security by obscurity - CIO Sweden:

Funkar det, så funkar det

Av

1883 lade den nederländske språkvetaren och kryptografen Auguste Kerckhoffs fram sex principer för design av kryptosystem:

1) Det bör vara oknäckbart i praktiken, om än inte i teorin.
2) Det bör inte bygga på att designen hålls hemlig. Om designen blir känd ska det inte påverka dem som kommunicerar via systemet.
3) Kryptonyckeln bör gå att minnas utan att man skriver ner den, och bör vara lätt att ändra.
4) Kryptot bör gå att sända via telegram.
5) De apparater/dokument som används bör vara portabla och kunna skötas av en enda person.
6) Det ska vara lätt att använda. Det ska inte kräva kunskap om en lång lista med regler eller kräva mental ansträngning. 

Princip nummer två har blivit känd som Kerckhoffs princip. Idag tolkas den som att ett krypto blir starkare ju fler personer som kan granska algoritmen och hitta fel i den. I akademiska kretsar är detta accepterat. I militära och underrättelsekretsar antar man tvärtom att de som har störst resurser att hitta sårbarheter i algoritmerna också har störst incitament att hålla tyst om det: Fienden.

Anhängarna av öppna system  framhåller gärna hur stora företag på den gamla onda tiden rutinmässigt ignorerade buggrapporter. I vissa fall bussade de onda företagen till och med sina ännu ondare ­jurister på de små sanningssägarna. 

Ganska nyligen visade det sig att elektroniska röstningsmaskiner innehållit allvarliga buggar – maskiner som använts vid presidentval i USA. 

Kanske skulle de elektroniska valurnorna vara säkrare om källkoden varit öppen. Åtminstone borde buggarna bli färre. Samtidigt skulle en aktör med stora resurser få mycket lättare att finkamma koden efter sårbarheter och sedan använda dem i all tysthet. Tror ni det finns något stort företag med it-­kunskap som satsat mycket pengar på en viss presidentkandidat i USA? Jag tror det finns flera. 

Det finns ett gammalt militärt uttryck: Om det ser dumt ut men funkar – så är det inte dumt. ”Security by obscurity” kan säkert vara ett bra komplement till andra säkerhetsåtgärder, i många fall. Och öppenhet är säkert bra för säkerhet, i många fall. Vad som är bäst i ditt system beror på hotbild, hur ditt system är skapat och hur ni använder det. ]


Gratis nyhetsbrev -- Nyheter från CIO Sweden i din e-post varje vecka

Whitepaper: Konvertera snack till pengar


Vi håller just nu på att uppgradera våra kommentarsystem. Mer info om hur du kommenterar och kommer åt dina gamla kommentarer hittar du på vår FAQ: idg.se/faq

Artikelkommentatorerna ansvarar själva för sina inlägg.

OBS! Läs dessa regler som gäller vid postning av inlägg.

Regler för inlägg i artikelforumet

Kommentatorn ansvarar själv för sina inlägg. Inlägg som innehåller diskriminerande uttalanden, personliga påhopp eller språk som kan uppfattas som stötande, kommer att tas bort av tjänstgörande redaktör. Även datorkrigsinlägg och inlägg som är utanför ämnet, kan tas bort.

IDG förbehåller sig dessutom rätten att i varje enskilt fall bedöma huruvida ett inlägg ska tas bort, även om det inte faller under någon av reglerna ovan.

Upprepat postande av olämpliga inlägg kan medföra avstängning från artikelforumen.

Frågor? Mejla till redaktören, carl.grape@idg.se.

Läs mer om vår policy i diskussionsforum

Senaste nytt


Fler nyheter från CIO Sweden

- CIO Sweden:

Nytt analysverktyg för tågsignalsystem i Europa

Nytt verktyg testar säkerheten i tågsignalsystem


- CIO Sweden:

De kan bli Årets CIO 2014


- CIO Sweden:

Fem i final: Projekten som kan bli Årets projekt 2014


- CIO Sweden:

Fem i final: Projekten som kan bli Årets hållbara projekt 2014


- CIO Sweden:

Företag som omfamnar ny teknik når bättre affärsresultat


- CIO Sweden:

5 saker varje ny chef bör göra

6 saker varje ny chef bör göra


- CIO Sweden:

Daniel Karlsson, It-direktör, Transportstyrelsen

Stora it-projekt hos Transport-styrelsen


- CIO Sweden:

”Drömmen om att
pröva sin dröm”


- CIO Sweden:

Myndigheter vill ha tillgång till användardata


- CIO Sweden:

Allt fler annonserar i webb-tv


- CIO Sweden:

Nytt program ska hjälpa studenter med adhd


- CIO Sweden:

Ny app håller koll på övertiden

Ny app håller koll på övertiden


- CIO Sweden:

Verktyget som ska underlätta framtidens stadsplanering


- CIO Sweden:

Korkat med e-röstning, tycker KTH-professorn


- CIO Sweden:

5 it-roller för framtiden


- CIO Sweden:

Missnöje med it-budgeten i offentlig sektor

Missnöje med it-budgeten i offentlig sektor


- CIO Sweden:

Robert Lisborg, it-chef på Kristdemokraterna

Digitala kanaler ställer nya krav på KD:s it-arbete


- CIO Sweden:

Obehöriga fiskar hemlig information hos Miljöpartiet


- CIO Sweden:

Kaj Johansson

Vänsterpartiets it-chef: "Kraven på driftssidan ökar under ett valår"


- CIO Sweden:

Dataintrång

Dataintrånget blev ett bryskt uppvaknande

Poddradio

Karriärpodden

CIO Awards 10 år

Nytt nummer ute nu

CIO Sweden 5/2014

Arena för IT

Månadens CIO

- CIO Sweden:

Daniel Karlsson, It-direktör, Transportstyrelsen

Stora it-projekt hos Transport-styrelsen

Annons: Partnerkrönikor

Extremväder ställer krav på disaster recovery


Ute: pris per timme. Inne: affärsnytta

CIO Lägesrapport

Bio med CIO

Krönikor

- CIO Sweden:

Titta mot Vintergatan för att förbättra er enterprise arkitektur


- CIO Sweden:

Spegel, spegel säg mig vilken arkitektur jag får


- CIO Sweden:

Stabil och dynamisk arkitektur - finns det?

CIO-bloggat

Mest läst just nu


CIO överallt

CIO Sweden på:           

Artikelarkivet

CIO överallt


Håll koll med våra nyhetsbrev – CIO-brevet, Ledarskap & Styrning och SOA/EA. Anmäl dig här!

Köp CIO Sweden som PDF i IDG Shop.

Följ oss på:           





Aktuella event

Rekryterar just nu

Har du synpunkter på sajten? Kontakta sajtansvarig Alexandra Heymowska.

Kontakta CIO Sweden
  Adress: Karlbergsvägen 77, 106 78 Stockholm.
Telefon: 08-453 60 00 [Karta
  Om cookies, personuppgifter & copyright

Copyright © 1996-2012 International Data Group