Slo-Tech - Fraunhoferjev inštitut za varno informacijsko tehnologijo (Fraunhofer SIT) je objavil podrobno 77 strani dolgo poročilo pregleda kode programa za šifriranje podatkov TrueCrypt, ki so ga izvedli za nemški Zvezni urad za varnost v informacijski tehniki (BSI). V njem so potrdili rezultate predhodnih pregledov kode, da je TrueCrypt sorazmerno varen kos kode. Sicer vsebuje nekaj varnostnih ranljivosti, a ne v sami izvedbi šifrirnega algoritma, temveč v podporni kodi.

Spomnimo, da je Googlov Project Zero pred poldrugim mesecem v kodi TrueCrypta odkril dve resni varnostni ranljivosti, ki v teoriji omogočata pridobitev privilegiranega dostopa do računalnika, na katerem teče TrueCrypt. Poleg teh ranljivosti je Fraunhofer SIT v kodi našel še nekaj...

threatpost - TrueCrypt je še vedno precej priljubljen program za šifriranje podatkov, pa čeprav so maja lani razvijalci še vedno ne docela pojasnjeno in v precejšnji naglici prekinili razvoj programa. Temeljit varnostni pregled njegove izvorne kode (audit) se je kljub ustavitvi razvoja nadaljeval in ni odkril večjih pomanjkljivosti v kodi. Sedaj pa so odkrili dve ranljivosti, ki omogočata napad na sisteme, ki imajo nameščen TrueCrypt. Varnostni strokovnjaki zato vsem, ki morebiti še vedno vztrajajo na TrueCryptu, svetujejo, da se od njega resnično poslovijo.

Ranljivosti je našel James Forshaw iz Googlovega Project Zero in o njihovem obstoju svet najprej obvestil prek Twitterja. Ranljivosti sta bili...

Slo-Tech - Temeljit varnostni pregled kode (security audit) zadnje verzije TrueCrypta 7.1a je pokazal, da v kodi ni nobenih stranskih vrat, namernih ranljivosti ali oslabljenih šifrirnih algoritmov. V programu so našli štiri ranljivosti, ki pa so tam po nerodnosti in nimajo bistvenega vpliva na varnost.

Zgodba TrueCrypta se je vseeno končala precej nenavadno. Lani maja so avtorji sporočili, da projekta ne bodo več razvijali in uporabo odsvetujejo, ker da program vsebuje varnostne ranljivosti. Revizija kode, ki se je začela že pred tem, se je vseeno nadaljevala. Tako smo te dni dobili uradno poročilo o rezultatih...

Slo-Tech - Razvijalci so TrueCrypt nehali posodabljati in podpirati maja letos, kar je postavilo precej vprašanj. Na spletni strani so skopo zapisali, da uporabe programa ne priporočajo, ker bi lahko vseboval več varnostnih pomanjkljivosti, natančnejši pa niso bili. Ker identiteta avtorjev ni bila nikoli znana, je bila situacija še bolj nenavadna. Toda TrueCrypt ne bo umrl.

Prvi garant za to je kriptografski pregled kode, ki kljub ukinitvi razvoja teče dalje. Če se bo izkazalo - in preliminarni rezultati so vzpodbudni - da je TrueCrypt varen, ga še vedno lahko uporabljamo. V ta namen so postavili stran TrueCrypt.ch, kjer je moč najti vse relevantne informacije,...

Ars Technica - Čeprav se je razvoj TrueCrypta končal na sila čuden način, je program še daleč od mrtvega kosa kode. Medtem ko se je razvijalska ekipa iz neznanih razlogov odločila opustiti svoje delo, projekt temeljitega varnostnega pregleda kode (security audit) še vedno teče.

Projekt Open Crypto Audit, ki je že lani začel pregledovati njegovo kodo, se nadaljuje. Za financiranje tega početja so nameravali zbrati 25.000 dolarjev, pa so do danes nabrali že več kot 70.000 dolarjev, kar je več kot dovolj za pregled kode. Kenn White, ki vodi organizacijo pregleda, je povedal, da se pregled nadaljuje ne glede na razvoj dogodkov.

