Peter hat vollkommen recht. Aber wer sagt denn, das andere Stores nicht ebenso kompromittiert sind? Für uns schnöde Anwender ist es vollkommen unmöglich festzustellen, ob die Software nicht doch verändert wurde, außer wir selbst kompilieren die Software aus dem Quellcode. Das aber kann nur ein verschwindend geringer Teil der User ...
Es muß doch nicht jeder Software übersetzen können, um eine Version zu erhalten, die dem entspricht, das man selbst übersetzen könnte. Es reicht doch eine glaubhafte Instanz, die die auszuliefernde Installationsdatei digital signiert. Der Empfänger müßte dann nur die digitale Signatur prüfen. Das könnte sicher vor der Installation automatisiert stattfinden. Damit das ganze dann aber wirklich sauber funktioniert, bräuchtest du ein System, das nur aus solchen überprüften Komponenten besteht. Es reicht eine ungeprüfte Komponente aus, um das ganze System als unsicher zu kennzeichnen. Daher ist es auch bei Signal im grunde fast egal, woher es stammt.
... ja, da hast Du natürlich recht. Das wäre ein gangbarer Weg. Es stellt sich mir aber gerade die Frage, wer das denn machen soll? Zudem frage ich mich, ob es nicht ebenso einfach möglich ist, eine manipulierte Version zu signieren und einzuschleusen. Aus der SIG lässt sich ja nur ableiten, das die Software "unterwegs" nicht manipuliert wurde.
Flo aka 5versuche keinbockmehr
geht doch mal einfach auf deren website und schaut euch an wer das ding in den himmel lobt.
Zudem frage ich mich, ob es nicht ebenso einfach möglich ist, eine manipulierte Version zu signieren und einzuschleusen. Aus der SIG lässt sich ja nur ableiten, das die Software "unterwegs" nicht manipuliert wurde.