而且本來設計加密系統時,就不能假設敵人不知道你的演算法。這雖然在資訊業界是常識,但可能還不到全民的共識,我們這邊可以做的是,如果有人質疑 open source system 的資安如何,我們可以說你們自己已經做過滲透測試、紅隊測試等等,而符合軟體的料件清單的國際標準,其實會更安全,這個部分我們可以出來講,因為我們是資安的主管機關。
而且本來設計加密系統時,就不能假設敵人不知道你的演算法。這雖然在資訊業界是常識,但可能還不到全民的共識,我們這邊可以做的是,如果有人質疑 open source system 的資安如何,我們可以說你們自己已經做過滲透測試、紅隊測試等等,而符合軟體的料件清單的國際標準,其實會更安全,這個部分我們可以出來講,因為我們是資安的主管機關。