Weer een gevalletje van "hiding in plain sight" dus er zullen meer audits van open source software moeten volgen, anders doen de geheime diensten dat wel, maar die houden het voor zichzelf.

Het is het tweede geval deze week (zie cisco). Jammer genoeg hebben de voorvechters van OSS alleen de energie om de alternatieven te bashen. Als ze nu eens voor de eigen kwaliteit zouden gaan. Dus het continue reviewen en testen van alles.

Testen is geen sexy werk. Dus ook in OSS land niet populair. rms onderschat dat in hoge mate met zijn statement "Given enough eyeballs all bugs are shallow". Daarbij: crypto code is gewoon lastig. Ook voor specialisten.

Goed idee. Ik ga gelijk een donatie overmaken naar het project. Ze moeten toch ergens van leven. Doe je mee?

Het continue reviewen en testen van alles?
Ja dat valt niet mee, dat weet je zelf ook vast.
Doet jouw webcam het nog?
Nee?

Misschien is het over twee weken verholpen maar het kan ook langer duren omdat sommige fabrikanten hun particuliere klantengroep gebruiken om producten te testen en dat heelrustig aan doen.
Werkt het niet dan heb je pech en wacht je maar.

Zo doen sommige producenten dat dus en soms vinden ze dat een feestje waard.
"10 Anniversary Update 'sloopt' webcams"
http://webwereld.nl/software/94185-windows-10-anniversary-update--sloopt--webcams

Heeft helemaal niks met bashen te maken.
Helaas keiharde realiteit.

Welke alternatieven? Closed source? En dan op de blauwe ogen van het bedrijf vertrouwen? En dat moet dan beter zijn?

Ik snap echt helemaal niks van je manier van redeneren....

Ik heb mij als leek op dit gebied getracht duidelijkheid te krijgen over de beschuldiging van de kenners op het gebied van encryptie dat de NSA in de beginjaren 2000 een achterdeur in het RSA encryptie programma hebben ingevoerd, dat Dual_EC_DRBG heet. De NSA zou de RSA 10 miljoen euro daarvoor hebben betaalt.
Om een geheime/publieke sleutel te genereren, wordt een willekeurige nummer gegenereerd, die eigenlijk heel zwak is, en dat zou de achterdeur voor de NSA zijn.
Deze methode [Dual_EC_DRBG] is pas sinds 2013/2014 door de NIST (Amerikaanse standaard organisatie) als onveilig benoemd.

Onduidelijk voor mij is of <a href="https://en.wikipedia.org/wiki/Dual_EC_DRBG">Dual_EC_DRBG</a> ook voor PGP en GPG4WIN nu nog wordt of in het verleden is gebruikt om de geheime/publieke sleutel te genereren.
Wat ik niet uit het artikel kan opmaken is, of ook de random-number-generator (RNG) van Libgcrypt een Dual_EC_DRBG
protocol is.

https://www.schneier.com/blog/archives/2007/11/the_strange_sto.html

Hierin wordt het principe uitgelegd hoe de NSA achterdeur zou kunnen werken. Ik heb de voor leken als mijzelf het begrijpelijke deel van het artikel hieronder geplaatst, waarin de mogelijkheid van een NSA masterkey wordt uitgelegd, en het gevaar dat deze masterkey ooit door anderen wordt gekraakt, alle versleutelde internet verkeer kan worden ontsleuteld.

This is how it works: There are a bunch of constants -- fixed numbers -- in the standard used to define the algorithm's elliptic curve. These constants are listed in Appendix A of the NIST publication, but nowhere is it explained where they came from.

What Shumow and Ferguson showed is that these numbers have a relationship with a second, secret set of numbers that can act as a kind of skeleton key. If you know the secret numbers, you can predict the output of the random-number generator after collecting just 32 bytes of its output. To put that in real terms, you only need to monitor one TLS internet encryption connection in order to crack the security of that protocol. If you know the secret numbers, you can completely break any instantiation of Dual_EC_DRBG.