» »

TrueCrypt je varen in mrtev

TrueCrypt je varen in mrtev

Slo-Tech - Temeljit varnostni pregled kode (security audit) zadnje verzije TrueCrypta 7.1a je pokazal, da v kodi ni nobenih stranskih vrat, namernih ranljivosti ali oslabljenih šifrirnih algoritmov. V programu so našli štiri ranljivosti, ki pa so tam po nerodnosti in nimajo bistvenega vpliva na varnost.

Zgodba TrueCrypta se je vseeno končala precej nenavadno. Lani maja so avtorji sporočili, da projekta ne bodo več razvijali in uporabo odsvetujejo, ker da program vsebuje varnostne ranljivosti. Revizija kode, ki se je začela že pred tem, se je vseeno nadaljevala. Tako smo te dni dobili uradno poročilo o rezultatih pregleda kode, ki ga je opravil NCC Group za Crypto Open Audit Project.

V programu so našli štiri potencialne ranljivosti, med katerimi je najresnejša uporabo vgrajene knjižnice API v Windows za tvorjenje naključnih števil. V primeru, da ta postane nedostopna ali kako drugače kompromitirana, kar se lahko zgodi v posebnih okoliščinah, TrueCrypt ne javi opozorila. Namesto tega začne črpati naključna števila (fall-back) iz nezanesljivih virov (naslovi kazalcev, ID procesov, čas od zagona, položaj miške itd.). Druga nerodnost je implementacija AES, ki je ranljiva na cache-timing.

Kljub temu je rezultat dober za uporabnike TrueCrypta. Poročilo kaže, da je verjetnost možnosti za nameren vdor v TrueCrypt zanemarljiva tudi za NSA in podobne varnostne službe.

Žal je TrueCrypt mrtev in nadaljnjega razvoja ne bo. Ostanki programa so dostopni na švicarski strani, obstajajo pa tudi forki, kot sta VeraCrypt in CiperShed. Kljub nestandardni licenci TrueCrypta so forki načeloma mogoči, čeprav obseg licence ni povsem jasno določen in prvotni avtorji temu niso naklonjeni. Pod drugi strani pa je tudi res, da avtorji TrueCrypta niso znani in da bi se morali za kakršnokoli uveljavljanje avtorskih pravic najprej razkriti. Za zdaj vemo le, da gre verjetno za Čehe.

41 komentarjev

Jeronimo ::

Torej se TC še vedno lahko uporablja brez problema. :)
JURIŠ !!!
Preko vode do slobode!

d1w2 ::

Ravno to ga je ubilo.. preveč je bil varen!

poweroff ::

Hm, kaj so pa alternative?

Kolikor sem gledal, se nekako priporoča VeraCrypt (https://veracrypt.codeplex.com/), kjer so se menda že lotili popravljati teh nekaj ranljivosti.

Problem je, da je firma, ki stoji za VeraCryptom francoska. Francozi so ena redkih držav, kjer je bila uporaba kriptografije zunaj vojske in varnostnih služb zakonsko prepovedana. Prepoved so umaknili šele v 1990-tih letih.

Tako da Francozom ni ravno za zaupati.


Druga alternativa je CipherShed, ki je pa Swiss based, kar je isto problematično. Saj Crypto AG zgodbo vso poznamo, ne?
sudo poweroff

Zgodovina sprememb…

  • spremenilo: poweroff ()

fosil ::

Saj Crypto AG zgodbo vso poznamo, ne?

Ne.

Problem je, da je firma, ki stoji za VeraCryptom francoska. Francozi so ena redkih držav, kjer je bila uporaba kriptografije zunaj vojske in varnostnih služb zakonsko prepovedana. Prepoved so umaknili šele v 1990-tih letih. Tako da Francozom ni ravno za zaupati.

Te logike ne razumem, kaj ima prepoved pred 20 leti karkoli skupnega z današnjim časom?

Dejansko ne moreš zaupat nobenemu programu, dokler ni narejena taka revizija, pa še potem je vprašanje če zaupaš reviziji.
Tako je!

vostok_1 ::

API windows za RN...a to je predvidevam isti, ki se uporablja za .net platformo?

Looooooka ::

vostok_1 je izjavil:

API windows za RN...a to je predvidevam isti, ki se uporablja za .net platformo?

Ne. Gre za njihovo implementacijo na windows platformi. Nima veze ne z .netom niti s kakršnokoli napako v winsih.

