LINUX.ORG.RU

Закончился аудит TrueCrypt

 , ,


1

6

Общий вердикт: Truecrypt — довольно таки хорошо разработаное криптографическое программное обеспечене. Аудит NCC не обнаружили никаких доказательств преднамеренных бэкдоров, или каких-либо тяжелых конструктивных недостатков.

>>> Полный отчёт (PDF)

>>> Подробности

★★★★★

А я знаю, где там бекдор. Но вам не скажу.

anonymous ()

куратор остался доволен, теперь можно впарить высокопоставленным лохам

anonymous ()
Ответ на: комментарий от anonymous

А я знаю, где там бекдор. Но вам не скажу.

Балаболы они такие.

tazhate ★★★★★ ()

Почему в новости не написано, что аудит проходила версия 7.1a, да ещё и версия для оффтопика?

sluggard ★★★★ ()

Только трукрипта больше нет. А так да, кулл стори.

anonymous ()

Теперь я знаю, для чего разбанен аноним. Чтобы нас развлекать.

Gonzo ★★★ ()
Ответ на: комментарий от beastie

А в новости не написано, последняя версия проходила аудит, предпоследняя или ещё какая.

sluggard ★★★★ ()

Так была же лет несколько назад история с одним бразильским банкиром-жуликом. Бразильская гэбня изъяла у него диск со всей подноготной, но вот беда, диск оказался зашифрованным TrueCrypt. Они поипались 3 месяца и обратились к ФБР за помощью. ФБР еще полгода проиплось и сказало: «Да ну нах!».

anonymous ()
Ответ на: комментарий от DELIRIUM

7.2 — это была «фейковая» версия только с расшифровкой и без возвожности шифровки. Последняя рабочая — это 7.1a.

beastie ★★★★★ ()
Последнее исправление: beastie (всего исправлений: 1)
Ответ на: комментарий от DELIRIUM

На официальном сайте популярной системы дискового шифрования TrueCrypt опубликовано заявление, что система не является безопасной и может содержать уязвимости. Более того, сообщается, что с мая 2014 года разработка TrueCrypt прекращена. В то же время выпущен финальный релиз TrueCrypt 7.2, который рекомендуется использовать только в качестве промежуточного звена при миграции на другие системы.

sluggard ★★★★ ()
Ответ на: комментарий от sluggard

при миграции на другие системы

На-пример BitLocker, ага. ;)

beastie ★★★★★ ()
Ответ на: комментарий от beastie

Ну так для виндузятников именно его они рекомендовали, при выпуске 7.2. =))

sluggard ★★★★ ()
Ответ на: комментарий от anonymous

Вспомнилось...

Силы правопорядка немного прифигели и отработали стандартную программу. В том числе собрали по мне доступную информацию, провели обыски по месту прописки и работы, изъяли ноутбук. Потом сели и стали смотреть, какой подпольный акул им достался.

...

Ноутбук вернули в целости вместе с вердиктом «расшифровка невозможна». На нем, разумеется, стоял и стоит полносистемный TrueCrypt.

http://flibusta.net/node/261839

anonymous ()

«тут нет рыбы!» (c) Kuyzmitch 13 kordon

anonymous ()

А сколько забашлял TrueCrypt в NCC в отчете не сказано? Версии с выложенными на оф. сайте совпадают? Побайтно? Точно? :) Это к тому, что все эти третье-сторонние проверки в очередной раз доказывают, что сами авторы не знают насколько верно их продукт написан. Восстановить доворие одним отчетом ни у кого не получалось. Время лечит, как говорится. Наивные...

gh0stwizard ★★★★★ ()
Последнее исправление: gh0stwizard (всего исправлений: 2)

So there is now a complete truecrypt audit. What is the checksum of the source tree that I can use to verify that I have exactly the copy they audited ? I looked at the full report PDF and saw no mention of downloads, binaries, source trees or checksums. reply

https://news.ycombinator.com/item?id=9310928

anonymous ()
Ответ на: комментарий от anonymous

В Бразилии острая нехватка паяльников? Вот уж не знал.

Vier_E ★★ ()
Ответ на: комментарий от anonymous

А я знаю, где там бекдор.

Дау угадаю. У тебя между ушами?

anonymous ()
Ответ на: комментарий от Vier_E

паяльники не всегда помогают. Если ключ был на флешке в единственном экземпляре, а при аресте подозреваемый сжег, разбил, ... флешку - всей информации конец.

anonymous ()

Сейчас нет никаких шансов узнать контрольную суммы версии, которая прошла аудит. И скачать именно эту версию уже не получится. В общем все пропало...

anonymous ()
Ответ на: комментарий от anonymous

Если ключ был на флешке в единственном экземпляре

А, ну если так, то весьма годно выходит.
Вообще у ТруКрипта весьма годный функционал, посему приятно слышать, что аудит не обнаружил закладок. С другой стороны, кто проверит проверяющих?

Vier_E ★★ ()
Ответ на: комментарий от Vier_E

кто проверит проверяющих?

