Názor k článku Jak na OpenSSL 3 od petr - :)) Podivejte se, pruniky do OpenSSL jsou nejcastejsi...

:)) Podivejte se, pruniky do OpenSSL jsou nejcastejsi a to z mnoha duvodu. Dva jsou primarni a to otevrenost kodu a druhy je (ne)kvalita implementace (jiz jsem zminil, ze problem s premaster secret u OpenSSL je resen polovicate). Krome toho ani neni popsan zadny plan o prechodu k OAEP a porad se drzi PKCS1ver1.5, coz je tristni (u komercnich firem, tedy tech velkych, ten plan je). Duvody ohledne otevrenosti jsem zminil a jsou jasne. A co jste napsal, je demagogie. Nepsal jsem, ze bezpecne je to, pokud se o tom nevi. Ale psal jsem o tom, ze jsou duverne informace, ktere mohou utocnikovi pomoci pri pruniku. A sem bezesporu patri zverejneni kodu. Neni nic proti OSS, ale proti tomuto kroku. A to, jak obecne mluvite o tom, jake mate zaruky komercni vuci OSS je uplna blbost a vubec nic netusite o tom, jak se dela vyvoj kryptografickych produktu. Naopak zde mate mnoho zaruk, ptz je nekolik kroku a testu, kterymy musi takovy produkt projit a to je sakra draha zalezitost. OSS produkty nemaji ani zakladni overovaci uroven a jsou testovany ad hoc. V tomto RSA i s mnoha vyrobci software definovali overovaci mechanizmy, kdy se kontroluje kvalita implementace, ochrana kodu, jsou dane patterny pro psani nekterych algoritmu atd. A zde se pak kontroluje jejich dodrzovani. A uvedeni takove overeneho produktu vas prijde cca na 2-3mil$ v te nizke cenove hladine.OPravdu vubec nemate o tomto prumyslu ani poneti.