Slo-Tech - Temeljit varnostni pregled kode (security audit) zadnje verzije TrueCrypta 7.1a je pokazal, da v kodi ni nobenih stranskih vrat, namernih ranljivosti ali oslabljenih šifrirnih algoritmov. V programu so našli štiri ranljivosti, ki pa so tam po nerodnosti in nimajo bistvenega vpliva na varnost.
V programu so našli štiri potencialne ranljivosti, med katerimi je najresnejša uporabo vgrajene knjižnice API v Windows za tvorjenje naključnih števil. V primeru, da ta postane nedostopna ali kako drugače kompromitirana, kar se lahko zgodi v posebnih okoliščinah, TrueCrypt ne javi opozorila. Namesto tega začne črpati naključna števila (fall-back) iz nezanesljivih virov (naslovi kazalcev, ID procesov, čas od zagona, položaj miške itd.). Druga nerodnost je implementacija AES, ki je ranljiva na cache-timing.
Kljub temu je rezultat dober za uporabnike TrueCrypta. Poročilo kaže, da je verjetnost možnosti za nameren vdor v TrueCrypt zanemarljiva tudi za NSA in podobne varnostne službe.
Žal je TrueCrypt mrtev in nadaljnjega razvoja ne bo. Ostanki programa so dostopni na švicarski strani, obstajajo pa tudi forki, kot sta VeraCrypt in CiperShed. Kljub nestandardni licenci TrueCrypta so forki načeloma mogoči, čeprav obseg licence ni povsem jasno določen in prvotni avtorji temu niso naklonjeni. Pod drugi strani pa je tudi res, da avtorji TrueCrypta niso znani in da bi se morali za kakršnokoli uveljavljanje avtorskih pravic najprej razkriti. Za zdaj vemo le, da gre verjetno za Čehe.
Kolikor sem gledal, se nekako priporoča VeraCrypt (https://veracrypt.codeplex.com/), kjer so se menda že lotili popravljati teh nekaj ranljivosti.
Problem je, da je firma, ki stoji za VeraCryptom francoska. Francozi so ena redkih držav, kjer je bila uporaba kriptografije zunaj vojske in varnostnih služb zakonsko prepovedana. Prepoved so umaknili šele v 1990-tih letih.
Tako da Francozom ni ravno za zaupati.
Druga alternativa je CipherShed, ki je pa Swiss based, kar je isto problematično. Saj Crypto AG zgodbo vso poznamo, ne?
Problem je, da je firma, ki stoji za VeraCryptom francoska. Francozi so ena redkih držav, kjer je bila uporaba kriptografije zunaj vojske in varnostnih služb zakonsko prepovedana. Prepoved so umaknili šele v 1990-tih letih. Tako da Francozom ni ravno za zaupati.
Te logike ne razumem, kaj ima prepoved pred 20 leti karkoli skupnega z današnjim časom?
Dejansko ne moreš zaupat nobenemu programu, dokler ni narejena taka revizija, pa še potem je vprašanje če zaupaš reviziji.
torej se še naprej uporablja truecrypt 7.1a in zadeva je rešena
se strinjam zakaj bi komplcirali, programska koda se ne stara, program je lahko le slab ali dober
Par let, ja. Ampak prej ali slej bo prišlo do problemov, ker se operacijski sistemi razvijajo dalje, pa GTP že sedaj ni podprt pri sistemski enkripciji, pa UEFI, pa gonilnik ne sodeluje najbolje SSD-ji...
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!
Pa se misli za VeraCrypt ali CiperShead kdaj narediti tako temeljit security audit, kot je bil ta za TC, da se potrdi kvaliteto oz da ni backdoor-ov?
To stane. Bos ti placal?
Vem da stane, samo: - šifrirni algoritmi se bodo razvijali naprej, današnji pa bodo slabeli - nadaljnje strojno pospeševanje šifriranja - prilagajanje novim OS-om in morebitne kakšne dodatne funkcionalnosti
Skratka četudi stvar deluje zastara sčasoma zaradi razvoja na drugih področjih.
