» »

TrueCrypt audit project

TrueCrypt audit project

denial ::

Is TrueCrypt Audited Yet?
SELECT finger FROM hand WHERE id=3;

nurse013 ::

?
:)
you gotta be kidding me...

denial ::

I don't have any inside knowledge about TrueCrypt, and there's a lot about it that makes me suspicious. - Bruce Schneier

Vir
SELECT finger FROM hand WHERE id=3;

Highlag ::

Ja če hočeš zaupati eni enkripciji je najbolje, da jo napišeš sam. Seveda če si dovolj kompetenten za takšno opravilo. Seveda je tudi dobro, da jo pogleda še kdo, ki se na te stvari zastopi in mu zaupaš. Vendar kdo je danes res vreden zaupanja? To je verjetno večji problem kot samo naredit en program za enkripcijo.
Never trust a computer you can't throw out a window

denial ::

@Highlag:
Se popolnoma strinjam.
SELECT finger FROM hand WHERE id=3;

Uporabnik ::

Truecrypt je čist ok, dokler ni tvoj enenmy kakšna "država", ki to zarvija.

Matija82 ::

Highlag je izjavil:

Ja če hočeš zaupati eni enkripciji je najbolje, da jo napišeš sam. Seveda če si dovolj kompetenten za takšno opravilo. Seveda je tudi dobro, da jo pogleda še kdo, ki se na te stvari zastopi in mu zaupaš. Vendar kdo je danes res vreden zaupanja? To je verjetno večji problem kot samo naredit en program za enkripcijo.


Enkripcija, ki je ne znata zlomit avtor in njegov prijatelj je več ali manj ničvredna, ker ima adversary mnogo več in mnogo pametnejših ljudi kot je ta duo.

denial, a ne bi linkal še prejšnjega stavka ki pravi "I downloaded and installed OpenOffice, a PDF reader, a text editor, TrueCrypt, and BleachBit" ;)

Vse te teorije zarote glede TC-ja so zaenkrat mešanje megle (ala OMG NSA HAS ALL THE NODZ!) in temeljijo večinoma na licenčni zmedi, ne pa na samem dizajnu programja. Je pa tale audit super ideja in upam, da se izpelje do kraja.

Zgodovina sprememb…

  • spremenilo: Matija82 ()

denial ::

The Windows version of TrueCrypt 7.0a deviates from the Linux version in that it fills the last 65,024 bytes of the header with random values whereas the Linux version fills this with encrypted zero bytes. From the point of view of a security analysis the behavior of the Windows version is problematic. By an analysis of the decrypted header data it can't be distinguished whether these are indeed random values or a second encryption of the master and XTR key with a back door password.

Vir
SELECT finger FROM hand WHERE id=3;

denial ::

I have not looked at the TrueCrypt license (in depth) in quite some
time, but when Fedora and Red Hat reviewed it in 2008, not only was it
non-free, it was actually dangerous.

Vir
SELECT finger FROM hand WHERE id=3;

fiction ::

denial je izjavil:

The Windows version of TrueCrypt 7.0a deviates from the Linux version in that it fills the last 65,024 bytes of the header with random values whereas the Linux version fills this with encrypted zero bytes. From the point of view of a security analysis the behavior of the Windows version is problematic. By an analysis of the decrypted header data it can't be distinguished whether these are indeed random values or a second encryption of the master and XTR key with a back door password.

Vir
S stališča audita je vse skupaj nočna mora. Ampak za praktično uporabo lahko po generiranju voluma, če si dovolj paranoičen enostavno teh 65024 bajtov prepišeš z vsebino /dev/random ali se motim? Potem si tisto vsebino shraniš in primerjaš, če jo TrueCrypt prepiše s čim svojim. V kolikor ja, je to lahko že indic za "evilness" (če so tisti bajti res "doesn't care").

Vprašanje, če je šifrirana 0 boljša kot random, prvo ti namreč teoretično lahko pomaga, če bi se šel kak known-plaintext napad...

denial ::

How I compiled TrueCrypt 7.1a for Win32 and matched the official binaries
SELECT finger FROM hand WHERE id=3;

micka15 ::

Highlag je izjavil:

Ja če hočeš zaupati eni enkripciji je najbolje, da jo napišeš sam. Seveda če si dovolj kompetenten za takšno opravilo. Seveda je tudi dobro, da jo pogleda še kdo, ki se na te stvari zastopi in mu zaupaš. Vendar kdo je danes res vreden zaupanja? To je verjetno večji problem kot samo naredit en program za enkripcijo.

pa svoj compiler, pa ves hw, vse firmware, ...

Karen ::

Ja, pa software v čipu na disku kontrolerja, ker ti enkripcija na disk nič kaj dosti ne pomaga če kontroler prebere dešifrirano vsebino.

terryww ::

ne rabiš niti nedokumentiranih čipov. dovolj je proprietary bios in te nobena čarovnija več ne spasi.
It is the night. My body's weak.
I'm on the run. No time to sleep.

Jst ::

Jaz sem ravno hotel odpreti temo o TrueCrypt Audit crowdfunding kampanji, tako da še dobro, da sem prvo uporabil iskanje.

Iz članka mi je zanimiv tale del:

Also, the most common TrueCrypt packages are downloadable binaries for Windows that cannot be compared to the original source code; those binaries behave differently than versions compiled from source code, experts say.


Nisem pa našel ničesar, kjer bi se s tem dejansko ukvarjali. Kdo so ti "Experts," ki to trdijo?
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

jkreuztzfeld ::

iSEC Completes TrueCrypt Audit
--
Great minds run in great circles.

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Revizija TrueCrypta gre dalje

Oddelek: Novice / Varnost		228928 (4466) Satoshi
»

heknili http://truecrypt.sourceforge.net, ki zdaj svari pred uporabo truecrypa

Oddelek: Informacijska varnost		448146 (5965) root987
»

Izšel TrueCrypt 7.0 (strani: 1 2 3 )

Oddelek: Novice / Zasebnost		11932143 (28643) Jst
»

TrueCrypt 5.0 (strani: 1 2 )

Oddelek: Novice / Zasebnost		7011003 (8415) poweroff
»

Izšel TrueCrypt 4.0

Oddelek: Novice / Ostala programska oprema		265104 (4245) poweroff

Več podobnih tem