Broncode van PGP emailencryptie vrijgegeven

skiewiel meldde ons dat op de nederlandse security website staat dat de broncode van PGP wordt vrijgegeven. Het gaat hier om de laatste versie van het programma dat door Network Associates wordt ontwikkeld.

PGP logo "PGP Security strongly believes that it is critical for the cryptographic community to be able to evaluate the cryptographic implementation behind our security products", said Mark McArdle, vice president of Engineering for PGP Security. "This release of the PGPsdk source code delivers on our commitment to provide access to the most sensitive components of our security products, which is key to maintaining the strong reputation PGP Security has world-wide." [break] Opvallend is, dat deze stap genomen wordt vlak na de publicatie (op 5 september) van de resolutie van de Europese Commissie met betrekking tot Echelon: [/break] Email privacy 30. Calls on the Commission and Member States to promote software projects whose source text is made public (open-source software), as this is the only way of guaranteeing that no backdoors are built into programmes;

31. Calls on the Commission to lay down a standard for the level of security of e-mail software packages, placing those packages whose source code has not been made public in the "least reliable" category;

32. Calls on the European institutions and the public administrations of the Member States systematically to encrypt e-mails, so that ultimately encryption becomes the norm; [break] Voordat de broncode ingezien mag worden moet wel eerst een licentieovereenkomst geaccepteerd worden, en deze is behoorlijk strikt: zo mogen gevonden bugs niet bekend worden gemaakt zonder toestemming van Network Associates: [/break] 2. Restrictions. Except as otherwise provided herein, you may not, without prior written permission from NAI:

[...](vi) Provide, or otherwise disclose information regarding any discovered bugs, errors, architecture issues or problems with the Source Code or Compiled Code to any party other than Network Associates, or disclose the results of any benchmark test any third parties without Network Associates' prior written consent.

Het vrijgeven van broncode wordt de laatste tijd steeds populairder, het mechanisme dat door Network Associates wordt gebruikt lijkt sterk op de shared-source filosofie van Microsoft.

Door Johannes Verelst

Nieuwsposter

Feedback • 08-09-2001 13:31 22

08-09-2001 • 13:31

22

Bron: Security.nl

Lees meer

Bugs in GnuPG zorgen voor veiligheidsproblemen
Bugs in GnuPG zorgen voor veiligheidsproblemen Nieuws van 12 maart 2006
FBI wil Amerikaans internetverkeer kunnen aftappen
FBI wil Amerikaans internetverkeer kunnen aftappen Nieuws van 14 maart 2004
PGP Universal maakt mailencryptie voor bedrijven makkelijk
PGP Universal maakt mailencryptie voor bedrijven makkelijk Nieuws van 15 september 2003
Ontwikkeling PGP gaat door
Ontwikkeling PGP gaat door Nieuws van 22 augustus 2002
Indiërs ontwikkelen algoritme voor priemgetallen
Indiërs ontwikkelen algoritme voor priemgetallen Nieuws van 12 augustus 2002
Zimmermann vraagt NAI om PGP open source te maken
Zimmermann vraagt NAI om PGP open source te maken Nieuws van 4 juli 2002
Network Associates staakt zoektocht naar PGP koper
Network Associates staakt zoektocht naar PGP koper Nieuws van 9 maart 2002
Nieuwe methode van ontbinden bedreigt encryptie?
Nieuwe methode van ontbinden bedreigt encryptie? Nieuws van 3 maart 2002
Congres VS: verplicht 'backdoors' in encryptie-software
Congres VS: verplicht 'backdoors' in encryptie-software Nieuws van 14 september 2001
Meer producten en artikelen
Software

Reacties (22)

-Moderatie-faq
22
22
19
11
2
0
Wijzig sortering
Uitvreter 8 september 2001 13:35
De broncode van PGP is toch al lang bekend? Aleen hier gaat het om de front end die NAI ervoor gemaakt heeft.
Blijkbaar een poging om bugs als http://www.tweakers.net/nieuws/18314 de nek om te draaien.
Verwijderd 8 september 2001 13:40
De broncode van de "originele" PGP kun je al tijden downloaden vanaf:

www.pgpi.org
(International)

De PGP implementatie van NAI, is gebasseerd op die van Zimmerman (zie bovenstaande link).

