[openstandaarden] VLACO vs openstandaarden.be
Herman Bruyninckx
Herman.Bruyninckx at mech.kuleuven.ac.be
Sun Aug 11 08:57:18 CEST 2002
On Fri, 9 Aug 2002, Jan Claeys wrote:
> At 2002-08-09 16:33, you wrote:
> >Daar moet je dan maar eens een voorbeeld van geven... De
> >geencrypteerde boodschap zal niet toegankelijk zijn, maar de encryptie
> >zal best volgens een open standaard gebeuren. _dat_ heeft de
> >veiligheidswereld al heel lang als basisprincipe aanvaard...
>
> Hm. Mensen als Bruce Schneier (toch een autoriteit op dit gebied) zullen je
> hier zeker geen 100% gelijk geven.
>
> Het is wel zo dat veiligheid niet op deze "obscurity" mag gebaseerd zijn, maar
> het kan wel een extra horde zijn voor een "aanvaller". Anders gezegd: je moet
> er rekening mee houden dat als het "obscurity"-element wegvalt, je veiligheid
> nog altijd moet voldoen aan het gewenste niveau.
> En de beste manier om de veiligheid van een encryptie-algoritme te controleren
> is *meestal* (maar niet altijd) het laten controleren door zo veel mogelijk
> specialisten.
Je verwart twee zaken:
(i) zowat elke encryptie is gebaseerd op een wiskundige basis, die
volledig gespecifieerd en bewezen is;
(ii) de _implementatie_ van die basis is een andere zaak...
In OS.be zijn wij enkel bezig met (i), niet met (ii).
Herman
>
>
> NB: een open standaard beveiliging staat of valt ook maar bij de kwaliteit van
> de implementatie, cfr. de zeer ernstige SSL bug in MSIE...
>
>
>
--
K.U.Leuven, Mechanical Engineering, Robotics Research Group
<http://people.mech.kuleuven.ac.be/~bruyninc> Tel: +32 16 322480
More information about the Openstandaarden
mailing list