W dniu sobota, 3 listopada 2018 08:53:22 UTC+1 użytkownik s...@g...com napisał:
> > W jaki sposób możliwość swobodnego dociekania tego, co robi Twój komputer,
> > miałaby być spiskiem przeciwko Tobie, jest dla mnie tajemnicą.
>
> Nie co robi mój komputer, tylko twój. I tu nie ma spisku.
>
> > W jaki sposób możliwość czytania źródeł programów komputerowych miałaby
> > mnie zmieniać w "klepacza", wymyka się mojemu zrozumieniu.
>
> Powtórzę to jeszcze raz: "potrzeba jest matką wynalazków". Amerykanie eliminują
zaawansowane potrzeby przez darmowy soft. Jak masz szefa i chce on bezpiecznej
komunikacji to każe Ci wybrać darmową bibliotekę do szyfrowania a nie napisać własną.

Wygląda na to, że kolega ma dużo doświadczenia z różnymi szefami.

Miałeś w życiu chociaż jednego?

Otóż: jeżeli chcesz "bezpiecznej" komunikacji z istniejącymi systemami,
to siłą rzeczy musisz wybrać protokół, który istniejące systemy wspierają.

Natomiast na różne doraźne potrzeby często się robi doraźne metody
szyfrowania. Istnieją proste metody szyfrowania, które gwarantują
bezpieczeństwo (szyfr Vigenere'a z odpowiednio długim kluczem).

Ja kiedyś robiłem AESa na embedded, posiłkując się istniejacymi
źródłami, bo obsługa AESa była wymagana.
Podobno AES jest mocny, w tym sensie, że nie są znane drogi na skróty
i złamanie go wymaga odpowiednio dużej mocy obliczeniowej.
Ale nie wiadomo, czy nie ma osób, które nie znają żadnych dróg na skróty.

Kilka lat temu było głośno o tym, że w bibliotece SSL ktoś znalazł
klasyczny błąd przepełnienia bufora ("heartbleed"). Przez długie lata
exploit był otwarty dla krakerów (którzy pewnie z niego korzystali).
W oprogramowaniu o zamkniętych źródłach exploity pewnie ciężej znaleźć,
a ich naprawianie odbywa się po cichu.

Nie jest też żadną tajemnicą, że szyfrowanie RSA (które ma tę zaletę,
że można bezpiecznie wymienić klucz szyfrujący na podsłuchiwanym kanale
komunikacyjnym) opiera się na złożoności obliczeniowej faktoryzacji
dużych liczb pierwszych, i że komputer kwantowy może złamać ten
szyfr z łatwością ("algorytm Shora").

Mnie osobiście kryptografia nigdy nie szczególnie interesowała,
ale osoby zainteresowane tematem nie będą miały problemu z dostępnością
literatury.

> Podobnie z bazą danych: tego nawet nie uczą na studiach w Polsze jak się pisze
takie transakcyjne bazy danych... To jest sedno problemu!

Owo "sedno problemu" nijak się ma do rzekomego spisku, o którym mówisz.
Wiedza o tym, jak to wszystko działa, jest dostępna w Internecie, za darmo.
Wystarczy po nią sięgnąć.

Idea, że open source sprzyja "klepactwu", nie wytrzymuje krytyki
w konfrontacji z faktem, że zamiast udostępniać źródła, można by było
po prostu dawać biblioteki w wersji skompilowanej, których nie możesz
przestudiować, i przy korzystaniu z których możesz się zdać wyłącznie
na dokumentację dostarczoną przez producenta.

Nota bene, przed ruchem open source rzeczywiście tak było.
Kolega z poprzedniej pracy opowiadał mi, że kiedyś przy korzystaniu
z WinAPI musiał wspierać się lekturą źródeł Wine'a, bo dokumentacja
od Microsoftu była tak uboga.