Leuk dat NAI haar versie Opensourced, maar ik gebruik toch liever de niet commerciele versie.
AuteurJohannes Verelst @Verwijderd8 september 2001 13:46
Helaas is het geen 'Opensource', de source is wel iets opener dan het was, maar je mag geen aanpassingen maken en ook fouten die je vind mag je alleen rapporteren aan NAI.

Als je echt OpenSource emailencrypt wilt moet je nog steeds GnuPG gebruiken :)
Liqued @Johannes Verelst8 september 2001 14:16
Je kan je wel laten inspireren door de broncode hier van ;)
SiNisTrAD 8 september 2001 13:35
Ik heb wel het idee dat door het vrijgeven van de code een bug snel kan worden gevonden en evt misbruikt. Ik weet niet of dit wel verstandig is. Ok het helpt natuurlijk wel in het verbeteren van de code door derden maar ik weet niet of je dat er voor over moet hebben.
Verwijderd @SiNisTrAD8 september 2001 13:40
Is echt securitie dan dat je de fouten maar geheim houd!?
volgens mij moeten die dingen juist misbruikt worden.. zodat PGP ( en nu ook anderen....) die fouten eruit halen.. en het echt veilig wordt!
]Byte[ @Verwijderd10 september 2001 15:35
Is echt securitie dan dat je de fouten maar geheim houd!?
Sommige bedrijven baseren de beveiliging op basis van de (mogelijke!) onwetendheid van hun gebruikers. |:(

Maar ff buiten dat, op zich is het goed dat de sources worden vrijgegeven.
Ik kan mij wel iets voorstellen dat NAI de art. 2 procedure in het leven heeft geroepen om zo op die manier ook de betalende gebruiker niet gelijk in het vizier te zetten, en de mogelijkheid hebben om zo direct een wijziging te maken.
Verder heeft het ook het voordeel dat iedereen kan zien dat er geen backdoors zijn! (iets waarvan veel producenten vaak wel beschuldigd worden.) en dat er op die manier mogelijke bugs wel sneller gededecteerd kunnen worden en zo ook sneller een oplossing voor is.
Ik moet nog wel zien of het in de praktijk ook zo werkt.
Er zijn mogelijkheden genoeg om anoniem de bug's wereldkundig te maken en het achterhalen van die persoon kan toch een lastige klus zijn.
Verder kan ik alleen maar zeggen dat het een goeie stap is.
Verwijderd @SiNisTrAD8 september 2001 13:47
Geen trolls aub.

Het lijkt er net op alsof je weer een discussie wilt aanwenden over security-through-obscurity, en daar zijn we allang uit.
Verwijderd @Verwijderd8 september 2001 18:38
Ow.... nouja.. ik zal nog wel niet lang genoeg op tweakers komen....
wat was de conclusie dan..?
Aaargh! @Verwijderd8 september 2001 22:28
security through obscurity wordt over het algemeen als een Bad Thing gezien.
Verwijderd 8 september 2001 13:54
Het vrijgegen van broncode wordt de laatste tijd steeds populairder, het mechanisme dat door Network Associates wordt gebruikt lijkt sterk op de shared-source filosofie van Microsoft.


Het is daarom belangrijk het publiek goed voor te lichten over de verschillen tussen "Open Source" en "Free Software" (Free als in vrijheid/Libre).

"Open Source" is net als de term "Hackers" door de media reeds zo verkracht dat het publiek een verkeerde gedachte heeft bij deze termen.

"Open Source" stelt alleen dat de broncode toegangelijk is, VIA een infinite soorten licenties.

"Free Software" stelt dat niet alleen de broncode wordt vrijgegeven, maar dat je deze tevens naar eigen inzicht mag veranderen onder geen/weinig beperkingen.

Opensource != Free Software, en dat is dus heel belangrijk om te weten.
jp @Verwijderd8 september 2001 13:58
Free software is altijd open source
open source hoeft geen free software te zijn

vergelijk

een koe is een zoogdier
een zoogdier is niet per definitie een koe

:)
Adion @jp9 september 2001 20:21
Free software is dus niet hetzelfde als Freeware?
Bij freeware lijkt het me namelijk niet verplicht het ook open source te maken.
Ik kan van een programmaatje dat ik zelf geschreven heb wel de installatie vrij verspreiden, zonder ook de source weg te geven.
Zo zijn er trouwens een hoop programmatjes
WhiteDog @jp8 september 2001 16:54
my 2 }:O
Dim 8 september 2001 15:43
Dit is weer typisch zo'n move van het domme management van NAI. Wie gaat er nou voor zijn lol een enorme berg source code zitten auditen, als je er niet eens bugs in kan fixen? We zullen gratis gaan werken voor NAI, en er niet eens zelf de vruchten van kunnen plukken... Sorry, maar zo werkt open source dus niet.

