On 08/12/2023 22:43, vamastah wrote:
> no bez jaj, nie widze nic zlego w braku chain-of-trust

Możliwość modyfikacji softu przez kogoś złego.

Z zalet: brak chain-of-trust może być znakomitym dupochronem, bo można
zawsze powiedzieć, że te dodatki do softu, to się same zrobiły "gdzieś
po drodze".

Problemem jest zmuszenie prawne do implementacji tego. Prawo tworzą
przygłupy prawnicze i oni nie ogarną, nawet jak by im ktoś miesiąc
tłumaczył, że infrastruktura krytyczna powinna mieć jakiś poziom
zabezpieczeń inny, niż kłódkę i 5 lat w zawieszeniu.

> dodatkowa funkcjonalnosc za ktora de facto nikt nie chce placic, poza
> tym zadne mechanizmy weryfikacji autorstwa kodu nic tu nie
> rozwiazuja - firma nadal moglaby sie tlumaczyc ze wyciekl jej klucz
> prywatny (niczym to sie rozni od gadania ze wyciekl kod zrodlowy)

Jest różnica: jak wycieknie kod źródłowy, to co najwyżej musisz martwić
się o exploity (w systemie offline to nie jest aż tak ważne) ewentualnie
spalasz się ze wstydu jak inni zobaczą co odp... Kaziuk z Januszem w tym C.

Wyciek klucza prywatnego jest niebezpieczny, bo po cichu można dokonać
modyfikacji i doprowadzić do sabotażu.

> postawmy sprawe jasno - pociagi sa Newaga, wgrany soft tez (co da sie
> udowodnic z wystarczajaca pewnoscia:
> https://gynvael.coldwind.pl/?lang=pl&id=777 ), wiec to oni ponosza
> odpowiedzialnosc za "babole" w kodzie (ktore de facto sa na ich korzysc)

Problem już nie dotyczy tego przypadku. Ten przypadek to jest żałosne
kombinowanie będące skokiem na kasę.

Ja się obawiam, że nastepny firmware do tych pociągów może napisać Dima
z Saszą, zamiast Kaziuk z Januszem. I nikt się nie dowie.

Po to powinny być podpisy.