» »

TrueCryptova izvorna koda ustreza prevedeni

TrueCryptova izvorna koda ustreza prevedeni

Slo-Tech - Od programske opreme, katere izvorna koda je javno objavljena, nekako ne pričakujemo presenečenj. Glede na to, da lahko kodo pregleda vsakdo, je vanjo praktično nemogoče vtihotapiti stranska vrata, ki bi jih napadalci lahko izrabili. Znan primer je napad na Linux leta 2003, ko so neznanci v kodo neuspešno poizkusili vstaviti stranska vrata za eskalacijo privilegijo, a je analiza kode še pred njeno vključitvijo v uradne repozitorije seveda to odkrila. A ena pomembna ranljivost ostaja - ob izvorni kodi je navadno objavljena tudi prevedena koda, ki jo ljudje dejansko snamejo in namestijo. Pa sta ti dve identični?

TrueCrypt sodi med posebej občutljive programe, saj je namenjen zaščiti datotek s šifriranjem, zato v njem ne sme biti lukenj. V času, ko nas z vseh strani bombardirajo z novicami o prisluškovanju vladnih agencij, je to še posebej vroča tema. Zato so v Kanadi na eni izmed univerz preverili, ali je prevedena koda TrueCrypta na uradni spletni strani resnično nastala iz objavljene izvorne kode. Odgovor je - da.

Nemogoče je pričakovati, da bo doma prevedena datoteka imela enako kontrolno vsoto (checksum) kot uradna, saj nekaterih stvari ne moremo poustvariti. Sem sodijo ključi za podpisovanje, pa tudi ura prevajanja je različna. A če poskrbimo, da imamo naložene povsem enake verzije prevajalnikov in drugih orodij z istimi popravki, ki so bili na voljo ob pripravi uradne verzije, je rezultat pomirjujoč. Objavljene verzije programa so dejansko identične izvorni kodi. Ali je izvorna koda dejansko brez lukenj, pa je drugo vprašanje, s katerim se ukvarjajo v projektu IsTrueCryptAuditedYet?

Tisti najbolj paranoični se seveda ob tem vprašate, ali je to dovolj. To je dovolj, če zaupate prevajalniku. Glede na zadnje afere v NSA, to ni tako neumno vprašanje. A kar se razvijalcev TrueCrypta tiče, je strah odveč, saj so svoje delo opravili korektno.

37 komentarjev

Tero ::

Kdaj bodo že enkrat izdali novo verzijo? :(
Še vedmno ni podprt windows 8 in uefi z gpt diski :(
Give a man a fish, he'll be fed for a day.
Teach a man to fish and he'll drown himself.

Furbo ::

Folk prehitro teče na nova okna, jaz vedno počakam vsaj sp2. :D
i5-13600K, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO, Toughpower GF3 1000W
RTX3070, ALIENWARE AW3821DW, DELL U3014

carota ::

Tero je izjavil:

Kdaj bodo že enkrat izdali novo verzijo? :(
Še vedmno ni podprt windows 8 in uefi z gpt diski :(

Koliko si jim pa že doniral?

Lonsarg ::

Za tako občutljiv projekt raje manj verzij in takrat ko pride dokončna verzija za nekaj časa.

mihagr ::

Furbo
Naj te vprašam!
Glede na to, da čakaš vsaj SP2, ali potem ti še vedno uporabljaš win XP?

LightBit ::

Vista ima tudi SP2.

Jupito ::

Resno, pobje? Ni dolgo tega, ko se je folk tukaj hotel pobit med sabo glede TC, ko pa smo končno dobili taprva dejstva... Win7 vs Win8 fan warz!!!11
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

WamPIRe- ::

Ja kaj pa Win 8.1 ?!?!?!?! :D
Msi Z77 | Intel i7-3770K | Kingston HyperX DDR3 16GB
CM Silent Pro Gold 700W | Asus RTX 2080 | Samsung 850 EVO 250GB
Samsung 850 EVO 500GB | 2x Asus ROG PG279Q

RejZoR ::

Furbo je izjavil:

Folk prehitro teče na nova okna, jaz vedno počakam vsaj sp2. :D


Win7 SP2 sploh nikoli ni dobil kot tud ne Win8...
Angry Sheep Blog @ www.rejzor.com

MrStein ::

Glede na to, da lahko kodo pregleda vsakdo, je vanjo praktično nemogoče vtihotapiti stranska vrata, ki bi jih napadalci lahko izrabili.