Het is typerend dat NAI nu besluit om dit te doen, want ze zijn alom beschimpt voor het niet vrijgeven van de source van PGP 7.x. Toen Phil Zimmermann, de oorspronkelijke auteur van PGP, nog bij NAI werkte, was de source van PGP altijd vrij beschikbaar, zoals het hoort bij encryptie software. Daarom hebben we nu ook PGPi, PGP CKT, enzovoorts, en dat zijn IMO veel betrouwbaardere alternatieven dan de half-closed source PGP van NAI.

Lees ook ff Phil's verhaaltje waarom ie wegging bij NAI, daar kun je veel tussen de regels lezen. Hij zegt het nog net niet letterlijk, maar ik vertrouw iig PGP met een versie later dan 6.5.8 niet meer. ;)
vinx77 @Dim10 september 2001 09:55
Als je een baan zoekt, je bent bereid om naar de VS te gaan en je vind ruim als eerste een major bug die iedereen over het hoofd had gezien... dan heb jij binnenkort een goede baan.

Mesnen die vinden dat ze niet de juiste career-opportunities hebben gehad zulklen dus echt die berg doorspitten.
Verwijderd @Dim8 september 2001 18:50
Idd ja.. die kerrel heeft er geen vertrouwen in..
we stappen dus maar colectief over naar OenPGP! }>

ik snap zoiezo niet waarom bedrijven in het algemeen de sources niet vrij geven....
volgens mij is het zwakheid,.. omdat er altijd fouten in zitten die ze niet toe willen geven..
en om te verbergen dat ze eigenlijk helemaal niet zoveel veranderd hebben als ze weer eens een nieuwe versie uit brengen...
maargoe... die discusie was al gevoerd geloos ik....
viper @Verwijderd9 september 2001 01:26
Ja ok, er zullen misschien fouten in zitten. je moet natuurlijk wel nagaan, heb blijven wel mensen die het moeten programmeren. en aan ALLES denken is bijna onmogelijk.
Disciplus-Simplex 8 september 2001 14:09
Hele goede zaak! Hoewel je behoorlijk verstand van zaken moet hebben, is het nu dan toch mogelijk om o.a. op bugjacht te gaan. Eventuele backdoors zijn natuurlijk ook killing voor encryptie-software zoals PGP en deze zijn dan ook op te sporen.
Persoonlijk ben ik van mening dat open-source ideaal (zelfs noodzakelijk) is voor beveiligingssoftware. De veiligheid van encryptie-software zit hem namelijk niet in het verborgen houden van source maar in de kracht van het encryptie-algorithme (deze was gelukkig al open-source). Deze is vrij eenvoudig voor wat betreft PGP maar wel zeer krachtig. D'r is nog geen enkele wiskundige die een shortcut heeft bedacht om het algorithme te hacken en dus moet het brute-force (zoals bij de koe).
Deze 'nieuwe' betrouwbaarheid krijgt hopelijk veel navolging al is het alleen maar om de burger meer vertrouwen te geven in de veiligheid die internet wel degelijk kan bieden.
Verwijderd 9 september 2001 20:48
heel leuk allemaal hoor, maar kunnen ze op die manier niet de code van de emailencryptie die je toevoegd aan je mailtje, ontcijferen?
Lijkt mij van wel, en dan kan ik me voorstellen dat mensen die TOP SECRET dingen mailen dit dus niet zo fijn vinden........
Verwijderd @Verwijderd9 september 2001 21:17
Nee, want dat is nu het leuke van public key encryptie. Al heb je het algorithme, dan nog heb je niet meteen de sleutel tot decryptie. 8-)
De encryptie wordt gedaan met 2 verschillende sleutels, terwijl een buitenstaander nooit zomaar deze twee heeft. Hooguit de public key, en dat is niet genoeg.
Verwijderd 8 september 2001 13:37
Nou.. echt opensource is dat dus ook niet... tenminste niet zoals we gewent zijn..

maar.. ik denk dat het geen slechte zet is. zo wordt het programma gewoon beter omdat bugs veel eerder gevonden worden....
en vooral bij dergelijke programma's is dat een must!<div class=r>[Reaktie gewijzigd door [ocr]]</div><!-- end -->

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq