<div dir="ltr">Nonsense.  Most other equally capable developers should be able to discover a backdoor with far less effort to hide it.  Reading other people's code is a skill that some people never acquire, but it's generally easier to understand someone else's code entirely than to have created it from scratch.<div>
<br></div><div>If the code is so obscure that this is not the case, that code should not be used in crypto.  I'll just point out that gtksu falls exactly into this category, yet we continue to use it... it really deserves to be retired.  Open source is *very* helpful, but if the people with the decision power over what to include are far more ignorant than the coders... well then just forget security.</div>
</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sun, Dec 22, 2013 at 4:38 PM, Peter Gutmann <span dir="ltr"><<a href="mailto:pgut001@cs.auckland.ac.nz" target="_blank">pgut001@cs.auckland.ac.nz</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">Ralf Senderek <<a href="mailto:crypto@senderek.ie">crypto@senderek.ie</a>> writes:<br>
<br>
>Isn't the most obvious conclusion that no crypto tool can be secure if it is<br>
>not open source?<br>
<br>
</div>That won't help things much: Any sufficiently capable developer of crypto<br>
software should be competent enought to backdoor their own source code in such<br>
a way that it can't be detected by an audit.  If you're capable of dealing<br>
with exotic side-channel and timing attacks, countering weird obscure<br>
mathemtatical properties of cryptosystems to avoid leaking keys, and all<br>
manner of other tricks, then you had better be capable of backdooring your<br>
code as well.<br>
<br>
Availability of source code is not soy sauce for security.<br>
<span class="HOEnZb"><font color="#888888"><br>
Peter.<br>
</font></span><div class="HOEnZb"><div class="h5">_______________________________________________<br>
The cryptography mailing list<br>
<a href="mailto:cryptography@metzdowd.com">cryptography@metzdowd.com</a><br>
<a href="http://www.metzdowd.com/mailman/listinfo/cryptography" target="_blank">http://www.metzdowd.com/mailman/listinfo/cryptography</a><br>
</div></div></blockquote></div><br></div>