Qushaak ::

Pa se misli za VeraCrypt ali CiperShead kdaj narediti tako temeljit security audit, kot je bil ta za TC, da se potrdi kvaliteto oz da ni backdoor-ov?

smash ::

torej se še naprej uporablja truecrypt 7.1a in zadeva je rešena

bluesands ::

smash je izjavil:

torej se še naprej uporablja truecrypt 7.1a in zadeva je rešena


se strinjam zakaj bi komplcirali, programska koda se ne stara, program je lahko le slab ali dober

SubjectX ::

Qushaak je izjavil:

Pa se misli za VeraCrypt ali CiperShead kdaj narediti tako temeljit security audit, kot je bil ta za TC, da se potrdi kvaliteto oz da ni backdoor-ov?


To stane. Bos ti placal?

Jupito ::

bluesands je izjavil:

smash je izjavil:

torej se še naprej uporablja truecrypt 7.1a in zadeva je rešena


se strinjam zakaj bi komplcirali, programska koda se ne stara, program je lahko le slab ali dober


Par let, ja. Ampak prej ali slej bo prišlo do problemov, ker se operacijski sistemi razvijajo dalje, pa GTP že sedaj ni podprt pri sistemski enkripciji, pa UEFI, pa gonilnik ne sodeluje najbolje SSD-ji...
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

zee ::

Truecrypta tudi ne mores instalirat v OS X Yosemite.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

sisemen ::

d1w2 je izjavil:

Ravno to ga je ubilo.. preveč je bil varen!


Ne ubilo ga je, da so ljudje zbrali resne denarce za audit kode, po drugi strani pa niso avtorji imeli prakticno nic od programa.

Qushaak ::

SubjectX je izjavil:

Qushaak je izjavil:

Pa se misli za VeraCrypt ali CiperShead kdaj narediti tako temeljit security audit, kot je bil ta za TC, da se potrdi kvaliteto oz da ni backdoor-ov?


To stane. Bos ti placal?

Vem da stane, samo:
- šifrirni algoritmi se bodo razvijali naprej, današnji pa bodo slabeli
- nadaljnje strojno pospeševanje šifriranja
- prilagajanje novim OS-om in morebitne kakšne dodatne funkcionalnosti

Skratka četudi stvar deluje zastara sčasoma zaradi razvoja na drugih področjih.

japol ::

Malo offtopic ampak vseeno: Po branju te teme, sem prebral še starejše in opažam da kar veliko ljudi uporablja TC. Ne morem da ne bi razmišljal o tem, s čim se ti ljudje ukvarjajo oz. zakaj potrebujejo TC. ;)
V kakšnih primerih ga uporabljate?

Jupito ::

japol je izjavil:

Malo offtopic ampak vseeno: Po branju te teme, sem prebral še starejše in opažam da kar veliko ljudi uporablja TC. Ne morem da ne bi razmišljal o tem, s čim se ti ljudje ukvarjajo oz. zakaj potrebujejo TC. ;)
V kakšnih primerih ga uporabljate?


Smešna zgodba, pravzaprav. Nekoč, ko sem bil še butast in delal za druge ljudi, sem imel enega sodelavca, ki je uporabljal to reč na svojem laptopu. In en dan vpisuje tako nerodno z eno roko geslo med malico in preklinja, ker ne prime, pa ga poslovodja vpraša, kaj skriva pred vsemi, da to sploh rabi. Kolega pa kot iz topa: "Kaj te pa kurc briga!" :D
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

tabonir ::

japol je izjavil:

Malo offtopic ampak vseeno: Po branju te teme, sem prebral še starejše in opažam da kar veliko ljudi uporablja TC. Ne morem da ne bi razmišljal o tem, s čim se ti ljudje ukvarjajo oz. zakaj potrebujejo TC. ;)
V kakšnih primerih ga uporabljate?


USB ključ imam šifriran s TC, na njem pa shranjena digitalna potrdila in prenosljivi brskalnik s katerim dostopam do spletne banke.

matijadmin ::

Revizija forka niti ne bi bila tako draga, saj bi revidirali sprva samo popravke/dodatke. Še prej se moramo odločiti, kateri fork bo bolj priljubljen, da bo crowdfundanje smiselno.

Matthai, v Francij lahko fašeš tudi zaporno kazen za nerazkritje gesla, oz. šifriranih podatkov.

