Forum » Informacijska varnost » TrueCrypt audit project
TrueCrypt audit project
denial ::
I don't have any inside knowledge about TrueCrypt, and there's a lot about it that makes me suspicious. - Bruce Schneier
Vir
SELECT finger FROM hand WHERE id=3;
Highlag ::
Ja če hočeš zaupati eni enkripciji je najbolje, da jo napišeš sam. Seveda če si dovolj kompetenten za takšno opravilo. Seveda je tudi dobro, da jo pogleda še kdo, ki se na te stvari zastopi in mu zaupaš. Vendar kdo je danes res vreden zaupanja? To je verjetno večji problem kot samo naredit en program za enkripcijo.
Never trust a computer you can't throw out a window
Matija82 ::
Ja če hočeš zaupati eni enkripciji je najbolje, da jo napišeš sam. Seveda če si dovolj kompetenten za takšno opravilo. Seveda je tudi dobro, da jo pogleda še kdo, ki se na te stvari zastopi in mu zaupaš. Vendar kdo je danes res vreden zaupanja? To je verjetno večji problem kot samo naredit en program za enkripcijo.
Enkripcija, ki je ne znata zlomit avtor in njegov prijatelj je več ali manj ničvredna, ker ima adversary mnogo več in mnogo pametnejših ljudi kot je ta duo.
denial, a ne bi linkal še prejšnjega stavka ki pravi "I downloaded and installed OpenOffice, a PDF reader, a text editor, TrueCrypt, and BleachBit" ;)
Vse te teorije zarote glede TC-ja so zaenkrat mešanje megle (ala OMG NSA HAS ALL THE NODZ!) in temeljijo večinoma na licenčni zmedi, ne pa na samem dizajnu programja. Je pa tale audit super ideja in upam, da se izpelje do kraja.
Zgodovina sprememb…
- spremenilo: Matija82 ()
denial ::
The Windows version of TrueCrypt 7.0a deviates from the Linux version in that it fills the last 65,024 bytes of the header with random values whereas the Linux version fills this with encrypted zero bytes. From the point of view of a security analysis the behavior of the Windows version is problematic. By an analysis of the decrypted header data it can't be distinguished whether these are indeed random values or a second encryption of the master and XTR key with a back door password.
Vir
SELECT finger FROM hand WHERE id=3;
denial ::
I have not looked at the TrueCrypt license (in depth) in quite some
time, but when Fedora and Red Hat reviewed it in 2008, not only was it
non-free, it was actually dangerous.
Vir
SELECT finger FROM hand WHERE id=3;
fiction ::
S stališča audita je vse skupaj nočna mora. Ampak za praktično uporabo lahko po generiranju voluma, če si dovolj paranoičen enostavno teh 65024 bajtov prepišeš z vsebino /dev/random ali se motim? Potem si tisto vsebino shraniš in primerjaš, če jo TrueCrypt prepiše s čim svojim. V kolikor ja, je to lahko že indic za "evilness" (če so tisti bajti res "doesn't care").The Windows version of TrueCrypt 7.0a deviates from the Linux version in that it fills the last 65,024 bytes of the header with random values whereas the Linux version fills this with encrypted zero bytes. From the point of view of a security analysis the behavior of the Windows version is problematic. By an analysis of the decrypted header data it can't be distinguished whether these are indeed random values or a second encryption of the master and XTR key with a back door password.
Vir
Vprašanje, če je šifrirana 0 boljša kot random, prvo ti namreč teoretično lahko pomaga, če bi se šel kak known-plaintext napad...
micka15 ::
Ja če hočeš zaupati eni enkripciji je najbolje, da jo napišeš sam. Seveda če si dovolj kompetenten za takšno opravilo. Seveda je tudi dobro, da jo pogleda še kdo, ki se na te stvari zastopi in mu zaupaš. Vendar kdo je danes res vreden zaupanja? To je verjetno večji problem kot samo naredit en program za enkripcijo.
pa svoj compiler, pa ves hw, vse firmware, ...
Karen ::
Ja, pa software v čipu na disku kontrolerja, ker ti enkripcija na disk nič kaj dosti ne pomaga če kontroler prebere dešifrirano vsebino.
terryww ::
ne rabiš niti nedokumentiranih čipov. dovolj je proprietary bios in te nobena čarovnija več ne spasi.
It is the night. My body's weak.
I'm on the run. No time to sleep.
I'm on the run. No time to sleep.
Jst ::
Jaz sem ravno hotel odpreti temo o TrueCrypt Audit crowdfunding kampanji, tako da še dobro, da sem prvo uporabil iskanje.
Iz članka mi je zanimiv tale del:
Nisem pa našel ničesar, kjer bi se s tem dejansko ukvarjali. Kdo so ti "Experts," ki to trdijo?
Iz članka mi je zanimiv tale del:
Also, the most common TrueCrypt packages are downloadable binaries for Windows that cannot be compared to the original source code; those binaries behave differently than versions compiled from source code, experts say.
Nisem pa našel ničesar, kjer bi se s tem dejansko ukvarjali. Kdo so ti "Experts," ki to trdijo?
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Revizija TrueCrypta gre daljeOddelek: Novice / Varnost | 8929 (4467) | Satoshi |
» | heknili http://truecrypt.sourceforge.net, ki zdaj svari pred uporabo truecrypaOddelek: Informacijska varnost | 8148 (5967) | root987 |
» | Izšel TrueCrypt 7.0 (strani: 1 2 3 )Oddelek: Novice / Zasebnost | 32160 (28660) | Jst |
» | TrueCrypt 5.0 (strani: 1 2 )Oddelek: Novice / Zasebnost | 11007 (8419) | poweroff |
» | Izšel TrueCrypt 4.0Oddelek: Novice / Ostala programska oprema | 5107 (4248) | poweroff |