Это ортогональные вещи. Если у вас в штабе сидит вражеский шпион, то никакая криптография не поможет. Если же у вас плохая криптография, то вас и без шпионов разбомбят. Это разные оси безопасности, обе нужны.
А кстати, спасибо за термин, я не знал, как это называется. Можете объяснить, что такое первый принцип Керкгоффса?
Система должна быть физически, если не математически, невскрываемой

Быть разработчиком не обязательно, но весьма желательно. Если вам доверяют и ставят вашу систему к себе, то вы уже почти у цели. Осталось внедрить туда закладки, которые дадут вам доступ. Если же вы пытаетесь взломать чужую систему, которую вы не до конца понимаете, то, во-первых, вам будет труднее. Во-вторых, высока вероятность, что вы наследите. Закладки, конечно, нужно маскировать под ошибки. На минном поле у каждой мины не стоит столбик с надписью "мина находится именно здесь".

Самое смешное, это когда вы разработчик, ваш клиент уже 100 раз стал вашей жертвой и в 101 раз вам доверяет и опять ставит вашу систему. Это как раз ситуация с Линуксом.

ptr128, аналогия с ядерной и космической гонкой не совсем точная. Если мы строим ракету, то у нас есть задача - чтобы ракета полетела. Полетела ракета или нет - можно проверить, испытав её. Если ракета не полетела и мы уверены, то это немецкий инженер её испортил, то его можно расстрелять. Если же мы делаем безопасную ОС, то у нас есть две задачи - чтобы она работала и чтобы в ней не было бекдоров. Проверить, что она работает, мы можем. Проверить, что в ней нет бекдоров, мы не можем. Расстрелять заморского специалиста, который внедрил бэкдор, мы тоже не можем. Т.е. его правительство сказало ему "внедри бекдор", а мы не можем сказать ему "не внедряй бекдор, а то мы тебя убъём". Заморский специалист говорит нам: Линукс поставляется без гарантии, не хотите - не пользуйтесь. Не нравится наш код - берите другую систему. И тем самым он нас может послать, если мы даже справедливо укажем ему на те или иные слабости. Совсем не то же, что пленный немецкий инженер.

Ну ок, а если мы проверим это на примере Энигмы? Что защищали разработчики Энигмы?

Вы не ответили, откуда эта информация про количество ошибок и про то, много или мало 1700 ошибок. Честно сказать, я вообще не готов поверить в 0.17 ошибок на 1000 строк кода. Как это замеряли?

Но на самом деле я не против открытости. Но ведь 97% разработчиков в мире не участвуют в разработке линукса и не читают его исходники. И 3% не участвуют. Вы вот лично участвуете в разработке Линукса? Кто из присутствующих может показать свой вклад в линукс? Участвует ничтожное количество. Притом на сегодня, большинство разработчиков линукса работает за зарплату в американских корпорациях, которые и являются спонсорами линукса. Так что даже если этот принцип принять, то относительная малочисленность российских программистов не помешает достичь хорошего качества кода.

ptr128, она не полетела, в чём проблема? Факт налицо, ошибку нашли.

ptr128, ну вот смотрите, у нас есть два фактора - потенциально бОльшее количество разработчиков Линукса с одной стороны и невозможность их расстрелять - с другой. То, что в линуксе 20 лет был башдор - это факт. И за это никого не расстреляли. Эти два фактора работают друг против друга. Если мы их сложим, то что окажется выгоднее - использовать 3% наших программистов, которые не хотят, чтобы им на голову томагавки прилетели (их и расстреливать не надо, среди них будет не очень большой процент предателей, но если надо, то можно и расстрелять), или использовать 97% анонимов из интернета, а точнее 0,3% сотрудников американских корпораций, возможно, заверобванных АНБ и ЦРУ, зная, что у них есть прекрасные возможности заложит бекдоры, что им на нашу безопасность начхать, и что мы до них в случае чего не дотянемся.

Вы прямо так уверены, что вот этот фактор 97%/3% однозначно сильнее? Если да, то на чём основана эта уверенность? Как можно её количественно определить?

Ну неправда же. Во-первых, была коммерческая версия и была военная. Экземпляры военной машины охранялись, сейчас некогда искать пруфлинки, но я когда-то читал, что нужно было обязательно уничтожить саму машину при возникновении риска попадания её к противнику. Машину, а не только шифры.
Чуть позже, в 1927 или 1929 годах, через таможню из Германии была попытка провезти в немецкое дипломатическое консульство коробку с «Энигмой». Как это произошло и почему немцы не переслали аппарат закрытым дипломатическим каналом? Никто сейчас на это не ответит, но поляки подробно изучили устройство аппарата – этим занимались ребята из радиотехнической фирмы AVA, которая давно работала с польской разведкой. После тщательного знакомства «Энигму» передали ничего не подозревающим немецким дипломатам. Конечно, устройство коммерческой версии шифровальной машины мало чего могло дать польским криптоаналитикам, но начало было положено.