Malo offtopic ampak vseeno: Po branju te teme, sem prebral še starejše in opažam da kar veliko ljudi uporablja TC. Ne morem da ne bi razmišljal o tem, s čim se ti ljudje ukvarjajo oz. zakaj potrebujejo TC. ;) V kakšnih primerih ga uporabljate?
Malo offtopic ampak vseeno: Po branju te teme, sem prebral še starejše in opažam da kar veliko ljudi uporablja TC. Ne morem da ne bi razmišljal o tem, s čim se ti ljudje ukvarjajo oz. zakaj potrebujejo TC. ;) V kakšnih primerih ga uporabljate?
Smešna zgodba, pravzaprav. Nekoč, ko sem bil še butast in delal za druge ljudi, sem imel enega sodelavca, ki je uporabljal to reč na svojem laptopu. In en dan vpisuje tako nerodno z eno roko geslo med malico in preklinja, ker ne prime, pa ga poslovodja vpraša, kaj skriva pred vsemi, da to sploh rabi. Kolega pa kot iz topa: "Kaj te pa kurc briga!"
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!
Malo offtopic ampak vseeno: Po branju te teme, sem prebral še starejše in opažam da kar veliko ljudi uporablja TC. Ne morem da ne bi razmišljal o tem, s čim se ti ljudje ukvarjajo oz. zakaj potrebujejo TC. ;) V kakšnih primerih ga uporabljate?
USB ključ imam šifriran s TC, na njem pa shranjena digitalna potrdila in prenosljivi brskalnik s katerim dostopam do spletne banke.
Revizija forka niti ne bi bila tako draga, saj bi revidirali sprva samo popravke/dodatke. Še prej se moramo odločiti, kateri fork bo bolj priljubljen, da bo crowdfundanje smiselno.
Matthai, v Francij lahko fašeš tudi zaporno kazen za nerazkritje gesla, oz. šifriranih podatkov.
Malo offtopic ampak vseeno: Po branju te teme, sem prebral še starejše in opažam da kar veliko ljudi uporablja TC. Ne morem da ne bi razmišljal o tem, s čim se ti ljudje ukvarjajo oz. zakaj potrebujejo TC. ;) V kakšnih primerih ga uporabljate?
Za vse kar spada pod NDA, pa še mal za počez.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Problem je, da je firma, ki stoji za VeraCryptom francoska. Francozi so ena redkih držav, kjer je bila uporaba kriptografije zunaj vojske in varnostnih služb zakonsko prepovedana. Prepoved so umaknili šele v 1990-tih letih. Tako da Francozom ni ravno za zaupati.
Te logike ne razumem, kaj ima prepoved pred 20 leti karkoli skupnega z današnjim časom?
V Franciji so se do pred 20 leti s kriptografijo smeli ukvarjati samo "preverjeni kadri", povezani s tajnimi službami in vojsko. Neodvisnih raziskovalcev praktično ni bilo.
Tudi ko se embargo sprosti, traja nekaj časa, da se s področjem začnejo ukvarjati ljudje, ki niso povezani s tajnimi službami. Konecc koncev gotovo tudi te službe same skrbijo za to, da imajo vsaj neformalno kontrolo (beri: prijateljske vezi) nad ljudmi, ki se ukvarjajo s tem področjem.
Zato francoskim kriptografom preprosto ne gre zaupati.
Zato francoskim kriptografom preprosto ne gre zaupati.
Kaj pa vem, kolikor sem bral forume, ima glavni razvijalec VeraCrypta Mounir Idrassi velik ugled v tistih krogih. Tudi švicarska veja ga zgleda močno spoštuje, čeprav so na začetku imeli divji spor, ki pa so ga pozneje zgladili. Razen tega je to odprtokodni projekt, vsak mu lahko sproti gleda pod roke (ali kdo res gleda, je pa druga stvar).
