gargamel pisze:
> Użytkownik "Michal Bien" napisał:
>> Jestem przekonany że nie. Dlaczego, odpowiedź poniżej.
>
> nie pytam o przekonania, czy wiarę, spytałem czy jesteś pewien? (czyli
> czy przeanalizowałeś każdą linię kodu TC i potem sobie ten kod
> skompilowałeś?:O)
Jestem praktycznie przekonany, że takich backdoorów nie ma opierając
się na powszechnej dostępności źródeł i popularności projektu (samych
pobrań blisko 10 mln). Mnie to w zupełności wystarczy. Jeśli jednak ktoś
cierpi na paranoję wciskania backdorów w wolnym oprogramowaniu nic nie
stoi na przeszkodzi by sobie kod źródłowy pobrał,
przeanalizował i skompilował, a wynik porównał z sygnaturą
udostępnionych powszechnie binariów. Nie musi tego robić każdy z
użytkowników z osobna - przy tej popularności projektu wszelkie
potencjalne kombinacje z różnicami kodu udostępnionego źródłowo, a
skompilowanego wyszłyby szybko.
> ja wcale nie twierdzę że TC jest zły, dla m nie TC jest po prostu tak
> samo dobty jak każdy inny program szyfrujący tego typu
Z mojego doświadczenia wynika że jest lepszy z powodów o których
wspomniałem już częściowo wcześniej - odpowiem zbiorczo na posty by nie
rozpisywać się każdej osobie oddzielnie i tego nie powtarzać.
1. Nie są mi znane możliwości uzyskania klucza nadrzędnego itp. do
zaszyfrowanych danych. To samo deklarują twórcy projektu - w
przypadku zapomnianego hasła nawet nie ma co do nich pisać.
W przypadku kilku programów komercyjnych z siedzibą twórcy na terenie
UE (USA ma jeszcze większego hopla na punkcie stosowania kryptografii
przez obywateli) - to z tego powodu niektóre firmy zmieniają siedzibę
na różne egzotyczne wyspy czy choćby Szwajcarię. Organa po prostu
występowały o klucz główny i go uzyskiwały czy były uprawnione czy
nie (w przypadku adwokatów czy radców prawnych tajemnica zawodowa
może być uchylona zasadniczo tylko w przypadku tzw. "prania brudnych
pieniędzy", natomiast jeśli komuś strzeli do głowy zabezpieczyć
dokumentację i nośniki elektroniczne kancelarii o co w PL nad wyraz
łatwo (a były takie przypadki, zresztą np: w sprawie "afery
bilboardowej" robiono lepsze jazdy zabezpieczając mnóstwo
dokumentacji luźno związanej ze sprawą na podstawie tworzonych chyba
w stanie "pomroczności jasnej" wynurzeń pewnego człowieka,
stworzonych na doraźne potrzeby kampanii wyborczej. Myślisz że
takich ludzi powstrzyma ustawowa tajemnica zawodowa? To jest dopiero
naiwność!
2. Multiplatformowość. Dla mnie to bardzo istotne, bo mając kontener z
dokumentami mogę nad nimi pracować zarówno pod windows jak i linuksem
(MacOSa nie używam choć też można) a pracując na równie
multiplatformowym OpenOffice, a nie na pakiecie biurowym MS
zabezpieczone szyfrowaniem dokumenty są niezalezne od aktualnego
systemu. Większość komercyjnych systemów kryptograficznych jest pod
jeden OS.
3. Poza tym że otwarty, jest też darmowy. Wolę wpłacać dobrowolną
dotację na rzecz fundacji, niż być dojony przymusowo za każdym razem
i ograniczany dziwacznymi umowami o używanie oprogramowania.
Te trzy cechy przemawiają moim zdaniem na korzyść TC w stosunku do
produktów komercyjnych. Jeśli widzisz cechy przemawiające na korzyść
produktów komercyjnych w stosunku do TC napisz proszę o nich krótko
w punktach. Od razu zaznaczam, że typowy dla dużej firmy gdzie
pracowników nie interesuje globalny efekt, tylko tzw. "dupochron" pt.
support - "jak coś źle pójdzie to nie będą czepiać się mnie tylko
producenta, a że ten spuści ich na drzewo to już nie mój problem"
(po to jest wyłączenie odpowiedzialności za wady oprogramowania
praktycznie w każdej umowie - producent odpowiada praktycznie tylko
za nośnik.