А вот цитата из Википедии, статья как раз про принцип Керкгоффса:
Большинство широко используемых в гражданской криптографии систем шифрования, в соответствии с принципом Керкгоффса, использует известные, не составляющие секрета криптографические алгоритмы. Но Агентство национальной безопасности хранит свои алгоритмы в секрете, и у них работают лучшие криптографы мира. И к тому же они обсуждают алгоритмы друг с другом, полагаясь на знание и компетенцию коллег. Соответственно, у них нет необходимости открывать алгоритмы для всех

Давайте не будем растекаться мысью по древу и постоянно менять тему - у меня не столько времени. В Ариан-5 не прошёл E2E тест, если угодно. Если бы они не пожлобились на 10 или 100 выполнений E2E теста и вложили бы достаточно ресурсов в отладку - у них бы всё полетело. Т.е. это просто недостаток ресурсов на отладку. Линукс то "летает" каждый день миллионами штук, да и любую другую ОС вполне можно потестировать. Ответьте, пожалуйста, на вопросы, которые я раньше задал.

Сотрудник Главного Управления, а что, тут нацпол разрешён? Хотите, чтобы пришли люди в сером и закрыли данную площадочку?

Не вижу причины тратить ресурсы мозга на расшифровку ваших намёков, выражайтесь более прямо. А лучше не надо, т.к. заход у вас очень провокационный.

А если посмотреть по ссылке, то в первоисточнике читаем:
· На 1000 строк кода в открытом ПО в исследователи насчитали в среднем 0,45 ошибки. Средний размер проекта с открытым исходным кодом составляет 832 000 строк кода.

· На 1000 строк кода в проприетарном ПО в исследователи обнаружили в среднем 0,64 ошибки. Средний размер такого проекта составляет 7,5 миллионов строк кода.

· Для обоих видов программных продуктов на 1000 строк кода приходится 1 ошибка.

· Наиболее качественный код, по мнению исследователей, содержится в PHP 5.3, PostgreSQL 9.1, а также Linux 2.6 с частотой ошибок 0,20, 0,21 и 0,62 соответственно.

Подробнее: https://www.securitylab.ru/news/420674.php

Во-первых, я это не распарсил, т.к. тут получается 0,45 = 0,64 = 1. Во-вторых, разрыва, который Вы рекламировали, не наблюдается. Он на проценты, а не в десятки раз. В третьих, ошибки стат.анализа - это не обязательно ошибки и не все ошибки находятся стат.анализом. Так что пока никакого подтверждения по этому пункту у Вас нет. Предлагаю либо признать, что ошиблись, либо всё же привести доказательства.

И, как вишенка на торте, критические уязвимости ЕМНИП были найдены в 2019 году в PostgreSQL, а в PHP я начал гуглить и их вообще что-то много нашлось. Так что качество кода по стат.анализатору и его реальная безопасность вообще неясно как связаны. Причём, если взять конкретно статанализ, то там есть ложноположительные срабатывания, и возможность разработчику пометить срабатывание как ложноположительное. Можно отрефакторить код так, что ложноположительного срабатывания не будет, а истинную уязвимость пометить как ложноположительную. Так что уровень защиты, к-рый даёт стат анализатор, легко обходится.

Да пусть 2%, разницы никакой.


В теории это может быть и так, но на практике 20 лет башдор. А в Crypto AG инженеры тоже находили "ошибки" в машинке, и докладывали руководству. Однако, ошибки не исправлялись, потому что они не были ошибками :) Так что наличие бета-тестеров не поможет, если в системе есть закладки, находящиеся под охраной руководства. В этой связи уместно вспомнить историю про Линуса и генератор случайных чисел. В общем, что-то не так с данной теорией. Надеюсь, я свои резоны изложил достаточно подробно (более подробно, чем по ссылке). Если они не убедили - значит, у нас с вами разные убеждения, подходы и мировосприятие, или я просто был неубедителен :) Я заинтересован в серьёзных аргументах насчёт более высокой надёжности линукса, чем проприетарных систем, но это должны быть действительно серьёзные аргументы, пока с этим не сложилось.