Cryptografie en de open source security discussie
Wie zich in technologie en software verdiept heet weet waarschijnlijk dat er twee meningen zijn als het aankomt op security en/of cryptografie. Worden cryptografie en security oplossingen veiliger als er duizenden ogen de broncode controleren of biedt een private oplossing, die "security through obscurity" benadert, een veiligere omgeving? Deze column kijkt, met behulp van het boek van Bruce Schneier over cryptografie, deze twee meningen.
Om even de stompzinnige kleuterdiscussie 'Linux is beter dan Windows,
nietes, welles!' tegen te gaan.... Dit is niet de start van een dergelijke!!!
interpretatie voor eigen risico! :)
Persoonlijk vind ik de stelling wat gechargeerd, maar heeft zeker merites.
Niet het algoritme, maar de sleutel is letterlijk de sleutel tot een goede
geheimhouding.
Probleem is echter, dat als de sleutel en de encryptie daarmee gebaseerd is
op een gammel algoritme, de hele zaak binnen no-time te compromitteren is.
Stel het algoritme open voor discussie en het wordt mogelijk dat iedereen er
goed naar kan kijken en er zijn bijdrage aan kan leveren.
Een algoritme dat ik niet kan (laten) controleren vertrouw ik inderdaad zelf ook
niet. Let wel: Laten controleren in mijn geval. Een goed algoritme is
gebaseerd op een flink stuk wiskunde op universiteitsniveau en ik heb het
net voor elkaar gekregen een 5 te halen op mijn eindexamen VWO...
Wanneer we dus te maken hebben met een closed-sourced leverancier ben
ik toch zeer benieuwd naar:
1. Welk algoritme (wiskundig) ten grondslag ligt aan de encryptie-methode
van die leverancier en..
2. HOE bovengenoemd algoritme geïmplementeerd is in de source.
Deze zaken zou ik graag gecontroleerd en geverifieerd hebben VOOR ik een
leverancier geloof die 'trust me' zegt..
gebaseerd op een flink stuk wiskunde op universiteitsniveau
en ik heb het
net voor elkaar gekregen een 5 te halen op mijn eindexamen
VWO...
Symetrische crypto is niets anders dan volgens een bepaald
schema en tabellen de bitjes omgooien (0-->1) en door elkaar
verweven (bit0 -->bit1 , bit1--> bit0). Heeft meer met
electronica te maken (schuifregisters en flip-flops) dan met
wiskunde.
A-sym. cryptografie berust op het principe dat een bepaalde
bewerking (bijv. machtsverheffen, of priemgetalen
vermenigvuldigen) heel makkelijk en snel kan in een computer
maar dat de omgekeerde bewerking (worteltrekken, ontbinden
in priemfactoren) heel lastig en traag gaat.
Lees anders het stukje dat gisteren op deze site stond:
"Waarom ECC de volgende generatie van PK cryptografie is [7]"
Het is ook niet nodig om een algoritme te doorgronden als je
je aan industrie-standaarden houdt. Bijv. 'AES' (en bijv.
niet een "three-algorithme" Bruce Schneider het in zijn
nieuwsbrief over had). De implementatei is inderdaard wel
heel belangrijk.
Crypto is Fun !
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
