[openstandaarden] VLACO vs openstandaarden.be

[Wouter Verhelst]

On Fri, 9 Aug 2002, Frans Gerbosch Consulting wrote:
> Als iemand al van Echelon heeft gehoord (er was laatst een programma op
> Canvas hierover die een tipje van de sluier oplichtte) dan besef je pas
> dat security door obscurity in vele opzichten de enige weg zal zijn om
> bepaalde bedrijfsinfo te gaan beveiligen.

Sorry, maar hier moet ik me met klem tegen verzetten.

'security through obscurity' betekent dat je het systeem waarmee je werkt
geheimhoudt, inclusief de eventuele lekken die erin zouden kunnen
zitten. Da's even belachelijk als stellen 'De bank is beveiligd, want
niemand weet van de geheime deur in de kluis waardoor je aan al het geld
in diezelfde kluis kunt'.

Een goed beveiligingssysteem is open, zodat iedereen die daar belang bij
heeft (in dit voorbeeld kunnen dat de klanten van de bank, de
geldkoeriers, en de bankbedienden zelf zijn) het systeem kan controleren
op eventuele fouten. Of, om het met Linus' law te zeggen: 'Given a million
eyes, all bugs will be solved'. 

> Maar dit geldt ook voor
> diplomatieke communicatie bijvoorbeeld (of communicatie van criminele
> aard).

Als je de *content* van je communicatie wilt beveiligen, heb je geen
security through obscurity nodig, maar encryptie.

Encrypteren kan je *perfect* met open standaarden. Goeie voorbeelden zijn
SSL (voor connection-based communicatie) en PGP (voor connection-less
communicatie).

> Als iemand/een firma/een organisatie er voor opteert om een bepaalde
> communicatie niet via openstandaarden te versturen, is het niet aan ons om
> daar een oordeel over te vellen zolang deze communicatie geen publiekelijk
> doel heeft of er vooraf in onderling overleg deze gesloten standaard is
> afgesproken. Gesloten standaarden zouden niet aan het "publiek" mogen
> opgedrongen worden, dat is zo klaar als flessenwater.

Daar kan ik me dan wél enigzins achter plaatsen; en deze stelling is ook
in het verleden reeds (met succes) op deze mailinglijst verdedigd, dacht
ik.

[...]
> De boodschap zou moeten zijn:: "Voor eenieder die behoefte heeft om met
> anderen openlijk te kunnen data uitwisselen, of de intensie heeft
> bepaalde informatie publiekelijk aan te bieden, zijn openstaandaarden de
> enige ethisch correcte keuze. Het niet gebruiken van Open Standaarden kan
> leiden tot onvrijwillige disciminatie."

Voila.

> De staat zou hierover aanbevelingen kunnen doen en hierin het voorbeeld
> geven.... maar willen ze dat wel ? De staat heeft immers zwaar
> geinvesteerd in heel wat departementen in automatisatie van de
> administratie. Ik vrees dat een groot deel hiervan helemaal geen gebruikt
> maakt van standaarden die door meerdere leveranciers worden gebruikt, laat
> staan open standaarden.... ! Maar het is uiteraard het proberen waard.

Ik denk dat dat vrij goed meevalt. Heb in het verleden vragen gezien van
overheidsdiensten op (o.a.) be.comp.os.linux, die aantoonden dat ze met
open standaarden en/of vrije software werken.

> Kortom OS.be zal in zijn strijd voor openheid van communicatie door
> gebruik van openstandaarden niet mogen vergeten dat er soms economische of
> veiligheids redenen bestaan waarin het gebruik van openstandaarden niet
> gevolgd of zelfs niet te verantwoorden is.

Economische redenen misschien wel. Veiligheidsredenen absoluut niet.

-- 
wouter at grep dot be

"Human knowledge belongs to the world"
  -- From the movie "Antitrust"