Zgodovina sprememb…

LeQuack ::

Države in državni aparati so največji kriminalci, tako da mi je rahlo komično, da jih skrbi če drugi kaj narobe delajo.
Quack !

Zgodovina sprememb…

  • predlagal izbris: arjan_t ()

Oberyn ::

Jaz samo preventivno pomagam oblastem, da ostanejo pošteni. Da jim ne bi kdaj po nesreči malo spodrsnilo. V bistvu človekoljubje.

Poldi112 ::

japol je izjavil:

Malo offtopic ampak vseeno: Po branju te teme, sem prebral še starejše in opažam da kar veliko ljudi uporablja TC. Ne morem da ne bi razmišljal o tem, s čim se ti ljudje ukvarjajo oz. zakaj potrebujejo TC. ;)
V kakšnih primerih ga uporabljate?


Za vse kar spada pod NDA, pa še mal za počez.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

poweroff ::

fosil je izjavil:

Saj Crypto AG zgodbo vso poznamo, ne?

Ne.

https://www.schneier.com/blog/archives/...

fosil je izjavil:

Problem je, da je firma, ki stoji za VeraCryptom francoska. Francozi so ena redkih držav, kjer je bila uporaba kriptografije zunaj vojske in varnostnih služb zakonsko prepovedana. Prepoved so umaknili šele v 1990-tih letih. Tako da Francozom ni ravno za zaupati.

Te logike ne razumem, kaj ima prepoved pred 20 leti karkoli skupnega z današnjim časom?

V Franciji so se do pred 20 leti s kriptografijo smeli ukvarjati samo "preverjeni kadri", povezani s tajnimi službami in vojsko. Neodvisnih raziskovalcev praktično ni bilo.

Tudi ko se embargo sprosti, traja nekaj časa, da se s področjem začnejo ukvarjati ljudje, ki niso povezani s tajnimi službami. Konecc koncev gotovo tudi te službe same skrbijo za to, da imajo vsaj neformalno kontrolo (beri: prijateljske vezi) nad ljudmi, ki se ukvarjajo s tem področjem.

Zato francoskim kriptografom preprosto ne gre zaupati.
sudo poweroff

Oberyn ::

poweroff je izjavil:

Zato francoskim kriptografom preprosto ne gre zaupati.

Kaj pa vem, kolikor sem bral forume, ima glavni razvijalec VeraCrypta Mounir Idrassi velik ugled v tistih krogih. Tudi švicarska veja ga zgleda močno spoštuje, čeprav so na začetku imeli divji spor, ki pa so ga pozneje zgladili. Razen tega je to odprtokodni projekt, vsak mu lahko sproti gleda pod roke (ali kdo res gleda, je pa druga stvar).

poweroff ::

Ja, to je sicer zelo pozitivno. Ampak v zadnjih desetletjih smo videli toliko trikov NSA, da previdnost nikakor ni odveč.
sudo poweroff

fosil ::

Kje pa piše da avtorji TC-ja niso bili francozi, ali pa morda kar sam NSA?
Mogoče so se pa ravno zaradi takih klišejev skrivali.
Čeprav po drugi strani bi lahko temu rekli security thrue obscurity.
Tako je!

matijadmin ::

Francija (kot država) je TrueCrypt prva varnostno (sicer površno) preverila/revidirala do te mere, da je lahko izdala ta certifikat: http://www.ssi.gouv.fr/uploads/IMG/cspn...

V tem kontekstu je zanimiv še 3. odstavek: TrueCrypt @ Wikipedia

To pa je fašizem (o demokraciji venomer pametnih) držav nad malimi ljudmi velikih korakov (glej citirano sodno prakso v VB). Francija nič ne zaostaja po strogosti in togosti! Key disclosure law @ Wikipedia

Zato je TC z nedokazljivim obstojem skrite particije prava izbira!

Zgodovina sprememb…

matijadmin ::

poweroff je izjavil:

fosil je izjavil:

Saj Crypto AG zgodbo vso poznamo, ne?

Ne.

https://www.schneier.com/blog/archives/...

fosil je izjavil:

Problem je, da je firma, ki stoji za VeraCryptom francoska. Francozi so ena redkih držav, kjer je bila uporaba kriptografije zunaj vojske in varnostnih služb zakonsko prepovedana. Prepoved so umaknili šele v 1990-tih letih. Tako da Francozom ni ravno za zaupati.

