LINUX.ORG.RU
ФорумTalks

о том, чего нет

 


0

2

- Дети, чего нет?
- Ошибок нет!

— занятие в приходской школе Церкови Емакса

Вышел аудит безопасности truecrypt. So slow, 14 февраля еще.

https://opencryptoaudit.org/reports/iSec_Final_Open_Crypto_Audit_Project_True...

По этому поводу существует такой сайт: http://istruecryptauditedyet.com/

«IsTrueCryptAuditedYet? In Part!»

Аудит говорит, что никаких явных нарушений безопасности и бэкдоров не выявлено.

НО. Там же говорится, что в общем, исходный код загрузчика и ядерного драйвера для Шиндовс — не удовлетворяет стандартам на безопасный код.

Более того, этот аудит не проверяет криптографию саму по себе, а только программу которая её реализует, так что дыры всё еще могут существовать (хотя нотариально-заверенных скришотов и не будет).

Рапорт описывает только билд под Шиндовс, но выпускает из внимания другие важные нюансы криптографии

- генерацию случайных чисел
- реализацию алгоритмов
- работу с токенами безопасности
- работу с файлами ключей

Так что дрожите в лужасе :3

(пока писал, три раза в недописанном топике случайно жал дрожащими руками хоткей на «Поместить», а потом приходилось удалять, извините)

★★★★☆

Ответ на: комментарий от ZenitharChampion

Не «тоже», а «нету». Под linux нельзя использовать трукрипт как /boot. Ну или по крайней мере, я не знаю, как (подскажите?).

stevejobs ★★★★☆
() автор топика
Последнее исправление: stevejobs (всего исправлений: 1)
Ответ на: комментарий от ZenitharChampion

можно. Еще MBR нельзя. А для собственно чтения - да, у них есть модуль для linux.

stevejobs ★★★★☆
() автор топика

Полезная информация. Благословляю заняться исправлением сих недостатков.

Sociopsih ★☆
()
Ответ на: комментарий от stevejobs

Раньше был модулем, теперь переключились на fuse. Хотя может модуль остался где-то...

atrus ★★★★★
()
Ответ на: комментарий от stevejobs

А смысл? Только если ради совместимости, но с некоторых пор dm-crypt + LUKS поддерживают тома truecrypt. Хотя сам не проверял как они поддерживают, просто заметил в man cryptsetup

praseodim ★★★★★
()

аудит не проверяет криптографию саму по себе, а только программу которая её реализует, так что дыры всё еще могут существовать

Просто примените два алгоритма, один поверх другого. Чтобы вскрыть это дело, придётся найти дыры в обоих, что очень маловероятно.

исходный код загрузчика и ядерного драйвера для Шиндовс — не удовлетворяет стандартам на безопасный код.

Пофиг, если 99.9% времени шифрованная ФС лежит на диске мёртвым грузом и не подгружена в память.

реализацию алгоритмов

Если они не проверяют реализацию алгоритмов, то что они там проверяют вообще? Работу интерфейса?

работу с токенами безопасности, работу с файлами ключей

Это нужно только если есть место, где токен/файл будет гарантированно защищён. Далеко не для всех случаев.

Так что дрожите в лужасе

Ничего нового.

Sadler ★★★
()
Ответ на: комментарий от Sadler

то что они там проверяют вообще? Работу интерфейса?

уткание указателей в ведре, кривое использование очередей, затирание секретных данных memset'ом, намеренное переполнение буферов, переполнение массивов, переполнение типов, косяки с signed/unsigned, запись не того не туда, использование критически бажных библиотек итп.

а вот проверки самого алгоритма как последовательности определенных действий в смысле информации они [почти] не делают. Вера в то, что сам алгоритм был правильный, а косяки надо искать уже в самой низкоуровневой реализации.

stevejobs ★★★★☆
() автор топика
Последнее исправление: stevejobs (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Talks