Kan encryptie-software alleen veilig zijn als het opensource is?

De afgelopen jaren zijn bij tal van computerprogramma’s fouten en achterdeurtjes (backdoors) ontdekt, ook bij encryptie-software. Bij opensource-software zijn zulke problemen door buitenstaanders eenvoudiger te ontdekken dan bij closedsource-software, waarbij je maar moet geloven dat het veilig is. PCM vraagt experts of versleutelingssoftware daarom veiliger is.

Harld Roling, internet-risicoanalist

“Nee, niet alle opensource-versleutingssoftware is veilig. Een club programmeurs die wat maakt en het op Github zet, ontwikkelt niet per se veilige software. OpenSSL en OpenVPN zijn als vergelijkbare projecten begonnen en de afgelopen tijd is gebleken dat die software (al langere tijd) kritieke beveiligingslekken heeft. Hoe dat kan? De community heeft geen geld en/of kennis om een gedegen audit op de code uit te voeren en bedrijven gebruiken de software zonder er goed naar te kijken. Software die geschreven is door specialisten en gecontroleerd en gecertificeerd is door een (extern) auditbedrijf, heeft in mijn ogen de hoogste betrouwbaarheid. Helaas is dat zelden open-source.’’

Edwin van Andel, ethisch hacker Zerocopter

“Nee, niet per se. Het probleem is dat alhoewel iedereen de broncode van een opensource-project kan inzien en beoordelen, niemand dat daadwerkelijk doet. Meestal omdat men ervan uitgaat dat een ander dat al gedaan heeft. Daarnaast moet je ook alle geïmporteerde plug-ins checken, wat vaak vergeten wordt. Tevens zijn er veel opensource-projecten te vinden in de categorie ‘roll your own crypto’, soms voorzien van extreem grote, logische fouten. Een closedsource-project is natuurlijk moeilijker te controleren op bugs en achterdeurtjes, maar over het algemeen is het vertrouwen in de verantwoordelijke partij voldoende om er toch gebruik van te maken.”

Loran Kloeze, cybersecurity-specialist Ralon

“Nee; het een staat wat mij betreft los van het ander. Of software opensource is zegt niet direct veel over de veiligheid ervan. Opensource maakt software niet per se veiliger maar maakt het wel beter controleerbaar. Dat geldt dus ook voor versleutelingssoftware. Als je het hebt over versleutelingssoftware dan denk je al gauw aan achterdeurtjes en opzettelijke zwakheden. Het bestaan daarvan is wél te achterhalen als de software opensource is. Dus ik onderschrijf de stelling niet, maar ik vind wel dat versleutelingssoftware opensource moet zijn zodat controleerbaar is of er geen achterdeurtjes of opzettelijke zwakheden zijn aangebracht.’’

Joris Peterse, redacteur PCM

“Ja, dat is de enige manier waarop experts op een onafhankelijke manier kunnen verifiëren of de software voldoende beveiligt. Dit is vooral voor versleutelingsprogramma’s noodzakelijk. Bij andere beveiligingssoftware, zoals antivirus, is de broncode niet van belang voor de eindgebruiker. De antivirus beveiligt, de broncode is juist interessant voor malwaremakers, die zo kwetsbaarheden kunnen opsporen en uitbuiten. Bij versleutelingstools ligt dat anders, de methode is het doel. Jij hebt er belang bij dat je bestanden versleuteld worden en dat kun je alleen maar bewijzen door open kaart te spelen. Daarom blijf ik ver bij tools als Bitlocker vandaan. Ik weet simpelweg niet of het veilig is.’’

NEDLINUX FORUM

Het nederlandse linuxforum
Voor beginners en pro’s

 

 

 

 

E-mailadres



 

 

Nieuwste editie:

Linuxmag op Facebook

@linuxmagnl op Twitter

linuxmagNL Linux Nieuws: @SUSE bestaat 25 jaar en trakteert! Maak kans op entreeticket voor #SUSECON in Praag, zie link!… https://t.co/ENJKDvyZQ8
linuxmagNL De nieuwe editie van Linux Magazine is weer uit! Thema: bescherm jezelf tegen hackers met Linux. Veel leesplezier a… https://t.co/Zcy3Zdjb90
linuxmagNL Ook de Red Hat Forum BeNeLux 2017 mag je dit jaar niet missen. 10 oktober 2017, zet het in je agenda! https://t.co/niY9UdK3Ov