Open Source ist prinzipiell sicherer, weil der öffentliche Quelltext von jedermann überprüft werden kann. Es ist damit quasi ausgeschlossen, dass jemand unbemerkt eine Hintertür oder Schadsoftware in quelloffene Software einbaut. Daher fordern Experten schon lange, dass Sicherheits-Komponenten mit quelloffener Software ausgerüstet werden sollten. Vor allem Kryptologen vertreten diesen Standpunkt. Es gibt aber Probleme im Detail.

Nun erschienen innerhalb von zwei Tagen gleich drei Meldungen auf Golem.de zu diesem Thema. Am 02.09.2020 wurde die Firewall-Appliance “Turris Shield” angekündigt. Das Gerät kostet 99 Euro bei Amazon, die Quelltexte sind öffentlich verfügbar. Die Software der Appliance beruht auf OpenWRT. Die Appliances sind alle miteinander vernetzt. Neu erkannte Angriffe sollen daher besonders schnell abgewehrt werden können, die Rede ist von Sekunden. Hersteller des Geräts ist der tschechische Domainverwalter Cz.nic.

Am Tag darauf wurde bekannt, dass der Messenger Threema seine Quelltexte offenlegen will. Zusätzlich zum App-Quellcode will das Unternehmen auch reproduzierbare Builds ermöglichen. Damit adressiert man ein gerne übersehenes Detailproblem: Wer Open Source Software nutzt, lädt in der Regel ein fertig kompiliertes Programm herunter. Der Benutzer kann aber nicht feststellen, ob dieses Programm wirklich mit den öffentlichen Quellen übereinstimmt. Geheime Hintertüren wären so trotz Open Source möglich. Man kann zwar die Quelltexte herunterladen, kompilieren und das Ergebnis mit der vorhandenen Binärdatei vergleichen. Aber das ist zum einen aufwändig und zum anderen von so vielen Rahmenbedingungen abhängig, dass es in der Praxis nicht durchführbar ist. Reproduzierbare Builds wollen diese Prüfung ermöglichen, indem sie den Vorgang vereinfachen und standardisieren. Das alles will Threema in den nächsten Monaten bereitstellen.

Die dritte Meldung: Western Digital bietet SSD-Festplatten mit einer quelloffenen Verschlüsselung an. Die Verschlüsselung nennt sich “ArmorLock” und beruht auf einer Verschlüsselungs-Bibliothek namens “Sweet B”. Letztere stellt der Hersteller auf GitHub bereit. WD kümmert sich zudem um ein weiteres Detailproblem von quelloffenen Sicherheitslösungen: Die prinzipiell möglichen Code-Reviews müssen nämlich auch tatsächlich durchgeführt werden. Damit hat WD einen externen Dienstleister beauftragt, das Ergebnis steht ebenfalls online zur Verfügung.

Fazit: Die Erkenntnis, dass Open Source mehr Sicherheit bringt, setzt sich anscheinend langsam durch. Die geplanten reproduzierbaren Builds von Threema und das öffentliche Review von WD zeigen, dass auch die Detailprobleme berücksichtigt werden. Das sind Schritte in die richtige Richtung. Aber von einer umfassenden quelloffenen Sicherheits-Infrastruktur sind wir noch weit entfernt.