Te logike ne razumem, kaj ima prepoved pred 20 leti karkoli skupnega z današnjim časom?

V Franciji so se do pred 20 leti s kriptografijo smeli ukvarjati samo "preverjeni kadri", povezani s tajnimi službami in vojsko. Neodvisnih raziskovalcev praktično ni bilo.

Tudi ko se embargo sprosti, traja nekaj časa, da se s področjem začnejo ukvarjati ljudje, ki niso povezani s tajnimi službami. Konecc koncev gotovo tudi te službe same skrbijo za to, da imajo vsaj neformalno kontrolo (beri: prijateljske vezi) nad ljudmi, ki se ukvarjajo s tem področjem.

Zato francoskim kriptografom preprosto ne gre zaupati.


Eh, Matthai. Ker prihajaš iz akademskih krogov, bi lahko vedel, kako bi vsaj morala biti videti avtonomija tega prostora. V Franciji konkretno akademski prostor ima pri tem zelo močno tradicijo. Poleg tega ne živimo več v prejšnjem stoletju, ko so se zavoljo pisemske anonimnosti morali iti tole. Uvoz tehnologije ali prenos znanja je (zakomplicirano) poenostavljen na download, klik, ukucanje URL naslova. Francija tudi ni za nobeno železno zaveso, da se takšni strokovnjaki ne bi tja preselili ali je obiskali. Tudi interesi na strani poštenih (četrti z leve v prvi vrsti) in upravičeno zaskrbljenih so!

Zdaj mi pa povej, da Američani tega ne počnejo! Pa Nemci tudi ne ...

Zgodovina sprememb…

Oberyn ::

matijadmin je izjavil:

Zato je TC z nedokazljivim obstojem skrite particije prava izbira!

Meni se pa ravno tole zdi problem, vsaj v nekaterih okoljih. Namreč druga plat nedokazljivega obstoja je nedokazljivi neobstoj. Geslo lahko vedno izdaš, če presodiš, da ti bo to manj škodovalo. Če se pa oblast odloči, da bo iz tebe z zaporom ali mučenjem ali čim podobnim iztisnila še geslo za skrito particijo (ker ve, da lahko obstaja in presodi, da si jih s prvim geslom nategnil), ti pa skrite particije nimaš, česar ni možno dokazati, no to je pa potem zares terminalno zajebana situacija.

matijadmin ::

Oberyn je izjavil:

matijadmin je izjavil:

Zato je TC z nedokazljivim obstojem skrite particije prava izbira!

Meni se pa ravno tole zdi problem, vsaj v nekaterih okoljih. Namreč druga plat nedokazljivega obstoja je nedokazljivi neobstoj. Geslo lahko vedno izdaš, če presodiš, da ti bo to manj škodovalo. Če se pa oblast odloči, da bo iz tebe z zaporom ali mučenjem ali čim podobnim iztisnila še geslo za skrito particijo (ker ve, da lahko obstaja in presodi, da si jih s prvim geslom nategnil), ti pa skrite particije nimaš, česar ni možno dokazati, no to je pa potem zares terminalno zajebana situacija.


Neumnost.

Špekulacije v tej smeri so bile izrečene, premlevane in zapisane na več mestih, tole je eno: https://falkvinge.net/2012/07/12/in-the...

Ampak, to ne pije vode, za nek naključni šum, te pač ne morejo utemeljeno sumiti, da v njem kaj skrivaš. In posledično niti obsoditi.

Ni še tako hudo, da bi morali imeti zagonski razdelek ali druge podatke skrite v kakšnem el. medicinskem vsadku (kot sta srčni spodbujevalnik ali odmerjevalec zdravil, inzulinska/botoks črpalka) s stranskim kanalom komunikacije in skrito podatkovno kapaciteto.

Zgodovina sprememb…

Oberyn ::

matijadmin je izjavil:

Neumnost.

Saj se strinjam, neumnost, danes in tukaj. Vendar misli tudi na svetli jutri in na kakšen drug del sveta. Mimogrede, v debati na linku, ki si ga zgoraj priložil, ljudje tega niso enoznačno proglasili za neumnost. Je bila debata z resnimi argumenti in protiargumenti.

Markoff ::

LeQuack je izjavil:

Države in državni aparati so največji kriminalci, tako da mi je rahlo komično, da jih skrbi če drugi kaj narobe delajo.

