[openstandaarden] VLACO vs openstandaarden.be

Jan Claeys openstandaarden at janc.cjb.net
Fri Aug 9 18:39:00 CEST 2002


At 2002-08-09 16:33, you wrote:
>Daar moet je dan maar eens een voorbeeld van geven... De
>geencrypteerde boodschap zal niet toegankelijk zijn, maar de encryptie
>zal best volgens een open standaard gebeuren. _dat_ heeft de
>veiligheidswereld al heel lang als basisprincipe aanvaard...

Hm.  Mensen als Bruce Schneier (toch een autoriteit op dit gebied) zullen je
hier zeker geen 100% gelijk geven.

Het is wel zo dat veiligheid niet op deze "obscurity" mag gebaseerd zijn, maar
het kan wel een extra horde zijn voor een "aanvaller".  Anders gezegd: je moet
er rekening mee houden dat als het "obscurity"-element wegvalt, je veiligheid
nog altijd moet voldoen aan het gewenste niveau.
En de beste manier om de veiligheid van een encryptie-algoritme te controleren
is *meestal* (maar niet altijd) het laten controleren door zo veel mogelijk
specialisten.


NB: een open standaard beveiliging staat of valt ook maar bij de kwaliteit van
de implementatie, cfr. de zeer ernstige SSL bug in MSIE...


-- 
Jan Claeys

"Be strict when sending and tolerant when receiving."
RFC 1958 - Architectural Principles of the Internet - section 3.9




More information about the Openstandaarden mailing list