Principio di sicurezza relativo ai software

0

Security through obscurity isn't real security.
That's why theoretically, closed source software is a wrong solution.
A software, example an operating system still needs to be secure when all of it's elements are known to source code level, only the private keys are kept secret.

D: Chi sono le persone (che lavorano in sicurezza, crittografia) che hanno detto queste parole? Più esempi ci sono per le persone e meglio è.

Questa domanda sarà utile negli argomenti futuri quando le persone hanno bisogno di discutere modelli di software open source o closed source in materia di sicurezza.

    
posta gasko peter 10.10.2013 - 08:36
fonte

1 risposta

0

"Sicurezza per oscurità" è una delle espressioni più comunemente usate (a volte usate impropriamente) nel settore della sicurezza. La frase è supportata dando esempi come, lasciando aperta la porta di servizio della tua casa, come nessuno lo sa o come tenere la chiave della tua casa sotto il tappetino della porta o in una fioriera vicino alla porta.

Come per wikipedia , l'origine della frase può essere fatta risalire al principio di Kerckhoff, " un sistema dovrebbe essere sicuro a causa del suo design, non perché il design è sconosciuto ad un avversario ".

Un esempio del genere che ricordo è crittografia e autenticazione processo in Whatsapp messenger (sebbene in caso di crittografia, potrebbe essere un caso di implementazione crittografica male informata, ma considerando che è una società ben finanziata e ancora priva di aspetti così importanti, mi fa pensare anche su linee di "sicurezza per oscurità" ).

Come da wikipedia, NIST nel suo documento su " Guida alla sicurezza del server generale" parla di questo principio di sicurezza. Bruce Schneier in questo articolo parla anche di questo. Ci sono molti altri riferimenti su wikipedia come, Peter Swire, Jay Beale ecc.

Questo porta alla parte importante della domanda, dimostra che l'open source è migliore di closed source. Dal mio punto di vista, dipende dalle dimensioni del progetto, dal numero di sviluppatori che lavorano, dal background degli sviluppatori e dal controllo di qualità praticato. Non c'è modo di dire quale è più sicuro dell'altro, solo guardando il modello di sviluppo usato. Storicamente, entrambi i campi hanno una storia a scacchi.

    
risposta data 10.10.2013 - 09:34
fonte

Leggi altre domande sui tag