Spomnimo, da je prva faza pregleda že končana. Pri analizi kode so namreč ugotovili, da razen nekaj površnosti resnih napak,...

Slo-Tech - Pred kratkim je izšel TrueCrypt 7.0, ki prinaša kar nekaj novosti. Prva je, da TrueCrypt sedaj omogoča strojno pospeševanje AES šifriranja, ki sicer deluje le na nekaterih procesorjih (ki vsebujejo podporo za AES), je pa na njih šifriranje 4 do 8-krat hitrejše.

Poleg tega TrueCrypt v okolju Windows omogoča tudi samodejen priklop šifriranih naprav (npr. USB diskov), omogoča pa tudi šifriranje celotnih particij z velikostmi sektorjev 4096, 2048 ali 1024 bajtov. TrueCrypt zna po novem v okolju Windows 7/Vista/2008/2008R2 tudi šifrirati hibernacijske datoteke.

TrueCrypt je na voljo za brezplačen prenos in sicer za okolje Linux (GUI in ukazna različica), Windows in Mac OS.

Slo-Tech - Joanna Rutkowska je pred nekaj dnevi na svojem blogu objavila opis novega napada na šifrirni program TrueCrypt, poimenovan Evil Maid napad (napad zlobne sobarice). Na možnost takega napada sicer opozarjajo že avtorji programa TrueCrypt, a Joanna nam je tokrat postregla s konkretno možnostjo izvedbe napada.

Stvar gre takole. Uporabnik v hotelski sobi pusti ugasnjen prenosni računalnik, na katerem so s TrueCryptom...

TrueCrypt Foundation - Danes je izšla peta različica brezplačnega in odprtokodnega programa TrueCrypt, ki je namenjen šifriranju diskovnih razdelkov.

TrueCrypt 5.0 med drugim prinaša podporo za šifrirane Windows zagonske razdelke (tim. pre-boot authentication), različico za MAC OSX ter končno tudi grafični vmesnik za Linux.

Za prihodnje različice pa napovedujejo podporo za zunanje avtentikacijske module (npr. zunanje kriptografske naprave), podporo za "surove" CD/DVD nosilce ter API vmesnik za TrueCrypt.

Naj spomnimo, da TrueCrypt omogoča tudi uporabo skritih razdelkov oz. tim. verodostojnega zanikanja (ang. plausible deniability), mogoče ga je uporabljati tudi v tim. potovalnem načinu (npr. iz USB ključka), poleg gesel pa lahko uporabimo tudi datoteke s ključem (ang. keyfile).

TrueCrypt je orožje, namesti ga na računalnik!

TrueCrypt Foundation - Pri TrueCrypt Foundation so izdali novo različico šifrirnega programa TrueCrypt, in sicer 4.1.

Razlog za izdajo nove različice je odkritje uspešnega napada na verodostojno zanikanje (ang. plausible deniability) obstoja skritih šifriranih particij. Problem in uspešen napad na TrueCrypt je bil opisan na USENETU v oddelku sci.crypt ( sporočilo 5. novembra 2005 ter sporočilo 8. novembra 2005. Če namreč na določen del skrite particije zapišemo posebej pripravljene podatke, je mogoče kasneje šifrirano particijo razlikovati od naključnih podatkov na ostalih delih šifriranega diska.

Pri tem je potrebno poudariti, da napad ne razkrije šifrirane vsebine, pač pa zgolj obstoj skrite particije. Napad je deloval na vseh prejšnjih različicah TrueCrypta, razen pri particijah šifriranih z AES-Blowfish ali AES-Blowfish-Serpent.

Uporabnikom, ki potrebujejo verodostojno zanikanje pri TrueCryptu svetujejo, da si z novo različico ustvarijo nov šifriran disk in podatke iz starega prekopirajo nanj.