Názory k článku
Stát chystá návrh zákona, který by měl omezit či zakázat Huawei v 5G sítích

Železo je železo. Stát má řešit pravidla, která budou striktní vůči všem. Dávat na black list Huawei je alibismus, který žádné bezpečnostní riziko neřeší.

Myslíte to dobře, ale mimoto, že je to z důvodu obchodního tajemství nemožné, v situaci, kdy státní aparát vážně uvažuje o správě dat Googleem, se jeví vaše snaha jako zbytečná.

No, ale v tom případě si přímo říkáte o to, aby vaše konkurence všechno okopírovala, když s tím v podstatě dodáváte návod, jak na to.

Tady ten článek říká, že Huawei už použil HW backdoor. Jestli to nakonec byla nebo nebyla pravda, to nevím. Ale myslím, že státní agentury, co to mají na starosti jsou velmi schopné, jenom to prostě nemůžou všechno napsat do novin :-D https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies

To ale nic neřeší. Můžete mít v hw zadní vrátka a ze zdrojaku nic nevyctete Dokonce můžete dostat schéma od hw až na úroveň designu chipů a přesto ten backdoor nenajdete.

zranitelnost systému není binární veličina, ale diskrétní. Někdy stačí nepatrná změna, nuance a vede to k zásadnímu nedostatku. Nelze to snadno posoudit ze vstupů, může tam být špatně výchozí nastavení, cinknutý sfp modul či předgenerovaný náhodný klíč, který dodavatel má uložený.

Takže pořád musí být jistá odpovědnost na straně dodavatel a pokud mu nevěřím, je těžké si být jistý, že to je bezpečnostně v pořádku a že bude řádně plnit svoji roli po dobu životnostnosti produktu.

i do zdrojových kódů můžeš propašovat zadní vrátka a nemusí to být na první a ani na druhý pohled vidět, i v tomhle případě potřebuješ k dodavateli určitou základní důvěru.

No ano, včetně dokumentace hardware a firmware. Kdybych byl paranoidní a rozhodoval o rozsáhlých zakázkách ovlivňujících informační bezpečnost státu, vyžadoval bych otevřenost a nasmlouval sankce pro případ vpašování nezdokumentovaných funkcí. Nejen od Číňanů, ale třeba i od Cisca, Intelu a dalších.

Myslím, že jen pouhá možnost, že by nějaký odborník, hacker nebo pirát objevil případnou nepatřičnost, je účinnou brzdou proti snahám zabudovávat do svých výrobků škodlivý kód.

A co když to udělají hardwarově? Např. nějakým speciálních schovaným čipem, co se aktivuje pouze za speciálních okolností, takže bude oddělený a nikde v ovladači nemusí být zmíněn? Budou muset open-sourcovat i hardware? A jak se ověří, že vnitřek čipu odpovídá specifikaci?

zda dává ke svým zařízením zdrojové kódy
Jak ověříte, že ty dodané zdrojové kódy odpovídají kódům v dodaných zařízeních? Budete to ověřovat při každé aktualizaci?

Než hodnotit dodavatele infrastruktury podle kritéria důvěryhodný/ne­důvěryhodný, případně je špión/není špión mi připadá rozumnější posuzovat, zda dává ke svým zařízením zdrojové kódy, tedy open source/closed source..