Cryptografie en de open source security discussie
Wie zich in technologie en software verdiept heet weet waarschijnlijk dat er twee meningen zijn als het aankomt op security en/of cryptografie. Worden cryptografie en security oplossingen veiliger als er duizenden ogen de broncode controleren of biedt een private oplossing, die "security through obscurity" benadert, een veiligere omgeving? Deze column kijkt, met behulp van het boek van Bruce Schneier over cryptografie, deze twee meningen.
Om even de stompzinnige kleuterdiscussie 'Linux is beter dan Windows,
nietes, welles!' tegen te gaan.... Dit is niet de start van een dergelijke!!!
interpretatie voor eigen risico! :)
Persoonlijk vind ik de stelling wat gechargeerd, maar heeft zeker merites.
Niet het algoritme, maar de sleutel is letterlijk de sleutel tot een goede
geheimhouding.
Probleem is echter, dat als de sleutel en de encryptie daarmee gebaseerd is
op een gammel algoritme, de hele zaak binnen no-time te compromitteren is.
Stel het algoritme open voor discussie en het wordt mogelijk dat iedereen er
goed naar kan kijken en er zijn bijdrage aan kan leveren.
Een algoritme dat ik niet kan (laten) controleren vertrouw ik inderdaad zelf ook
niet. Let wel: Laten controleren in mijn geval. Een goed algoritme is
gebaseerd op een flink stuk wiskunde op universiteitsniveau en ik heb het
net voor elkaar gekregen een 5 te halen op mijn eindexamen VWO...
Wanneer we dus te maken hebben met een closed-sourced leverancier ben
ik toch zeer benieuwd naar:
1. Welk algoritme (wiskundig) ten grondslag ligt aan de encryptie-methode
van die leverancier en..
2. HOE bovengenoemd algoritme geïmplementeerd is in de source.
Deze zaken zou ik graag gecontroleerd en geverifieerd hebben VOOR ik een
leverancier geloof die 'trust me' zegt..
gebaseerd op een flink stuk wiskunde op universiteitsniveau
en ik heb het
net voor elkaar gekregen een 5 te halen op mijn eindexamen
VWO...
Symetrische crypto is niets anders dan volgens een bepaald
schema en tabellen de bitjes omgooien (0-->1) en door elkaar
verweven (bit0 -->bit1 , bit1--> bit0). Heeft meer met
electronica te maken (schuifregisters en flip-flops) dan met
wiskunde.
A-sym. cryptografie berust op het principe dat een bepaalde
bewerking (bijv. machtsverheffen, of priemgetalen
vermenigvuldigen) heel makkelijk en snel kan in een computer
maar dat de omgekeerde bewerking (worteltrekken, ontbinden
in priemfactoren) heel lastig en traag gaat.
Lees anders het stukje dat gisteren op deze site stond:
"Waarom ECC de volgende generatie van PK cryptografie is [7]"
Het is ook niet nodig om een algoritme te doorgronden als je
je aan industrie-standaarden houdt. Bijv. 'AES' (en bijv.
niet een "three-algorithme" Bruce Schneider het in zijn
nieuwsbrief over had). De implementatei is inderdaard wel
heel belangrijk.
Crypto is Fun !
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.