<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Fri, Jul 31, 2015 at 1:34 PM, Ben Laurie <span dir="ltr"><<a href="mailto:ben@links.org" target="_blank">ben@links.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><span class=""><div dir="ltr">On Thu, 30 Jul 2015 at 08:37 Ralf Senderek <<a href="mailto:crypto@senderek.ie" target="_blank">crypto@senderek.ie</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">While static code analysers will work with C code, they might be less<br>
valuable when it comes to reviewing the ksh scripts. These scripts<br>
represent the logic of the message encryption scheme and a review<br>
needs to focus on the security of the ideas, they're based on.<br></blockquote><div><br></div></span><div>Perhaps you should consider writing those scripts in a language that lends itself to analysis?</div></div></div></blockquote><div><br></div><div>How are the scripts being used?</div><div><br></div><div>Scripts that run with SUID/SGID permissions are difficult.</div><div>Many *nix disable the SGID/SGID permission bit for scripts because of the security </div><div>challenges.</div><div><a href="http://stackoverflow.com/questions/18698976/suid-not-working-with-shell-script">http://stackoverflow.com/questions/18698976/suid-not-working-with-shell-script</a><br></div><div><br></div><div>If SUID/SGID is not an issue then never mind...</div><div><br></div><div><br></div><div><br></div></div>-- <br><div class="gmail_signature"><div dir="ltr">  T o m    M i t c h e l l</div></div>
</div></div>