Не знаю как сейчас, но в прошлом проблема с созданием криптографических стандартов — это проблема доверия: если некто предлагает конкретную версию алгоритма для стандартизации, все прочие считают, что он уже знает, как её взломать. И не без оснований, как показывает история с Dual_EC_DRBG.
А с исходным кодом и внушительным инженерным процессом — у семи нянек дитя без глазу, или “Only two remote holes in the default install, in a heck of a long time!”
Стандарты проходят похожий путь. Желающие предлагают и публикуют свои работы другие желающие их оценивают, кто-то формализует proposed стандарт, это все б/м открыто обсуждается (я - за полный доступ к таким обсуждениям). В результате заметно повышается (конечно не до 1) вероятность отсутствия backdoors в алгоритмах.
И работа по поиску недостатков в уже существующих алгоритмах не прекращается и после стандартизации. Только больше людей участвуют. Ибо уже стандарт и используется все больше.
Так что "всё прочие" только тем и заняты, что ищут уязвимости. И иногда находят.
В криптографии проблема что алгоритм может быть специально сделан так что имеет секретную отмычку но наличие или отсутствие этой отмычки невозможно доказать просто глядя на алгоритм или его реализацию. Плюс, отмычка может быть спроектирована только для использования на нетривиальных вычислительных ресурсах, доступных только серьёзным дядям (а что будет через десяток лет — ну мы знаем притчу).
Я не спорю что открытый код несколько лучше чем закрытый, но это не значит, что открытый код безопасен, или закрытому никогда нельзя верить.
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
no subject
Date: 2023-04-04 20:19 (UTC)А с исходным кодом и внушительным инженерным процессом — у семи нянек дитя без глазу, или “Only two remote holes in the default install, in a heck of a long time!”
no subject
Date: 2023-04-04 20:34 (UTC)Желающие предлагают и публикуют свои работы другие желающие их оценивают, кто-то формализует proposed стандарт, это все б/м открыто обсуждается (я - за полный доступ к таким обсуждениям).
В результате заметно повышается (конечно не до 1) вероятность отсутствия backdoors в алгоритмах.
И работа по поиску недостатков в уже существующих алгоритмах не прекращается и после стандартизации. Только больше людей участвуют. Ибо уже стандарт и используется все больше.
Так что "всё прочие" только тем и заняты, что ищут уязвимости. И иногда находят.
no subject
Date: 2023-04-04 20:41 (UTC)Я не спорю что открытый код несколько лучше чем закрытый, но это не значит, что открытый код безопасен, или закрытому никогда нельзя верить.