No no.

http://security.stackexchange.com/quest...

Na sploh: https://www.google.com/search?q=open+so...

Tega je ogromno. (možnosti. Če je v programu, ki ravnokar poganjaš, backdoor, pa ne vem.)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

carota ::

Jupito je izjavil:

Resno, pobje? Ni dolgo tega, ko se je folk tukaj hotel pobit med sabo glede TC, ko pa smo končno dobili taprva dejstva... Win7 vs Win8 fan warz!!!11

Dejstvo je samo to, da je objavljena kompajlana koda narejena neposredno iz objavljenega sourcea. Niso pa potrdili, da je source "čist" oz. brez backdoorov. Vsaj tako jaz razumem.

LightBit ::

Ja, sedaj je treba še ~100k vrstic kode pregledat.

MrStein ::

Kva, a ni to Jype-tova babica naredila že predlani????
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

ABX ::

Furbo je izjavil:

Folk prehitro teče na nova okna, jaz vedno počakam vsaj sp2. :D


Edino pravilno.

Jaz po sp2 šele začnem razmišljat če bi zamenjal, ker če nova verzija nima nobene prednosti za moje potrebe ostanem na prejšnji.
Vaša inštalacija je uspešno spodletela!

poweroff ::

Bila sta dva security evaluationa, sedaj se zbira denar še za tretjega, ki bo najbolj obsežen.
sudo poweroff

LightBit ::

MrStein je izjavil:

Kva, a ni to Jype-tova babica naredila že predlani????

Ne vem, mi ni povedala.

Če bi resno uporabljal bi verjetno tudi sam malo pregledal.

MrStein ::

Letelo je na "meme": closed source is evil, because we all check the open source...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

LightBit ::

Izvorna koda je "običajno" bolj berljiva kot binarna.
Pregleda se pa še vedno ne sama od sebe.

BigWhale ::

MrStein je izjavil:

Letelo je na "meme": closed source is evil, because we all check the open source...


Tega mema ni. Na sreco.

Tear_DR0P ::

BigWhale je izjavil:

MrStein je izjavil:

Letelo je na "meme": closed source is evil, because we all check the open source...


Tega mema ni. Na sreco.


Seveda je. vsaj v njegovi glavi. nima pa splošne široke razširjenosti in bo zelo verjetno izumrl v eni generaciji ljudi.
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain

Izi ::

Podpora za Windows 8 je v načrtu za naslednjo verzijo s katero pa roko na srce nič kaj pretirano ne hitijo.

Sicer pa Windows 8 ni kaj dosti razširjen, tako da zaenkrat ni panike. Druga še bolj pomembna stvar pa je, da tisti ki uporablja Windows 8 mu je zasebnost deseta skrb zato zelo verjetno tudi TrueCrypt ne rabi :P

Windows 8 in TrueCrypt se pravzaprav izključujeta. Bi rekel, da gre za oksimoron. TrueCryptov namen je, da imaš dostop do podatkov samo ti in nihče drug, medtem, če malo karikiramo, z namestitvijo Windows 8 daš svoje podatke na voljo celemu svetu, da jih vidi.
Bistvena razlika med Windows 7 in 8 je, da slednji poskuša zabrisati mejo med oblakom in lokalnimi podatki. Karkoli počneš na Windows 8 tvoje početje in informacije ves čas kar letijo ven na vse konce in kraje. Windows 8 je OS narejen po željah in specifikacijah ameriškega NSA.
Kdor kaj da na zasebnost na Windows 8 verjetno ne bo prešel nikoli. Tako da se s TrueCrypt na Windows 8 nikamor ne mudi.