Kje pa piše da avtorji TC-ja niso bili francozi, ali pa morda kar sam NSA? Mogoče so se pa ravno zaradi takih klišejev skrivali. Čeprav po drugi strani bi lahko temu rekli security thrue obscurity.
Francija (kot država) je TrueCrypt prva varnostno (sicer površno) preverila/revidirala do te mere, da je lahko izdala ta certifikat: http://www.ssi.gouv.fr/uploads/IMG/cspn...
To pa je fašizem (o demokraciji venomer pametnih) držav nad malimi ljudmi velikih korakov (glej citirano sodno prakso v VB). Francija nič ne zaostaja po strogosti in togosti! Key disclosure law @ Wikipedia
Zato je TC z nedokazljivim obstojem skrite particije prava izbira!
Problem je, da je firma, ki stoji za VeraCryptom francoska. Francozi so ena redkih držav, kjer je bila uporaba kriptografije zunaj vojske in varnostnih služb zakonsko prepovedana. Prepoved so umaknili šele v 1990-tih letih. Tako da Francozom ni ravno za zaupati.
Te logike ne razumem, kaj ima prepoved pred 20 leti karkoli skupnega z današnjim časom?
V Franciji so se do pred 20 leti s kriptografijo smeli ukvarjati samo "preverjeni kadri", povezani s tajnimi službami in vojsko. Neodvisnih raziskovalcev praktično ni bilo.
Tudi ko se embargo sprosti, traja nekaj časa, da se s področjem začnejo ukvarjati ljudje, ki niso povezani s tajnimi službami. Konecc koncev gotovo tudi te službe same skrbijo za to, da imajo vsaj neformalno kontrolo (beri: prijateljske vezi) nad ljudmi, ki se ukvarjajo s tem področjem.
Zato francoskim kriptografom preprosto ne gre zaupati.
Eh, Matthai. Ker prihajaš iz akademskih krogov, bi lahko vedel, kako bi vsaj morala biti videti avtonomija tega prostora. V Franciji konkretno akademski prostor ima pri tem zelo močno tradicijo. Poleg tega ne živimo več v prejšnjem stoletju, ko so se zavoljo pisemske anonimnosti morali iti tole. Uvoz tehnologije ali prenos znanja je (zakomplicirano) poenostavljen na download, klik, ukucanje URL naslova. Francija tudi ni za nobeno železno zaveso, da se takšni strokovnjaki ne bi tja preselili ali je obiskali. Tudi interesi na strani poštenih (četrti z leve v prvi vrsti) in upravičeno zaskrbljenih so!
Zdaj mi pa povej, da Američani tega ne počnejo! Pa Nemci tudi ne ...
Zato je TC z nedokazljivim obstojem skrite particije prava izbira!
Meni se pa ravno tole zdi problem, vsaj v nekaterih okoljih. Namreč druga plat nedokazljivega obstoja je nedokazljivi neobstoj. Geslo lahko vedno izdaš, če presodiš, da ti bo to manj škodovalo. Če se pa oblast odloči, da bo iz tebe z zaporom ali mučenjem ali čim podobnim iztisnila še geslo za skrito particijo (ker ve, da lahko obstaja in presodi, da si jih s prvim geslom nategnil), ti pa skrite particije nimaš, česar ni možno dokazati, no to je pa potem zares terminalno zajebana situacija.
Zato je TC z nedokazljivim obstojem skrite particije prava izbira!
Meni se pa ravno tole zdi problem, vsaj v nekaterih okoljih. Namreč druga plat nedokazljivega obstoja je nedokazljivi neobstoj. Geslo lahko vedno izdaš, če presodiš, da ti bo to manj škodovalo. Če se pa oblast odloči, da bo iz tebe z zaporom ali mučenjem ali čim podobnim iztisnila še geslo za skrito particijo (ker ve, da lahko obstaja in presodi, da si jih s prvim geslom nategnil), ti pa skrite particije nimaš, česar ni možno dokazati, no to je pa potem zares terminalno zajebana situacija.
