Kan encryptie-software alleen veilig zijn als het opensource is?
- October 2, 2017
- 0
Harld Roling, internet-risicoanalist
“Nee, niet alle opensource-versleutingssoftware is veilig. Een club programmeurs die wat maakt en het op Github zet, ontwikkelt niet per se veilige software. OpenSSL en OpenVPN zijn als vergelijkbare projecten begonnen en de afgelopen tijd is gebleken dat die software (al langere tijd) kritieke beveiligingslekken heeft. Hoe dat kan? De community heeft geen geld en/of kennis om een gedegen audit op de code uit te voeren en bedrijven gebruiken de software zonder er goed naar te kijken. Software die geschreven is door specialisten en gecontroleerd en gecertificeerd is door een (extern) auditbedrijf, heeft in mijn ogen de hoogste betrouwbaarheid. Helaas is dat zelden open-source.’’
Edwin van Andel, ethisch hacker Zerocopter
“Nee, niet per se. Het probleem is dat alhoewel iedereen de broncode van een opensource-project kan inzien en beoordelen, niemand dat daadwerkelijk doet. Meestal omdat men ervan uitgaat dat een ander dat al gedaan heeft. Daarnaast moet je ook alle geïmporteerde plug-ins checken, wat vaak vergeten wordt. Tevens zijn er veel opensource-projecten te vinden in de categorie ‘roll your own crypto’, soms voorzien van extreem grote, logische fouten. Een closedsource-project is natuurlijk moeilijker te controleren op bugs en achterdeurtjes, maar over het algemeen is het vertrouwen in de verantwoordelijke partij voldoende om er toch gebruik van te maken.”
Loran Kloeze, cybersecurity-specialist Ralon
“Nee; het een staat wat mij betreft los van het ander. Of software opensource is zegt niet direct veel over de veiligheid ervan. Opensource maakt software niet per se veiliger maar maakt het wel beter controleerbaar. Dat geldt dus ook voor versleutelingssoftware. Als je het hebt over versleutelingssoftware dan denk je al gauw aan achterdeurtjes en opzettelijke zwakheden. Het bestaan daarvan is wél te achterhalen als de software opensource is. Dus ik onderschrijf de stelling niet, maar ik vind wel dat versleutelingssoftware opensource moet zijn zodat controleerbaar is of er geen achterdeurtjes of opzettelijke zwakheden zijn aangebracht.’’
Joris Peterse, redacteur PCM
“Ja, dat is de enige manier waarop experts op een onafhankelijke manier kunnen verifiëren of de software voldoende beveiligt. Dit is vooral voor versleutelingsprogramma’s noodzakelijk. Bij andere beveiligingssoftware, zoals antivirus, is de broncode niet van belang voor de eindgebruiker. De antivirus beveiligt, de broncode is juist interessant voor malwaremakers, die zo kwetsbaarheden kunnen opsporen en uitbuiten. Bij versleutelingstools ligt dat anders, de methode is het doel. Jij hebt er belang bij dat je bestanden versleuteld worden en dat kun je alleen maar bewijzen door open kaart te spelen. Daarom blijf ik ver bij tools als Bitlocker vandaan. Ik weet simpelweg niet of het veilig is.’’