<div dir="ltr"><div>Probably worth remembering that the basis for determining that something is exempt from FOI under national security grounds only requires a determination that the release of the information has the potential to cause some level of harm/damage to the government or public.</div><div><br></div><div>They could very easily block it on the basis that the solution is currently operational, and a flaw identified by a threat actor on the basis that it was open sourced would likely result in harm to the public or government interests. A discussion about technical compliance to ISM requirements doesn't even come into it.</div><div><br></div><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">-Matthew<br></div></div></div><br></div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Sat, 3 Jan 2026 at 12:46, Glen Turner via linux-aus <<a href="mailto:linux-aus@lists.linux.org.au">linux-aus@lists.linux.org.au</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
1) a FOI request might not result in the Code Generator source code,<br>
but FOI should be able to illuminate the decision making around how the<br>
app came to be, say versus a list of recommended TOTP apps.<br>
<br>
2) a potential claim that the app has a national security sensitivity<br>
would imply the agency has done a lot of paperwork to meet the<br>
requirements of a novel national security cryptographic system, and<br>
some of that may be obtainable by FOI. In particular the list of ISM<br>
exceptions would be long and fundamental, eg: the TOTP secret key does<br>
not roll over often enough, the app is fielded onto uncontrolled<br>
hardware and unmanaged operating systems.<br>
<br>
-glen<br>
_______________________________________________<br>
linux-aus mailing list<br>
<a href="mailto:linux-aus@lists.linux.org.au" target="_blank">linux-aus@lists.linux.org.au</a><br>
<a href="https://lists.linux.org.au/mailman/listinfo/linux-aus" rel="noreferrer" target="_blank">https://lists.linux.org.au/mailman/listinfo/linux-aus</a><br>
<br>
To unsubscribe from this list, send a blank email to<br>
<a href="mailto:linux-aus-unsubscribe@lists.linux.org.au" target="_blank">linux-aus-unsubscribe@lists.linux.org.au</a><br>
</blockquote></div>