<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Dec 16, 2014 at 12:34 AM, Christian Huitema <span dir="ltr"><<a href="mailto:huitema@huitema.net" target="_blank">huitema@huitema.net</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br>
> China has it, why wouldn't the NSA?<br>
><br>
>   <a href="http://news.cnet.com/China-to-view-Windows-code/2100-1007_3-990526.html" target="_blank">http://news.cnet.com/China-to-view-Windows-code/2100-1007_3-990526.html</a><br>
<br>
</span>I bet you they also have access to the Linux source code.</blockquote><div><br></div><div>Ah but does China have access to the same source as the NSA? </div><div><br></div><div>Not suggesting that they don't. But establishing a means to prove that they do could be an interesting challenge. And given the reported impact of Snowden on Cisco's sales, possibly one that is commercially important. In the post-PRISM age, every vendor is having to prove that it is not peddling wares with backdoors for their local spy agency.</div><div><br></div><div><br></div><div>You would need to either provide a build chain that allows them to confirm the executables they run were generated from the source provided or you would need some Certificate Transparency log type solution, or maybe both.</div><div><br></div></div></div></div>