Ampak, to ne pije vode, za nek naključni šum, te pač ne morejo utemeljeno sumiti, da v njem kaj skrivaš. In posledično niti obsoditi.
Ni še tako hudo, da bi morali imeti zagonski razdelek ali druge podatke skrite v kakšnem el. medicinskem vsadku (kot sta srčni spodbujevalnik ali odmerjevalec zdravil, inzulinska/botoks črpalka) s stranskim kanalom komunikacije in skrito podatkovno kapaciteto.
Saj se strinjam, neumnost, danes in tukaj. Vendar misli tudi na svetli jutri in na kakšen drug del sveta. Mimogrede, v debati na linku, ki si ga zgoraj priložil, ljudje tega niso enoznačno proglasili za neumnost. Je bila debata z resnimi argumenti in protiargumenti.
Države in državni aparati so največji kriminalci, tako da mi je rahlo komično, da jih skrbi če drugi kaj narobe delajo.
Kriminalec je lahko samo fizična oseba, ne pravna. Tako kot država ne more biti posiljevalec, ti ne moreš biti multinacionalka. Imaš lahko enih 10 pasošev, 200 pa ziher ne. :)
Zato je TC z nedokazljivim obstojem skrite particije prava izbira!
Meni se pa ravno tole zdi problem, vsaj v nekaterih okoljih. Namreč druga plat nedokazljivega obstoja je nedokazljivi neobstoj. Geslo lahko vedno izdaš, če presodiš, da ti bo to manj škodovalo. Če se pa oblast odloči, da bo iz tebe z zaporom ali mučenjem ali čim podobnim iztisnila še geslo za skrito particijo (ker ve, da lahko obstaja in presodi, da si jih s prvim geslom nategnil), ti pa skrite particije nimaš, česar ni možno dokazati, no to je pa potem zares terminalno zajebana situacija.
V takem režimu je nepomembno, kaj je res in kaj ni in ali nekaj obstaja, ne obstaja ali morda obstaja. Mučen boš, če se nekaj ljudi v takem sistemu odločilo, da boš.
Particije in kriptografija gor/dol.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
Saj se strinjam, neumnost, danes in tukaj. Vendar misli tudi na svetli jutri in na kakšen drug del sveta. Mimogrede, v debati na linku, ki si ga zgoraj priložil, ljudje tega niso enoznačno proglasili za neumnost. Je bila debata z resnimi argumenti in protiargumenti.
Se strinjam, da oblastnikom pridejo veliko krat neumnosti na misel. Za takole neumnost pa bi morali precej spremeniti pravni red in koncepte v procesni zakonodaji, o človekovih pravicah ... Ma kakšna indična sodba, to bi šele prava sodba brez Indijcev!
Včasih jim kakšne neumnosti uspejo, IMSI lovilca recimo pri nas še niso popolnoma uzakonili kot so si omislili, a imam občutek, da ga bodo. In to brez pravnih, oz. predvsem tehničnih uravnoteženih varovalk.
Toda, da bi te obsodili za naključni šum, ta bi bila bosa. Potem bi lahko obsodili čisto vsakega državljana, ki premore vsaj en nosilec podatkov.
V kombinaciji z drugimi indici ne bi bilo 2X za reč... npr. Nekdo je na internetu preko Tora objavil nekaj zelo gnusnega (in nelegalnega). Pri osumljencu je bil varno izbrisan disk (random data). Kakršnokoli pojasnilo že ima, vsakemu policistu in tožilcu tole izgleda kot strorilec, ki skriva, ali pa je uničil dokaze. In v primeru, da to za sodišče ni dovolj, naenkrat izgleda še precej drugim ljudem kot problem, ki ga bo potrebno rešiti s spremembami zakonodaje.