Kriminalec je lahko samo fizična oseba, ne pravna. Tako kot država ne more biti posiljevalec, ti ne moreš biti multinacionalka. Imaš lahko enih 10 pasošev, 200 pa ziher ne. :)

Oberyn je izjavil:

matijadmin je izjavil:

Zato je TC z nedokazljivim obstojem skrite particije prava izbira!

Meni se pa ravno tole zdi problem, vsaj v nekaterih okoljih. Namreč druga plat nedokazljivega obstoja je nedokazljivi neobstoj. Geslo lahko vedno izdaš, če presodiš, da ti bo to manj škodovalo. Če se pa oblast odloči, da bo iz tebe z zaporom ali mučenjem ali čim podobnim iztisnila še geslo za skrito particijo (ker ve, da lahko obstaja in presodi, da si jih s prvim geslom nategnil), ti pa skrite particije nimaš, česar ni možno dokazati, no to je pa potem zares terminalno zajebana situacija.

V takem režimu je nepomembno, kaj je res in kaj ni in ali nekaj obstaja, ne obstaja ali morda obstaja. Mučen boš, če se nekaj ljudi v takem sistemu odločilo, da boš.

Particije in kriptografija gor/dol.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

Zgodovina sprememb…

  • spremenilo: Markoff ()

matijadmin ::

Oberyn je izjavil:

matijadmin je izjavil:

Neumnost.

Saj se strinjam, neumnost, danes in tukaj. Vendar misli tudi na svetli jutri in na kakšen drug del sveta. Mimogrede, v debati na linku, ki si ga zgoraj priložil, ljudje tega niso enoznačno proglasili za neumnost. Je bila debata z resnimi argumenti in protiargumenti.


Se strinjam, da oblastnikom pridejo veliko krat neumnosti na misel. Za takole neumnost pa bi morali precej spremeniti pravni red in koncepte v procesni zakonodaji, o človekovih pravicah ... Ma kakšna indična sodba, to bi šele prava sodba brez Indijcev!

Včasih jim kakšne neumnosti uspejo, IMSI lovilca recimo pri nas še niso popolnoma uzakonili kot so si omislili, a imam občutek, da ga bodo. In to brez pravnih, oz. predvsem tehničnih uravnoteženih varovalk.

Toda, da bi te obsodili za naključni šum, ta bi bila bosa. Potem bi lahko obsodili čisto vsakega državljana, ki premore vsaj en nosilec podatkov.

Jupito ::

V kombinaciji z drugimi indici ne bi bilo 2X za reč... npr. Nekdo je na internetu preko Tora objavil nekaj zelo gnusnega (in nelegalnega). Pri osumljencu je bil varno izbrisan disk (random data). Kakršnokoli pojasnilo že ima, vsakemu policistu in tožilcu tole izgleda kot strorilec, ki skriva, ali pa je uničil dokaze. In v primeru, da to za sodišče ni dovolj, naenkrat izgleda še precej drugim ljudem kot problem, ki ga bo potrebno rešiti s spremembami zakonodaje.

IMSI lovilce ravnokar poskušajo spet vtihotapiti z nekakšno "nujno protiteroristično reformo" (skupaj z trojanci in retencijo prometnih podatkov). Ni še konkretnih dokumentov, ampak ministrica je že ponosno najavila, de delajo na tem (hkrati pa tudi na odpravi "nesorazmernih" omejitev glede dokaznih standardov, prikritih preiskovalnih ukrepov in tajnosti prič (ker ubogim revežem sicer vse pade na sodišču, kadar ne delajo po pravilih).
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

Zgodovina sprememb…

  • spremenil: Jupito ()

matijadmin ::

Jupito je izjavil:

V kombinaciji z drugimi indici ne bi bilo 2X za reč... npr. Nekdo je na internetu preko Tora objavil nekaj zelo gnusnega (in nelegalnega). Pri osumljencu je bil varno izbrisan disk (random data). Kakršnokoli pojasnilo že ima, vsakemu policistu in tožilcu tole izgleda kot strorilec, ki skriva, ali pa je uničil dokaze. In v primeru, da to za sodišče ni dovolj, naenkrat izgleda še precej drugim ljudem kot problem, ki ga bo potrebno rešiti s spremembami zakonodaje.

