Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 22 reacties
Bron: Security.nl

skiewiel meldde ons dat op de nederlandse security website staat dat de broncode van PGP wordt vrijgegeven. Het gaat hier om de laatste versie van het programma dat door Network Associates wordt ontwikkeld.

PGP logo "PGP Security strongly believes that it is critical for the cryptographic community to be able to evaluate the cryptographic implementation behind our security products", said Mark McArdle, vice president of Engineering for PGP Security. "This release of the PGPsdk source code delivers on our commitment to provide access to the most sensitive components of our security products, which is key to maintaining the strong reputation PGP Security has world-wide." [break] Opvallend is, dat deze stap genomen wordt vlak na de publicatie (op 5 september) van de resolutie van de Europese Commissie met betrekking tot Echelon: [/break] Email privacy 30. Calls on the Commission and Member States to promote software projects whose source text is made public (open-source software), as this is the only way of guaranteeing that no backdoors are built into programmes;

31. Calls on the Commission to lay down a standard for the level of security of e-mail software packages, placing those packages whose source code has not been made public in the "least reliable" category;

32. Calls on the European institutions and the public administrations of the Member States systematically to encrypt e-mails, so that ultimately encryption becomes the norm; [break] Voordat de broncode ingezien mag worden moet wel eerst een licentieovereenkomst geaccepteerd worden, en deze is behoorlijk strikt: zo mogen gevonden bugs niet bekend worden gemaakt zonder toestemming van Network Associates: [/break] 2. Restrictions. Except as otherwise provided herein, you may not, without prior written permission from NAI:

[...](vi) Provide, or otherwise disclose information regarding any discovered bugs, errors, architecture issues or problems with the Source Code or Compiled Code to any party other than Network Associates, or disclose the results of any benchmark test any third parties without Network Associates' prior written consent.

Het vrijgeven van broncode wordt de laatste tijd steeds populairder, het mechanisme dat door Network Associates wordt gebruikt lijkt sterk op de shared-source filosofie van Microsoft.

Moderatie-faq Wijzig weergave

Reacties (22)

De broncode van PGP is toch al lang bekend? Aleen hier gaat het om de front end die NAI ervoor gemaakt heeft.
Blijkbaar een poging om bugs als http://www.tweakers.net/nieuws/18314 de nek om te draaien.
De broncode van de "originele" PGP kun je al tijden downloaden vanaf:

www.pgpi.org
(International)

De PGP implementatie van NAI, is gebasseerd op die van Zimmerman (zie bovenstaande link).

Leuk dat NAI haar versie Opensourced, maar ik gebruik toch liever de niet commerciele versie.
Helaas is het geen 'Opensource', de source is wel iets opener dan het was, maar je mag geen aanpassingen maken en ook fouten die je vind mag je alleen rapporteren aan NAI.

Als je echt OpenSource emailencrypt wilt moet je nog steeds GnuPG gebruiken :)
Je kan je wel laten inspireren door de broncode hier van ;)
Ik heb wel het idee dat door het vrijgeven van de code een bug snel kan worden gevonden en evt misbruikt. Ik weet niet of dit wel verstandig is. Ok het helpt natuurlijk wel in het verbeteren van de code door derden maar ik weet niet of je dat er voor over moet hebben.
Is echt securitie dan dat je de fouten maar geheim houd!?
volgens mij moeten die dingen juist misbruikt worden.. zodat PGP ( en nu ook anderen....) die fouten eruit halen.. en het echt veilig wordt!
Is echt securitie dan dat je de fouten maar geheim houd!?
Sommige bedrijven baseren de beveiliging op basis van de (mogelijke!) onwetendheid van hun gebruikers. |:(

Maar ff buiten dat, op zich is het goed dat de sources worden vrijgegeven.
Ik kan mij wel iets voorstellen dat NAI de art. 2 procedure in het leven heeft geroepen om zo op die manier ook de betalende gebruiker niet gelijk in het vizier te zetten, en de mogelijkheid hebben om zo direct een wijziging te maken.
Verder heeft het ook het voordeel dat iedereen kan zien dat er geen backdoors zijn! (iets waarvan veel producenten vaak wel beschuldigd worden.) en dat er op die manier mogelijke bugs wel sneller gededecteerd kunnen worden en zo ook sneller een oplossing voor is.
Ik moet nog wel zien of het in de praktijk ook zo werkt.
Er zijn mogelijkheden genoeg om anoniem de bug's wereldkundig te maken en het achterhalen van die persoon kan toch een lastige klus zijn.
Verder kan ik alleen maar zeggen dat het een goeie stap is.
Geen trolls aub.

Het lijkt er net op alsof je weer een discussie wilt aanwenden over security-through-obscurity, en daar zijn we allang uit.
Ow.... nouja.. ik zal nog wel niet lang genoeg op tweakers komen....
wat was de conclusie dan..?
security through obscurity wordt over het algemeen als een Bad Thing gezien.
Het vrijgegen van broncode wordt de laatste tijd steeds populairder, het mechanisme dat door Network Associates wordt gebruikt lijkt sterk op de shared-source filosofie van Microsoft.


Het is daarom belangrijk het publiek goed voor te lichten over de verschillen tussen "Open Source" en "Free Software" (Free als in vrijheid/Libre).

