 Freiheiten beinhaltet.
Beste Grüße, micu