Hallo, Johannes Näder schrieb: > Hallo, > > mich würde in dem Zusammenhang interessieren, was ihr von folgendem Projekt > haltet: > > http://www.wuala.com/ > > Dabei handelt es sich um einen (z.T. P2P-orientierten) Online-Speicher mit > clientseitiger Verschlüsselung, java-basierter Client-Software, > WWW-Interface, > Sharing- und Streaming-Möglichkeit, und anonymisierter Zugriff ist ebenfalls > geplant. Das Programm ist nicht frei, allerdings soll die Verschlüsselung in > Kürze durch Offenlegung des Codes transparent gemacht werden. > > Damit basiert Wuala also nicht auf Freier Software. Wenn ich es aber richtig > verstehe, wird mit der partiellen Offenlegung für den Nutzer überprüfbar, > dass > tatsächlich nur verschlüsselte Daten seinen Rechner verlassen. Oder besteht > die Gefahr, dass - wie bei Skype - Wuala einen Masterkey besitzt? Kann das > ausgeschlossen werden, wenn nur die relevanten Codeteile offengelegt werden? > Ich glaube, dass man die Kriterien Sicherheit und Freiheit getrennt von einander betrachten muss. Nur, weil der Bereich für die Verschlüsselung offen gelegt ist (womöglich nur unter einer unfreien Lizenz) ist die Software noch lange nicht "frei" oder sicher. Aus Sicherheitsaspekten stellt sich natürlich erstmal die Frage: ist der Code, der veröffentlicht wird, wirklich der Code, der vom Programm genutzt wird? Ohne die Software komplett selbst kompilieren zu können muss man sich hier auf das Wort von Wuala verlassen. Insofern ist die Veröffentlichung kein Sicherheitsgewinn; du musst Dich immernoch 100%ig auf Wuala verlassen und kannst den korrekten Gebrauch von Verschlüsselung nicht überprüfen.
Was die Freiheit angeht ist eins klar: solange es keine Möglichkeit gibt, außschließlich mit freier Software auf Wuala zuzugreifen, ist der Webdienst nicht frei (analog zur inzwischen nicht mehr existierenden Java-Falle: solange die VM unfrei ist nützt mir eine GPL-te Applikation nicht, da ich immernoch von Sun abhänge). Wenn Wuala eine Art API-Lizenz verlangt (Zugriff auf bestimmte APIs nur nach Registrierung zB. wie bei Akismet) würde ich auch verneinen, dass Wuala frei ist, selbst wenn der Client komplett frei ist. > Ist diese Frage zwingend mit der Grundsatzfrage verknüpft, ob *nur* "freie > Webservices" Sicherheit im Verschlüsselungsbereich bieten können, oder lassen > sich beide Fragen hier trennen? > In meinen Augen lassen die Fragen sich trennen. PGP (die Applikation) ist in keinster Weise frei, gilt aber trotzdem als sicher. Diesen Status als sicher hat es, weil der komplette Quellcode verfügbar ist und nachvollziehbar ist, dass das kompilierte Programm zum veröffentlichtem Quellcode passt. > Welche Probleme ergeben sich für den Anwender daraus, dass Wuala nicht frei > ist? > > Ich bin gespannt auf eure Meinungen. > > Beste Grüße! > JN > _______________________________________________ > Liebe Grüße, Florian Haas
signature.asc
Description: OpenPGP digital signature
_______________________________________________ fsfe-de mailing list [email protected] https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