или кто проверит компетентность проверяющих? смотрю на чиновников, отвечающих за интернет и IT в целом в России и тихо обубеиваю от их показательной тупизны и некомпетентности

haku ★★★★ ()

Просто надо кинуть фейковую утечку списков агентов от лидеров ИГИЛ шифрованным файлом при помощи Truecrypt и ждать когда АНБ залезет на ссылку внутри секретных документов, типа вход в тайную сеть террористов. Если купятся и ссылка будет активирована - значит небезопасно =))) Просто фантазии. Ну а как еще заставить потенциальных дыроюзеров трукрипта спалиться?..

I-Love-Microsoft ★★★★★ ()

ЕБИЛДЫ

Кто-нибудь сделайте баг с ебилдом для CipherShed :)

murmur ()

Так его можно юзать или нет ? ... смысл заключения каков ?)

I_one ()
Ответ на: комментарий от I_one

Так его можно юзать или нет ? ... смысл заключения каков ?)

Можно, но есть проблема: она утонула.

anonymous ()

iclue как бы намекает

А кто проводил аудит проводивших аудит?

anonymous ()
Ответ на: iclue как бы намекает от anonymous

А кто проводил аудит проводивших аудит?

Вопрос был ли вообще взлом проекта TrueCrypt.

UNiTE ★★★★★ ()
Ответ на: комментарий от haku

смотрю на чиновников, отвечающих за интернет и IT в целом в России

Ты лучше на английских глянь. Там тебе сразу впаяют статью, если ключик откажешься предъявить.

Ну и прочие постоянные бредни их премьер-министра насчёт IT. Наши, по сравнению с этими отморозками, просто мальчиками из хора кажутся.

anonymous ()
Ответ на: комментарий от anonymous

Наши, по сравнению с этими отморозками, просто мальчиками из хора кажутся.

Бутылочку шампанского желаете? Наши еще хуже, они просто тупее

murmur ()
Ответ на: комментарий от murmur

Наши еще хуже, они просто тупее

В ойти еще неизвестно что лучше, умный или тупой чиновник. И, как показывает практика, реальные гайки у нас пока еще никто не закручивает.

Судебные иски за торренты не предъявляет. И все действия носят скорее показательный, чем какой-либо другой характер.

Так что еще раз советую при сравнении обращать внимание на уродов их других стран тоже. Там они не менее жЫрны, а зачастую и более.

anonymous ()
Ответ на: комментарий от beastie

Не совсем так, есть продолжатели: https://truecrypt.ch

до тех пор пока они не сделали ни одного «воскрещающего» коммита — до наступления этих пор, я бы советовал бы называть их, например, «потенциальные продолжатели» или «быть может продолжатели»... ну как-то так... :-)

слышал что (кроме проблем с безопасностью, например плохие параметры PBKDF2-функции, кстате про это почему-то не написали в новосте об аудите.. что на эту тему сказал аудит? ничего?) — «жизненно-несовместимых» проблем в Truecrypt остаётся достаточно много.. в том числе UEFI, GPT, и др...

вобщем работы у «воскрешателей» предстоит полно.. но они что-то совсем не торопятся...

user_id_68054 ★★★★★ ()
Ответ на: комментарий от murmur

Бутылочку шампанского желаете?

А две обоймы в тело и контрольный в затылок после беседы с агентом ФБР или пытку водой не желаешь? Наши садисты отправились под суд, там пытки и убийства полицаями - обычная практика. В цитадели свободы тебя мусора запинают средь бела дня до смерти, напишут рапорт, что ты вел себя неадекватно, - и все шито-крыто.

anonymous ()
Ответ на: комментарий от anonymous

Там тебе сразу впаяют статью, если ключик откажешься предъявить.

и что именно за статья? :)

я в кинофильмах пару раз слышал фразу "вы можете хранить молчание, ..блаблабла..." — эта фраза не относится к ключам? :-)

user_id_68054 ★★★★★ ()
Ответ на: комментарий от user_id_68054

и что именно за статья? :)

От двух до пяти за отказ предъявить ключик к твоим зашифрованным данным: http://falkvinge.net/2012/07/12/in-the-uk-you-will-go-to-jail-not-just-for-en...

эта фраза не относится к ключам?

Эта фраза (miranda warning) относится к амерам, а я про крэйзи бритишей и их бешеный принтер говорил.

anonymous ()
Ответ на: комментарий от anonymous

В цитадели свободы тебя мусора запинают средь бела дня до смерти, напишут рапорт, что ты вел себя неадекватно, - и все шито-крыто.

Что подтверждают многочисленные инциденты недавнего прошлого с чернож..кожим населением той самой цитадели.

anonymous ()
Ответ на: комментарий от anonymous

2~5 лет за хранение зашифрованных данных (или данных, похожих на зашифрованные :)) — это даже забавнее чем наш Отечественный запрет за хранение\рисование\распространение аниме-мультиков :-D

user_id_68054 ★★★★★ ()
Ответ на: ЕБИЛДЫ от murmur

Re: ЕБИЛДЫ

Зачем? Там всего кучка коммитов, половина из которых правит документацию, лицензию, etc. Отличий от TC ноль.

anonymous ()

Аудит NCC не обнаружили никаких доказательств преднамеренных бэкдоров

Хорошие гои.

BTW, оно сейчас развивается?

alright ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.