>> Uważam, że przy jeszcze stosunkowo niewielkim projekcie o tym
>> znaczeniu i takiej rzeszy użytkowników jest wielu ludzi o znacznie ode
>> mnie większej wiedzy programistycznej, którzy to już robili. Nie mam
>> najmniejszych wątpliwości, że są wśród nich zarówno blackhaty i
>> whitehaty, niemniej jednak nic nie wiadomo o lukach czy backdorach tego
>> oprogramowania.
>
> pewnie że jest masa fachowców od programownia, tylko czy ty jesteś aż
> tak naiwny że ci fachowcy za darmo będą analizowali kody darmowego
> oprogramowania?:O)
Czy jestem też tak naiwny, że uważam iż ktoś za darmo napisze użyteczne
oprogramowanie i je udostępni innym? Jakbym Ballmera słyszał
:>
A patrz - takie *BSD, Linux, OpenOffice, produkty Mozilli i mnóstwo
mniejszych projektów istnieje i ma się dobrze. Niektórzy po prostu nie
mogą "zaskoczyć" że można oprogramowanie pisać oraz analizować dla
przyjemności jako hobby, a nie tylko jak sposób zarabiania na życie w
sposób uczciwy lub nie.
> i meritum: jeśli programiści TC chcieli by umieścic w programie tylną
> furtkę to myślisz że umieścili by ją w ogulnie dostępnych kodach
> źródłowych?:O)
Jeśli umieściliby w tylko w binarkach, a nie w ogólnie dostępnych
kodach źródłowych to bardzo szybko wyszłyby różnice bo jednak część
ludzi kompiluje źródła - choćby po to by użyć flag i optymalizacji
kompilatora tylko pod swoją architekturę CPU i zyskać odrobinę na
wydajności.
> a co do komercyjnych programów szyfrujących w UE/USA domyślam sie że
> prawnie muszą takie furtki posiadać, więc dlaczego niby TC miałby się
> temu prawu wymknąć?
Dlatego, że nie ma "kogo wziąć za 4 litery" i na nim wymusić zaszycie
tylnej furtki. Już pisałem, że w przypadku TC jeśli słuchany
jako świadek sam nie ujawnił hasła sprawa kończyła się na niczym i była
prędzej czy później umarzana. Do produktów wolnego programowania po
prostu często nie sposób stosować takich samych rygorów jak do produktów
komercyjnych tworzonych przez spółki, bo tu nawet trudno mówić o
siedzibie i prawie właściwym. To jest solą w oku władzy i pewnie
niedługo w całej UE będzie to co w UK albo i posiadanie produktów
kryptograficznych przez szarego obywatela (władza nie lubi konkurencji)
będzie takim samym "przestępstwem" jak posiadanie teraz byle skręta czy
hantei, bez względu na to ocenę tego przez większość społeczeństwa - to
nie składa się tylko z "moherów". Papier jest cierpliwy i przyjmie każdą
bzdurę stworzoną przez parlament - z techniką i jakością legislacyjną
jest coraz gorzej i w sumie nikt chyba krytycznie tego nie ocenia jeśli
rocznie można stworzyć kilkanaście tys. stron kiepskich aktów
normatywnych, to potem wychodzą takie kwiatki jak ustanowienie w PL od
18.12.2008 "przestępstwa" posiadania komputera czy korzystania z
internetu, bo jeśliby dosłownie wykładać te mądrości tak to mniej więcej
wygląda sprowadzone do absurdu. Kiepskie to IMHO prawo, gdy praktycznie
wszyscy są przestępcami, a tylko niektórych się ściga wg luźno pojętych
kryteriów absurdu, mocy przerobowych i zapotrzebowania na udupienie
konkretnej jednostki. Andriej Wyszyński wiecznie żywy?
-- Pozdrawiam, Michal Bien #GG: 351722 #ICQ: 101413938 JID: mbien@jabberpl.orgReceived on Sun Mar 15 12:45:18 2009
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Sun 15 Mar 2009 - 12:51:04 MET