[openstandaarden] VLACO vs openstandaarden.be
Jan Claeys
openstandaarden at janc.cjb.net
Fri Aug 9 18:39:00 CEST 2002
At 2002-08-09 16:33, you wrote:
>Daar moet je dan maar eens een voorbeeld van geven... De
>geencrypteerde boodschap zal niet toegankelijk zijn, maar de encryptie
>zal best volgens een open standaard gebeuren. _dat_ heeft de
>veiligheidswereld al heel lang als basisprincipe aanvaard...
Hm. Mensen als Bruce Schneier (toch een autoriteit op dit gebied) zullen je
hier zeker geen 100% gelijk geven.
Het is wel zo dat veiligheid niet op deze "obscurity" mag gebaseerd zijn, maar
het kan wel een extra horde zijn voor een "aanvaller". Anders gezegd: je moet
er rekening mee houden dat als het "obscurity"-element wegvalt, je veiligheid
nog altijd moet voldoen aan het gewenste niveau.
En de beste manier om de veiligheid van een encryptie-algoritme te controleren
is *meestal* (maar niet altijd) het laten controleren door zo veel mogelijk
specialisten.
NB: een open standaard beveiliging staat of valt ook maar bij de kwaliteit van
de implementatie, cfr. de zeer ernstige SSL bug in MSIE...
--
Jan Claeys
"Be strict when sending and tolerant when receiving."
RFC 1958 - Architectural Principles of the Internet - section 3.9
More information about the Openstandaarden
mailing list