現在地 HOME > 掲示板
> IT4 > 523.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT4 > 523.html
★阿修羅♪
|
|
(回答先: MS、国内6大学に対しセキュリティ研究目的のソースコード開示へ【ZD_Net記事】 投稿者 クエスチョン 日時 2003 年 12 月 20 日 11:09:27)
http://www.asahi-net.or.jp/~ki4s-nkmr/mswatch50.html
2002/12/01
信用は信用できるか
ASAHIネットのjouwa/salonから。
標題: 信用は信用できるか
---
同趣旨のメール。まずは、馬場さん。
--- ここから ---
馬場と申します.こんにちは.
若松副大臣には,マイクロソフト社に言いくるめられないように,是非気をつ
けて欲しいと思います.
「ソースを見てしまうと一年間はOSの開発に携われない」などという条件があ
るのでは,一線で活躍しているOS開発者がチェックに参加するのがかなり難し
くなります.ちゃんとしたチェック出来るのでしょうか.
それに,動いているバイナリが,見せてもう事になるソースコードから生成さ
れたという保証もないのだから,自分でコンパイルして自分で使い,サービス
パックや,アップデートのソースももらわないと意味がありませんよね.
--- ここまで ---
田崎さんから。
--- ここから ---
さて,11/30 付けの MS Watch なのですが,slashdot-jp ではソースの公開だ
けではバックドアの疑惑払拭にはならないとの意見があります.具体的には以
下から辿れます.
http://slashdot.jp/comments.pl?sid=58681&op=&threshold=0&commentsort=0
&mode=thread&startat=&pid=207873#207884
要約すれば,
1. 公開されたソースから Windows がビルドできなければ疑惑は払拭できない
2. ビルド環境(コンパイラそれ自体のソースコードなど)も公開されないと疑
惑は払拭できない
につきるかと思われます.特に,コンパイラがバックドアを仕掛ける仕組みだ
と,(Windows の)ソースコードをいくら眺めてもバックドアを発見することは
出来ません.
貴サイトの影響力は大きいと思いますので,こういった視点も取り上げると良
いかと思い,メールした次第です.
--- ここまで ---
これは、ぼくが見落としていた点を指摘してくださって、ありがとうござい
ます。
ぼくがこれをみて思い出すのは、#6806にもちょろっと書きましたが。Unix
を作ったKen Thompson(ケン・トンプソン)のチューリング賞受賞記念講演です。
チューリング賞というのはコンピュータ界のノーベル賞です。
いま、調べたら、
http://www.acm.org/classics/sep95/
Reflections on Trusting Trust
Ken Thompson
にありますね。1984のACMに出ているのでざっと20年前ですね。休刊した「bit」
にも翻訳が出て、たしかそのときは「信用は信用できるか」などというタイト
ルだったと思います。
#6806でも書いているように、そして前述のThompsonの論文にもあるように、
コンパイラにトロイの木馬を仕掛けるとソースをみるだけじゃダメなんですよ
ね。Thompsonは、トロイの木馬を仕掛けたコンパイラでUnixのloginコマンド
をコンパイルすると他人になりすまして好きにログインできるものを作れるこ
とを紹介しています。
Thompsonも指摘しているように、これはコンパイラに限らず、リンカやラン
タイムライブリ、さらにいえばハードのマイクロコードにも仕込める技ですよ
ね。
ということで、ソースを閲覧できるだけじゃ、何の保証にもならないんです。
総務省や大臣、副大臣もその辺はしっかり認識してほしいと思いますね。
ところで、IntelやAMDのプロセッサにトロイの木馬が入ってないと誰が保証
するかなどと考えると、プロセッサの設計製造能力がある国は、自分で作らな
いと国家の安全保障ができないという話になりますね。^^;
そのうちアメリカが、核兵器や生物化学兵器の開発技術同様、プロセッサの
設計製造能力も監視するようになったりしてね。
ココムへの高性能プロセッサ輸出制限は、その穏やかな規制だったんでしょ
うね。
中国が独自プロセッサを開発・製造できるようになり、しかも国家標準とし
て政府調達の条件にしたら、どうなるんだろうね。
題名には必ず「阿修羅さんへ」と記述してください。