<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sun, Dec 22, 2013 at 4:59 PM, Bill Cox <span dir="ltr"><<a href="mailto:waywardgeek@gmail.com" target="_blank">waywardgeek@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr">Nonsense.  Most other equally capable developers should be able to discover a backdoor with far less effort to hide it.  Reading other people's code is a skill that some people never acquire, but it's generally easier to understand someone else's code entirely than to have created it from scratch.</div>
</blockquote><div><br></div><div><a href="http://cm.bell-labs.com/who/ken/trust.html">http://cm.bell-labs.com/who/ken/trust.html</a><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<div dir="ltr"><div>
<br></div><div>If the code is so obscure that this is not the case, that code should not be used in crypto.  </div></div></blockquote><div><br></div><div>But how will we do crypto then? :)</div><div><br></div><div>Open source can certainly help, but it's far from a panacea. Even huge projects like Ruby on Rails, PHP, even Linux, still have huge security holes (code execution, privilege escalation) that have been there for years and were *not* obscured. You're assuming that, not only will anyone look at your code at all, they will have training in cryptography, know to be looking for something bad, and spend a large amount of time on finding it. All very big "if's."</div>
<div><br></div><div>I am not suggesting that closed source provides much more than obscurity and a simpler route to profits, but the act of open sourcing your software accomplishes nothing if nobody qualified actually reads it (apart from giving you the PR benefit of being able to say "we're open source.")</div>
<div><br></div><div>History has shown countless times that open sourcing alone doesn't fix bad code practices; it's not likely to more readily fix malicious ones.</div></div></div></div>