Ага, рассмотрим 2 ситуации:
1) я написал программу шифрования (с открытым кодом конечно) выложил её указал какую стойкость ключей и какие алгоритмы я использую она понравилась... ну скажем 10 пользователям. Вероятность для линукс систем, что её скачали админы попробовать процентов 90%, обычные пользователи просто её не найдут, для винды будет, наверное, будет 50/50, потому что халявная прога (с открытым кодом) для винды нужнее и то что пользователь залезет в код минимальна.
2) моей проге уже года 4, я добавил штук 5 разных алгоритмов шифрования и их комбинаций, добавил скинов, написал инструкции по пользованию, открыл форум с обсуждением фич и т.д. И даже если прогу скачало всего 100 человек, вероятность того что один из них окажется программистом понимающим код и прочитает его весь (а именно реализацию нужной ему функции, не обязательно десятки тысяч строчек) составляет 99,99%, так же 99,99% то что об этом он напишет в блоге или на форуме в этом случае (без учёта пункта 1) вероятность раскрытия составит 66,99%.
Кроме того обычно подобные реализации включают в дистрибутивы или репозитории, а прежде чем включить сообщество полностью исследует код. Так что тут либо забвение с включённым универсальным кодом либо суд сообщества и такое забвение
К примеру рекламируемый мной код LUKs я читал и понял структуру и реализацию, а trucrypt не понял до конца из-за глубокой интеграции gui, и только поэтому доверяю ему меньше, чем LUKs и pgp.