Offene Geheimnisse

Kernel mit Code

Die erste Erweiterung dürfte der so genannte internationale Kernel-Patch sein, den die Gruppe bisher inoffiziell auf dem norwegischen Web-Server www.kerneli.org lagerte. Mit diesem Zusatz kann der Kernel Daten chiffrieren, und zwar mit Standardalgorithmen wie Twofish, Blowfish, Idea und Serpent.

Der jüngste Patch patch-int-2.2.13.3 vom November ergänzt Linux um drei Funktionen: Erstens arbeitet das so genannte Loop-Device mit den Kodiermethoden. Damit kann der Anwender zum Beispiel einzelne Dateisysteme schützen, indem er sie mit Hilfe des Loop-Geräts auf eine verschlüsselte Datei abbildet. Teil des Patches ist zweitens die Erweiterung "Crypto IP Encapsulation Protocol" (CIPE), die verschlüsselte IP-Pakete in UDP-Pakete verpackt. Jeweils zwei Endpunkte bauen mit Hilfe eines gemeinsamen "statischen" Schlüssels eine VPN-Verbindung auf und kodieren die ausgetauschten Daten mit "dynamischen" 128-Bit-Keys. An einem Public-Key-Verfahren für den Austausch der Sitzungsschlüssel arbeiten die Entwickler noch. Drittens kodiert der Kernel mit dem Zusatz den Datenverkehr über "Network Block Devices" (NBD), welche die Verzeichnisse eines im Netz stehenden Servers als lokales Filesystem erscheinen lassen.

Weitere Patches könnten folgen und Teil des offiziellen Kernel werden:

- Der "Linux Intrusion Detection System Patch" (LIDS) versiegelt Systemdateien und verhindert den Abbruch laufender Prozesse. Sobald ein Verzeichnis mit dem Befehl lidsadmin -A -r /Verzeichnis als "nur lesbar" markiert wurde, kann es niemand verändern, auch nicht der Administrator root.

- Der Patch des Openwall-Projekts schränkt die Rechte der User eines Linux-Systems ein. Weil die Korrekturen den Administrator zur Nachlässigkeit verleiten könnten, wollen die Verantwortlichen sie jedoch lieber nicht in den Kernel aufnehmen lassen.