Digital smittesporing - Åpen kildekode?



Simulas hovedmål for appen er å lage en løsning som er et godt egnet verktøy for å spore smitte; bidra til å begrense epidemien; være minst mulig inngripende; og ikke skape nye utfordringer for personvern og datasikkerhet. Simula mener at å gjøre kildekoden til appen åpent tilgjengelig nå ikke bidrar til mer personvern eller bedre sikkerhet.

...

Åpen kildekode bidrar i noen sammenhenger til at koden blir sikrere. Dette skjer gjennom at det er flere som studerer koden, og som derfor kan oppdage sikkerhetshull.


Det er her de misforstår. Det er i og for seg riktig det de sier, men det viktigste aspektet med fri kildekode er at det tvinger deg til å tenke annerledes om hvordan du behandler dataene. Når koden er åpen og fritt tilgjengelig, så blir man nødt til å sørge for at algoritmene, protokollene og måten dataene behandles på i appen, ved overføring og ved lagring er uten bakdører og sikkerhetshull. Det må man egentlig dersom kildekoden ikke er fri også, men mange tror at den endelig genererte koden er for vanskelig å lese, eller at obfuskeringsteknikkene de bruker gjør den umulig å tolke, og tar dermed noen snarveier som gjør systemet sårbart. (Legg til en knivsodd hastverk, så er oppskriften komplett.)

Med andre ord: Appen blir ikke sikrere av at man holder kildekoden lukket. Tvert imot, er det større sjanser for at feil som kan føre til sikkerhetsbrister ikke blir oppdaget i tide. I tillegg mister man innspill og hjelp underveis i utviklingen. Om man organiserte dette som et fritt utviklingsprosjekt fra starten av, kunne interesserte og kompetente utviklere, kryptografer, protokolldesignere osv bidratt med innspill og rettelser fra dag én.

Nå ender man i stedet med en lukket og høyst sannsynlig sårbar app som det allerede før lansering er gode grunner til å avskrive, eller i hvertfall være avventende til. Jeg blir overrasket om det går mer enn et par dager etter lansering før de første sikkerhetshullene blir avdekket.

#norsk #norge #samfunn #personvern #fri-kildekode #fhi #simula #smittesporingsapp
@Christoffer Tallerås :noreg:

Føkk simula


Ikke enig i det. De er et oppegående miljø som bidrar mye til programvareutviklingsmiljøene i Norge, både som konsulenter, rådgivere og som samarbeidspartnere i forskningsprosjekter. Det forhindrer meg ikke å være uenige med dem i enkelte ting, som f.eks. i vurderingen de har gjort i denne saken.
Logg på for å delta i samtalen
Snabelen.no

Ein norsk tenar for den desentraliserte sosiale media platformen Mastodon.