IMSI lovilce ravnokar poskušajo spet vtihotapiti z nekakšno "nujno protiteroristično reformo" (skupaj z trojanci in retencijo prometnih podatkov). Ni še konkretnih dokumentov, ampak ministrica je že ponosno najavila, de delajo na tem (hkrati pa tudi na odpravi "nesorazmernih" omejitev glede dokaznih standardov, prikritih preiskovalnih ukrepov in tajnosti prič (ker ubogim revežem sicer vse pade na sodišču, kadar ne delajo po pravilih).
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!
V kombinaciji z drugimi indici ne bi bilo 2X za reč... npr. Nekdo je na internetu preko Tora objavil nekaj zelo gnusnega (in nelegalnega). Pri osumljencu je bil varno izbrisan disk (random data). Kakršnokoli pojasnilo že ima, vsakemu policistu in tožilcu tole izgleda kot strorilec, ki skriva, ali pa je uničil dokaze. In v primeru, da to za sodišče ni dovolj, naenkrat izgleda še precej drugim ljudem kot problem, ki ga bo potrebno rešiti s spremembami zakonodaje.
Kako zgleda kaj ljudem, smo videli v zadevi balkanski bojevnik (vse bi zaprli, četudi sta Policija in DT lagala). Jaz ne bi pretiraval, ker naključen šum z nobenimi drugimi indici, niti dokazi, sam po sebi ne more biti obremenjujoč. Naključni podatki, pač. To je tako kot bi rekli, da je nekdo kriv, ker je srečal po naključju točno te tri (a še vedno naključne) ljudi v istem dnevu. Ni smisla.
IMSI lovilce ravnokar poskušajo spet vtihotapiti z nekakšno "nujno protiteroristično reformo" (skupaj z trojanci in retencijo prometnih podatkov). Ni še konkretnih dokumentov, ampak ministrica je že ponosno najavila, de delajo na tem (hkrati pa tudi na odpravi "nesorazmernih" omejitev glede dokaznih standardov, prikritih preiskovalnih ukrepov in tajnosti prič (ker ubogim revežem sicer vse pade na sodišču, kadar ne delajo po pravilih).
Vem. Saj to poizkušajo vseskozi. V določene namene je uporaba že sedaj povsem legalna (iskanje pogrešanih, protiteroristično delovanje). Za vse ostalo pa ni in oni (dobili so jih pri tem) vseskozi ribarijo v kalnem.
Oh, mi bi vse, nimamo pa za burek niti znanja. Trojanca naj pustijo pri miru, ker so se še Nemci krasno opekli ...
Naj raje že enkrat presedlajo z inkvizitorske, pa naj pustijo dokazne standarde pri miru.
Malo offtopic ampak vseeno: Po branju te teme, sem prebral še starejše in opažam da kar veliko ljudi uporablja TC. Ne morem da ne bi razmišljal o tem, s čim se ti ljudje ukvarjajo oz. zakaj potrebujejo TC. ;) V kakšnih primerih ga uporabljate?
Usb kljucek, fake particija pa gor troll.jpg ce slucajno kje ja carini dobijo idejo da bi brskali po telefonu/tablici/kljuckih.
A sem prav zastopil, da je to problem, ce uporabljas TCcontainer ali pa imas kriptiran katerokoli particijo znotraj OS-a, bi pa problem, ce imas kriptirano komplet disk, ki zahteva ze ob zagonu najprej geslo predno se zacne boot procedura?
Ce eksplicitno ne odgovorim osebam PNG ali PR,..I dont care about your opinion.
Google Project Zero researcher James Forshaw found two "privilege elevation" holes in the popular software that would give attackers full access to your data.
Iz linka. To sploh ni res. Naši/vaši podatki so varni. Tukaj se gre za windows kernel driver, ki eskalira privilegije. To se lahko uporabi v kakšnem malware-u, da dobi admin dostop. To je samo še en (oz. 2) načina, kako lahko malware eskalira privilegije. Bolj je problem, da dobiš malware in the first place. Sam kripto je pa varen.
Priporoča se VeraCrypt. Bug so pofixali.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