Kako zgleda kaj ljudem, smo videli v zadevi balkanski bojevnik (vse bi zaprli, četudi sta Policija in DT lagala). Jaz ne bi pretiraval, ker naključen šum z nobenimi drugimi indici, niti dokazi, sam po sebi ne more biti obremenjujoč. Naključni podatki, pač. To je tako kot bi rekli, da je nekdo kriv, ker je srečal po naključju točno te tri (a še vedno naključne) ljudi v istem dnevu. Ni smisla.

Jupito je izjavil:


IMSI lovilce ravnokar poskušajo spet vtihotapiti z nekakšno "nujno protiteroristično reformo" (skupaj z trojanci in retencijo prometnih podatkov). Ni še konkretnih dokumentov, ampak ministrica je že ponosno najavila, de delajo na tem (hkrati pa tudi na odpravi "nesorazmernih" omejitev glede dokaznih standardov, prikritih preiskovalnih ukrepov in tajnosti prič (ker ubogim revežem sicer vse pade na sodišču, kadar ne delajo po pravilih).


Vem. Saj to poizkušajo vseskozi. V določene namene je uporaba že sedaj povsem legalna (iskanje pogrešanih, protiteroristično delovanje). Za vse ostalo pa ni in oni (dobili so jih pri tem) vseskozi ribarijo v kalnem.

Oh, mi bi vse, nimamo pa za burek niti znanja. Trojanca naj pustijo pri miru, ker so se še Nemci krasno opekli ...

Naj raje že enkrat presedlajo z inkvizitorske, pa naj pustijo dokazne standarde pri miru.

Looooooka ::

japol je izjavil:

Malo offtopic ampak vseeno: Po branju te teme, sem prebral še starejše in opažam da kar veliko ljudi uporablja TC. Ne morem da ne bi razmišljal o tem, s čim se ti ljudje ukvarjajo oz. zakaj potrebujejo TC. ;)
V kakšnih primerih ga uporabljate?

Usb kljucek, fake particija pa gor troll.jpg ce slucajno kje ja carini dobijo idejo da bi brskali po telefonu/tablici/kljuckih.

AC_DC ::

TrueCrypt Windows encryption app has critical security flaws
http://www.engadget.com/2015/09/30/true...
http://www.zdnet.com/article/truecrypt-...

Bojda precej kritčna zadeva, ki bo zabila še zadnje žeblje v TC krsto.

Zgodovina sprememb…

  • predlagal izbris: matijadmin ()

bobby ::

A sem prav zastopil, da je to problem, ce uporabljas TCcontainer ali pa imas kriptiran katerokoli particijo znotraj OS-a, bi pa problem, ce imas kriptirano komplet disk, ki zahteva ze ob zagonu najprej geslo predno se zacne boot procedura?
Ce eksplicitno ne odgovorim osebam PNG ali PR,..I dont care about your opinion.

joze67 ::

Če vzameš disk in ga (fizično) montiraš v drug sistem, ki se boota brez gesla oz. za katerega geslo poznaš, si verjetno na case 1.

Qushaak ::

Pa kaj se pol zdej priporoča? VeraCrypt? CipherShed? BitLocker (če smo na Windows-ih samo)? Kaj tretjega?

AC_DC ::

VeraCrypt pravijo da ima buge popravljene, CipherShed boš še malo počakal za stable.

Jst ::

Google Project Zero researcher James Forshaw found two "privilege elevation" holes in the popular software that would give attackers full access to your data.


Iz linka. To sploh ni res. Naši/vaši podatki so varni. Tukaj se gre za windows kernel driver, ki eskalira privilegije. To se lahko uporabi v kakšnem malware-u, da dobi admin dostop. To je samo še en (oz. 2) načina, kako lahko malware eskalira privilegije. Bolj je problem, da dobiš malware in the first place. Sam kripto je pa varen.

Priporoča se VeraCrypt. Bug so pofixali.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Odkriti kritični ranljivosti v TrueCryptu (strani: 1 2 )

Oddelek: Novice / Varnost
5120777 (16190) MrStein
»

Revizija TrueCrypta gre dalje

Oddelek: Novice / Varnost
228582 (4120) Satoshi
»

TrueCrypt v drugem življenju CipherShed

Oddelek: Novice / Varnost
219646 (7875) bluefish
»

Pregled kode TrueCrypta za zdaj ni našel stranskih vrat (strani: 1 2 )

Oddelek: Novice / Varnost
5324758 (21760) bobby

Več podobnih tem