A proc bych to delal? A hlavne vyvoj kryptografickych knihoven by mel byt utajen a testovan interne. Je to jedno ze zasadnich bezpecnostnich pravidel, ze se nezverejnuji informace, ktere se mohou zneuzit pro bezpecnost. Myslet si, ze diky tomu nekdo prijde na chyby je velmi naivni. Asi tak, jako bychom si rekli, ze bezpecnost banky overime tim, ze zverejnime vsechny tajne informace o architekture a usporadani bezpecnostnich systemu a ze nam diky tomu lide tohle budou pripominkovat a banka se zlepsi. Takove bance bych nedal ani korunu a to plati i pro OSS a bezpenost. OpenSSL je vhodne pro BFU uzivatele, co posilaji email, ze treba pepicek neco delal s marenkou. Ale pro korporace je OpenSSL zasadni chyba a kdyz to pouziji, tak vubec nic nevedi o kryptografii a bezpecnosti. K tomu jsou urcene produkty komercnich firem jako Baltimore nebo RSA, ale NIKDY ne OSS. Osobne by toto melo byt chraneno i zakonem, ptz to je krajni nezodpovednost pouzivat OSS produkty na zabezpeceni kritickych dat.
Názor k článku
Jak na OpenSSL
