Vlákno názorů k článku Šifrování v hledáčku států: je možné ho zakázat? od _pepak - Čím větší firma, tím víc by se s...
-
_pepak (neregistrovaný)
Čím větší firma, tím víc by se s vládou měla kamarádit, protože je pod drobnohledem. A pokud se vládě znelíbí, může v důsledku legislativních a dalších rozhodnutí přijít o nemalé množství tržeb. Open source tímto netrpí. Negeneruje autorům velké množství peněz,
To ekonomické hledisko platí i pro vývojáře-jednotlivce (a open-source je v tom irelevantní): velká firma může mnohem víc ztratit, malého vývojáře jde mnohem snáze uplatit.
backdoor se, doufejme (a revidujme!), v otevřeném kódu jen tak neschová.
Schová, dost snadno. Googlujte např. underhanded c contest. Pro reálný příklad dual ec prng.
zásadní rozdíl je v tom, že TrueCrypt i přes zveřejnění zdrojových kódů nebyl svobodný software a nebylo možné ho jednoduše forknout.
Citation needed od "a nebylo možné". Já v licenci TC nic takového nevidím.
-
Dual EC DRBG neni nejlepsi priklad na tohle - jednak se jedna ne o open source, ale standard NIST-u, druhak backdoor v nem byl objeven velmi brzo.
Mene znamy fakt je, ze backdooru si vsimli zamestnanci NIST-u a Certicomu v 2005 nez byl standardizovan. Dva zamestnanci Certicomu Brown a Vanstone si demonstracne nechali patentovat stejny backdoor. Namitka mozneho backdooru byla vznesena i na standardizacnim meetingu. NSA v zasade na to rekla: "p a q jsme vygenerovali bezpecne a nahodne a stejne ten algoritmus budeme pouzivat jenom my. Kdo chce, muze si p a q zmenit"
Na druhe strane je pravda, ze jednoducha chyba typu "goto fail" se schova lepe.
