Идиоты от криптографии продолжают жечь

[sporaw]

А ведь я реально знаю идиотов, кто это дерьмо использовал :))

Типичный опенсорц, типичное поделье специалистов типа как вот с этим чудом (практически то же :)) или с Debian random()

Специалист по информационной безопасности Стив Томас (Steve Thomas) опубликовал критический обзор программы для «защищенных» чатов» Cryptocat. Эту программу и раньше

Comments

[netch]

Увы, в случае GnuPG имеем тот факт, что "узок их круг, страшно далеки они от народа" ([некто В.И.Ульянов]). Сама по себе как поделка для своей целевой задачи она неплоха. Но кто, простите, сейчас использует почту как основное средство общение, кроме закоренелых старперов? И как GnuPG поможет программе чата? Постоянно возникают новые применения, новые протоколы взаимодействия, которые не укладываются в старые схемы.

Прочитав тут про эти баги, я задался вопросом: поставим себя на место хотя бы минимально грамотного хакера, который мог бы тут помочь. Вот я, например, никак не спец в криптографии, но именно эти ляпы точно не допустил бы (и мой результат, вероятно, не прошёл бы какую-нибудь хитрую атаку - но банальных ляпов точно не было бы). Но, с другой стороны, как авторы того же Cryptocat применили бы мою помощь, если они вообще не думают о том, что в этих областях надо хотя бы прочитать Шнайера, а дальше привлечь внимательные глаза? Тут поможет только общий уровень культуры - люди должны слышать как минимум с первого курса вуза, что криптография на коленке не придумывается. И, в случае opensource, пул людей, которые согласны помочь бесплатно (в обмен на ссылки и репутацию); а авторы проектов - должны быть готовы признать, что они не всё умеют, и принять такую помощь (а с этим проблема - так как opensource больше чем наполовину строится на персональных амбициях, многие участники не в состоянии признать, что они с чем-то не справятся).

Вынося из предыдущего абзаца - "варясь" в opensource последние 15 лет, я считаю, что одновременно самым большим плюсом и самым большим минусом его является источник движения в виде не денег, а персональных неоплачиваемых и некоммерциализирующихся амбиций. Амбиции помогают что-то двигать, но они не коррелируют с умом, грамотностью, способностью работать в группе или просто взаимодействовать с людьми, и т.д. Соответственно, мы получаем результаты в диапазоне от гениального продукта до абсолютного дерьма. Зато, в отличие от коммерческого, если кто-то согласен переделать дерьмо в приемлемое, то у него есть возможность и шансы;)