Lonsarg ::

Izi, pa ne da živiš v iluziji, da je Windows 7 po zasebnosti pred Windows 8.... kire buče... Na Windows 7 majo ljudje celo goro programov za cloud, vključno z kakim Dropbox, prav tako pa lahko na Windows 8 ne uporabljaš skydriva, pa si bolj zaseben kot povprečni uporabnik Windowsa 7.

Čeprav izogibati cloudu je bo drugi strani tudi malo biti v preteklosti. Jaz že poskrbim za zgečkljive informacije, da so pod TrueCrypt, ne bom pa za svoje navadne dopustniške fotografije se odrekel dodatnemu Cloud Backupu in ugodju zaradi "zasebnosti".

SeMiNeSanja ::

Pa ravno avtomatizirani cloud backup za fotografije je lahko polomija.
Spomnite se primera novinarja, ki so mu ukradli geslo in v cloudu pobrisali vse slike - izbrisale so se tudi povsod tam, kjer je bila narejena avtomatska sinhronizacija!

Če že delate backup slik na cloud, potem uporabljajte kakšno ročno metodo, nikar pa avtomatizirane 'sync' variante. Sploh ni treba, da vam kdo vdre - lahko sami pomotoma stisnete delete in vam tisti backup ne bo prav nič koristil, če se bo preko sinhronizacije še tam vse pobrisalo.

Danes so prenosni diski tako poceni, da res ni izgovora, da nebi delal backup na tak disk, ki ga imaš potem shranjenega nekje v omari.

Jaz vidim prednost cloud backup-a in sync-a kot nekakšen začasni medpomnilnik: če npr. z mobitelom slikaš, ne rabiš posebej priklapljati mobitela na računalnik, da bi potegnil slike dol. Ko so slike sinhronizirane z računalnikom, jih lepo prestaviš iz sinhronizirane mape v trajni arhiv (in backup na prenosnem disku). Tako se potem tudi sprosti pomnilnik na telefonu in ostalih napravah, ki se sinhronizirajo z oblakom.
Naj se karkoli zgodi (ukradeno geslo, nenamerno brisanje,...) tako izgubiš kvečjem par zadnjih slik, nikakor pa celoletnega albuma in več.

Blisk ::

Tero je izjavil:

Kdaj bodo že enkrat izdali novo verzijo? :(
Še vedmno ni podprt windows 8 in uefi z gpt diski :(

Če imaš windows 8, ti truecrypt nič ne koristi, ker so vse tvoje dejavnosti na windowsih beležene in posredovane Microsoftu. Torej tudi geslo, ki ga boš uporabljal za truecrypt.

Windows 8 ne naložim na moj PC pa če mi plačajo za to!

Zgodovina sprememb…

  • spremenil: Blisk ()

SeMiNeSanja ::

Če imaš windows 8, ti truecrypt nič ne koristi, ker so vse tvoje dejavnosti na windowsih beležene in posredovane Microsoftu. Torej tudi geslo, ki ga boš uporabljal za truecrypt.


Upam, da se hecaš.
Če ne, potem.... eh, itak brezveze potem še karkoli reči.

MrStein ::

Izi je izjavil:

Podpora za Windows 8 je v načrtu za naslednjo verzijo s katero pa roko na srce nič kaj pretirano ne hitijo.

Sicer pa Windows 8 ni kaj dosti razširjen,

Kje pa. Samo pet krat bolj kot ena druga podprta platforma.

(preostanek sporočila je tudi... zanimiv)

SeMiNeSanja je izjavil:

Pa ravno avtomatizirani cloud backup za fotografije je lahko polomija.
Spomnite se primera novinarja, ki so mu ukradli geslo in v cloudu pobrisali vse slike - izbrisale so se tudi povsod tam, kjer je bila narejena avtomatska sinhronizacija!

Če že delate backup slik na cloud, potem uporabljajte kakšno ročno metodo, nikar pa avtomatizirane 'sync' variante.

