Valmynd.

Umfjöllun

Öryggi frjáls og opins hugbúnaðar

Enginn hugbúnaður er gallalaus, hvorki séreignarhugbúnaður né frjáls og opinn hugbúnaður. Öryggissérfræðingar skiptast í tvær fylkingar hvað varðar öryggi hugbúnaðar. Önnur fylkingin telur óljóst öryggi stuðla að öruggari hugbúnaði en hin fylkingin telur að opið ferli leiði betur til þess.

Öryggisveilur

Enginn hugbúnaður er fullkominn eða laus við galla. Lítill sérhæfður hugbúnaður jafnt sem stór almenn lausn getur haft öryggisgalla. Hvorki séreignarhugbúnaður frjáls og opinn hugbúnaður er laus við veilur (möguleikinn á óprúttnir einstaklingar nýti sér öryggisgalla).

Meðhöndlun öryggismála í séreignarhugbúnaði og frjálsum og opnum hugbúnaði er miklu leyti ólík. Þegar rætt er um öryggi í séreignarhugbúnaði er oft bent á óprúttnir aðilar geta ekki nýtt sér veilur vegna þess það er erfitt koma auga á þær þar sem frumþula (e. source code) hugbúnaðarins er ekki opinber eins og í frjálsum og opnum hugbúnaðarverkefnum.

Frjálsa og opna hugbúnaðarsamfélagið bendir þó á aðgangur frumþulu, rýni samfélagsins og opið ferli leiðir til betra öryggis í frjálsum og opnum hugbúnaði. Frjálsa og opna hugbúnaðarsamfélagið bendir jafnframt á það hversu hættulegt það reiða sig um of á svokallað óljóst öryggi (e. security by obscurity). Óljóst öryggi byggir á því svo framarlega sem enginn getur lesið frumþuluna er hugbúnaðurinn öruggari.

Opið og öruggara ferli

Frjálsa og opna hugbúnaðarsamfélagið bendir á með því nota opið ferli þar sem notendur og aðrir hagsmunaaðilar geta bent á öryggisgalla og lagfært þá hugbúnaðurinn öruggari. Samfélagið bendir á jafnvel þótt aðgangur frumþulu hugbúnaðarins geri óprúttnum aðilum mögulega auðveldara finna öryggisgalla þá gefur það samfélaginu öllu einnig möguleika á finna og lagfæra öryggisgalla. Aðgangur frumþulu og opinber umræða um breytingar er einnig sögð gera þróunaraðila meðvitaðri um forrita almennilega og skýrt. Þróunaraðilar eiga þá erfiðara leyna öryggisgöllum, í stað þess í þróun séreignarhugbúnaðs er mögulega auðveldara fyrir forritara komast hjá því tryggja öryggi.

Frjálst og opið aðgengi öllum liðum hugbúnaðarins leiðir einnig til þess frjáls og opin hugbúnaðarverkefni treysta mun meira á stærðfræðilega útreiknað öryggi en þagnareið varðandi öryggisútfærslur. Til mynda byggja dulritunarhugbúnaðurinn PGP (Pretty Good Privacy) og frjálsi dulritunarhugbúnaðurinn GPG (GNU Privacy Guard) á opna OpenPGP staðlinum fyrir dulritun og dulræði. Staðallinn lýsir því hvernig gögn eru dulrituð og dulráðin og lýsingar staðalsins hafa verið opnar almenningi frá því 1997 (aðferðin sjálf var fundin upp árið 1991). Í dag er ekki vitað af neinum veilum í staðlinum sem er stöðugt endurskoðaður og bættur enda liggur það í eðli opinna staðla. Rafræn skilríki sem fjármálaráðuneytið og bankarnir á skilriki.is hafa unnið nota til dæmis svipaða tækni og PGP, þó í aðeins stærra samhengi þar sem fleiri stöðlum um öryggismál er fylgt til þess tryggja hámarksöryggi.

Öryggisferli í frjálsum og opnum hugbúnaðarverkefnum

Frjálsi hugbúnaðarforritarinn Karl Fogel lýsir ítarlega muninum á tilkynningu á venjulegum galla og öryggisgalla í bók sinni um þróun á frjálsum og opnum hugbúnaði Producing Open Source Software: How to Run a Successful Free Software Project. Fogel, sem er þrautreyndur forritari og hefur komið mörgum stórum frjálsum hugbúnaðarverkefnum, lýsir ferli sem frjáls hugbúnaðarverkefni ættu fylgja þegar öryggisgalli er tilkynntur. Ferlið byggir á því hafa sérstakan hóp af forriturum sem sinna öryggisgöllum og fjarlægja tilkynningar um öryggisgallann af opinberum listum þar til gallinn hefur verið lagfærður sem er í raun blanda af óljósu og opnu öryggi. Fogel segir flest frjáls og opin hugbúnaðarverkefni fylgi ferli sem svipi til þess sem hann lýsir og segir allar útfærslur á ferlinu fylgi eftirfarandi tveimur viðmiðum:

  1. Ekki tala um gallann opinberlega fyrr en lagfæring er tilbúin, þá skaltu bjóða upp á lagfæringuna á sama tíma og þú tilkynnir gallann.
  2. Reyndu lagfæra gallann eins fljótt og auðið er, sérstaklega ef einhver utanaðkomandi hefur tilkynnt gallann því þá veistu það er minnsta kosti einn annar aðili fyrir utan verkefnið sem getur nýtt sér veiluna.

Auðvitað skiptir stærð frjálsa og opna hugbúnaðarverkefnisins miklu máli. Stór verkefni sem margir reiða sig á eru mun líklegri til vera meðvitaðri um öryggismál og það sama á við um séreignarhugbúnað. Það segja öryggissérfræðingar skiptist í tvær fylkingar. Sumir fylgja því óljóst öryggi öruggara en opið öryggi en helstu sérfræðingarnir virðast þó hallast því öryggi opins hugbúnaðar líklegra til vera meira vegna þess opna ferlið sem verkefnið notar í þróun ýtir frekar undir meðvitaðri forritun og fleiri gallatilkynningar.

Öryggisúttekt

Þegar keyptur er hugbúnaður þar sem öryggi skiptir máli er nauðsynlegt láta óháðan aðila framkvæma öryggisúttekt hvort sem um séreignarhugbúnað eða frjálsan og opinn hugbúnað ræðir. Frjáls og opinn hugbúnaður býður í eðli sínu upp á þægilegri öryggisúttektir en séreignarhugbúnaður þar sem aðgengi frumþulu frjáls og opins hugbúnaðar er ekki takmarkað við einstaka aðila. Það er þó oftast hægt kaupa sérstök leyfi frá þróunaraðilum séreignarhugbúnaðar til þess óháðir aðilar geti framkvæmt öryggisúttektir. Ef óháðar öryggisúttektir eru ekki leyfilegar á séreignarhugbúnaði verður notandinn spyrja sig hvort hugbúnaðinum virkilega treystandi.

Senda grein
Stafrænt frelsi - merki

Samskipti

Innanríkisráðuneytið - Sölvhólsgötu 7 - 150 Reykjavík - Sími 545 9000 - Netfang: postur@irr.is

Útlit síðu:

Þetta vefsvæði byggir á Eplica