Open Source geht nicht zu Lasten der Sicherheit



  • Quelloffene Verschlüsselung
    Open Source geht nicht zu Lasten der Sicherheit

    Open Source steht für ein Modell der Software-Entwicklung, das neben einer Anwendung auch deren Quelltext veröffentlicht. Bei einer Verschlüsselungssoftware scheint das auf den ersten Blick nachteilig, hat aber tatsächlich einige Vorteile.

    zum Artikel



  • Die Bildunterschrift ist sachlich falsch. Im Text daneben steht es richtig. Die Veröffentlichung der Verschlüsselungsalgorithmen spielt für die Sicherheit keine Rolle.



  • Danke für den Hinweis,

    da ohnehin ein Rechtschreibfehler darin war, habe ich die BU einfach einmal komplett getauscht.

    Beste Grüße

    Stephan Augsten



  • Doch! Da Sicherheitslücken nur mehr oder weniger zufällig gefunden werden, läßt sich über das Sicherheitsniveau gar NICHTS sagen. Folgendes muss Security getestet werden:
    1. Die Sicherheitsarchitektur der Open Source Lösung - ist die überhaupt veröffentlicht oder gibts am Ende gar keine?
    2. Der Quellcode muss mit Static Source Code Analysis auf Sicherheitslücken überprüft werden. Und: Ist denn überhaupt der mathematische Algorithmus exakt implementiert oder fehlt etwas oder gibt es nicht-dokumentierten Code?
    3. Prüfen Sie zeitnah die Veröffentlichung von neuen Sicherheitslücken?
    4. Mit welchen Methoden wurden systematische Angriffe gegen das Open Source Produkt gefahren? Mit welcher Intensität?

    Stand der Technik ist also der Security Testing Process nach ISO 27034 Application Security.

    Herzliche Grüße
    Hartmut Pohl


Log in to reply