Sync != backup

pa če smo že pri temi: RAID != backup
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

SeMiNeSanja ::

Sync != backup

pa če smo že pri temi: RAID != backup


Meni je to čisto jasno....samo marsikateremu uporabniku ni - zato sem tudi napisal, kakšne težave jih lahko čakajo (večina jih uporablja sync in misli, da je to backup).

dronyx ::

Lonsarg je izjavil:

Jaz že poskrbim za zgečkljive informacije, da so pod TrueCrypt, ne bom pa za svoje navadne dopustniške fotografije se odrekel dodatnemu Cloud Backupu in ugodju zaradi "zasebnosti".

Kaj pa imaš pod TrueCryptom klasificirano za žgečljivo?

Truga ::

CP

Lonsarg ::

dronyx je izjavil:

Lonsarg je izjavil:

Jaz že poskrbim za zgečkljive informacije, da so pod TrueCrypt, ne bom pa za svoje navadne dopustniške fotografije se odrekel dodatnemu Cloud Backupu in ugodju zaradi "zasebnosti".

Kaj pa imaš pod TrueCryptom klasificirano za žgečljivo?

Ne povem, ker hočem, da si delajo stroške elektrike ko gredo bruteforcat:)

Da pa Cloud backup ni pravi backup pa vem, uporabljam tudi backup na svoj domači strežnik, zato sem dal poudarek na "dodatni cloud" backup. Če je ogenj v bajti gre namreč hkrati moj računalnik in tisti na podstrešju/omari. Čeprav omara je meni totalno nepraktična, sem preveč komot, da bi ročno delal backup na zunanje diske! K sreči si znam urihtat na domači vedno prižgani server, večina ljudi to ne zna in je skrajni čas, da začnejo oblačni ponudniki tudi zaščito proti delete vgrajevat za navadne ljudi, ki nočejo kompliciranja z zunanjimi diski.

metalc ::

A nima Windows od 7 (oz. 2008) dalje integriranega BitLockerja, ki je zelo podoben TC?

techfreak :) ::

Za BitLocker potrebuješ Pro verzijo Windowsa, vendar je veliko ljudi skeptičnih, saj je Microsoft ameriški.

ABX ::

Kdo ti garantira da ne bo dal Microsoft ključe za odklep organu pregona?
Vaša inštalacija je uspešno spodletela!

Lonsarg ::

Slovenskim organom že ne, ni šans da naši organi držijo skrivnost o čem takem, pri vsej tej birokraciji haha. Če bo že kdo uporabil BitLocker je to direkt NSA, brez vednosti niti Ameriške policije. Tak da ima tudi BitLocker kar veliko uporabnost, kljub skepticizmu, da ima NSA mogoče dostop in je za večino potreb ljudi, ki kriptirajo dovolj "varen".

techfreak :) ::

@ABX: Nobeden ti ne garantira, je pa dejstvo da bi MS izgubil na ugledu, če pride v javnost podatek da imajo svoj ključ s katerimi lahko odprejo z BitLockerjem zavarovan disk. Sicer pa ima zadeva prikladno možnost, da recovery key (ki ga lahko uporabiš v primeru da pozabiš geslo) shraniš na SkyDrive-u.

ABX ::

Zgodilo se je z BB v Indiji, tako da ...

Drugače pa ja, bit mala država ima tudi prednosti.
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

Furbo ::

Razen če tvoji podatki ne bodo zanimali prav američanov... potem bodo naši hlapci itak skakali kot duracel zajčki po njihovem nareku...
i5-13600K, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO, Toughpower GF3 1000W
RTX3070, ALIENWARE AW3821DW, DELL U3014


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Odkriti kritični ranljivosti v TrueCryptu (strani: 1 2 )

Oddelek: Novice / Varnost
5120836 (16249) MrStein
»

Revizija TrueCrypta gre dalje

Oddelek: Novice / Varnost
228591 (4129) Satoshi
»

Pregled kode TrueCrypta za zdaj ni našel stranskih vrat (strani: 1 2 )

Oddelek: Novice / Varnost
5324849 (21851) bobby
»

RSA zanika očitke

Oddelek: Novice / Varnost
209693 (7245) poweroff
»

TrueCryptova izvorna koda ustreza prevedeni

Oddelek: Novice / Varnost
3711458 (8136) Furbo

Več podobnih tem