"Open Source" is net als de term "Hackers" door de media reeds zo verkracht dat het publiek een verkeerde gedachte heeft bij deze termen.

"Open Source" stelt alleen dat de broncode toegangelijk is, VIA een infinite soorten licenties.

"Free Software" stelt dat niet alleen de broncode wordt vrijgegeven, maar dat je deze tevens naar eigen inzicht mag veranderen onder geen/weinig beperkingen.

Opensource != Free Software, en dat is dus heel belangrijk om te weten.
Free software is altijd open source
open source hoeft geen free software te zijn

vergelijk

een koe is een zoogdier
een zoogdier is niet per definitie een koe

:)
Free software is dus niet hetzelfde als Freeware?
Bij freeware lijkt het me namelijk niet verplicht het ook open source te maken.
Ik kan van een programmaatje dat ik zelf geschreven heb wel de installatie vrij verspreiden, zonder ook de source weg te geven.
Zo zijn er trouwens een hoop programmatjes
Dit is weer typisch zo'n move van het domme management van NAI. Wie gaat er nou voor zijn lol een enorme berg source code zitten auditen, als je er niet eens bugs in kan fixen? We zullen gratis gaan werken voor NAI, en er niet eens zelf de vruchten van kunnen plukken... Sorry, maar zo werkt open source dus niet.

Het is typerend dat NAI nu besluit om dit te doen, want ze zijn alom beschimpt voor het niet vrijgeven van de source van PGP 7.x. Toen Phil Zimmermann, de oorspronkelijke auteur van PGP, nog bij NAI werkte, was de source van PGP altijd vrij beschikbaar, zoals het hoort bij encryptie software. Daarom hebben we nu ook PGPi, PGP CKT, enzovoorts, en dat zijn IMO veel betrouwbaardere alternatieven dan de half-closed source PGP van NAI.

Lees ook ff Phil's verhaaltje waarom ie wegging bij NAI, daar kun je veel tussen de regels lezen. Hij zegt het nog net niet letterlijk, maar ik vertrouw iig PGP met een versie later dan 6.5.8 niet meer. ;)
Als je een baan zoekt, je bent bereid om naar de VS te gaan en je vind ruim als eerste een major bug die iedereen over het hoofd had gezien... dan heb jij binnenkort een goede baan.

Mesnen die vinden dat ze niet de juiste career-opportunities hebben gehad zulklen dus echt die berg doorspitten.
Idd ja.. die kerrel heeft er geen vertrouwen in..
we stappen dus maar colectief over naar OenPGP! }>

ik snap zoiezo niet waarom bedrijven in het algemeen de sources niet vrij geven....
volgens mij is het zwakheid,.. omdat er altijd fouten in zitten die ze niet toe willen geven..
en om te verbergen dat ze eigenlijk helemaal niet zoveel veranderd hebben als ze weer eens een nieuwe versie uit brengen...
maargoe... die discusie was al gevoerd geloos ik....
Ja ok, er zullen misschien fouten in zitten. je moet natuurlijk wel nagaan, heb blijven wel mensen die het moeten programmeren. en aan ALLES denken is bijna onmogelijk.
Hele goede zaak! Hoewel je behoorlijk verstand van zaken moet hebben, is het nu dan toch mogelijk om o.a. op bugjacht te gaan. Eventuele backdoors zijn natuurlijk ook killing voor encryptie-software zoals PGP en deze zijn dan ook op te sporen.
Persoonlijk ben ik van mening dat open-source ideaal (zelfs noodzakelijk) is voor beveiligingssoftware. De veiligheid van encryptie-software zit hem namelijk niet in het verborgen houden van source maar in de kracht van het encryptie-algorithme (deze was gelukkig al open-source). Deze is vrij eenvoudig voor wat betreft PGP maar wel zeer krachtig. D'r is nog geen enkele wiskundige die een shortcut heeft bedacht om het algorithme te hacken en dus moet het brute-force (zoals bij de koe).
Deze 'nieuwe' betrouwbaarheid krijgt hopelijk veel navolging al is het alleen maar om de burger meer vertrouwen te geven in de veiligheid die internet wel degelijk kan bieden.
heel leuk allemaal hoor, maar kunnen ze op die manier niet de code van de emailencryptie die je toevoegd aan je mailtje, ontcijferen?
Lijkt mij van wel, en dan kan ik me voorstellen dat mensen die TOP SECRET dingen mailen dit dus niet zo fijn vinden........
Nee, want dat is nu het leuke van public key encryptie. Al heb je het algorithme, dan nog heb je niet meteen de sleutel tot decryptie. 8-)
De encryptie wordt gedaan met 2 verschillende sleutels, terwijl een buitenstaander nooit zomaar deze twee heeft. Hooguit de public key, en dat is niet genoeg.
Nou.. echt opensource is dat dus ook niet... tenminste niet zoals we gewent zijn..

maar.. ik denk dat het geen slechte zet is. zo wordt het programma gewoon beter omdat bugs veel eerder gevonden worden....
en vooral bij dergelijke programma's is dat een must!<div class=r>[Reaktie gewijzigd door [ocr]]</div><!-- end -->

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True