Krebs On Security - Spletna stran priljubljene brezplačne (in delno odprtokodne) rešitve za šifriranje diska TrueCrypt (truecrypt.org) od včeraj več ne obstaja, ampak le še preusmerja na projektovo domačo stran na portalu SourceForge. Tam pa je prisotno opozorilo, da "Uporabe TrueCrypt več ne priporočajo, ker bi lahko vsebovala več varnostnih pomanjkljivosti". V nadaljevanju so nato navodila za migracijo na druge rešitve (zlasti Bitlocker, ki ga je moč najti v nedavnih različicah Oken), ter povezava na orodja za dekripcijo in izvoz podatkov iz obstoječih TrueCrypt particij.
Okoli najave se poraja veliko vprašanj. Ni jasno, kaj točno se je zgodilo ter ali je TrueCrpyt sploh še varen. Nedavni delni varnostni pregled (t.i. security audit) za katerega se je lani nabralo za približno 70 tisoč dolarjev donacij, sicer ni pokazal nobenih lukenj. Tako se vse bolj govori, da se je ekipa, ki pripravlja TrueCrypt, preprosto naveličala svojega dela. Ob poplavi drugih, bolj popularnih rešitev za šifriranje diskov, naj bi si našli za delo kaj bolj zanimivega. Ker pa se pod svoje dosedanje delo niso nikoli podpisovali, jih za odgovore ni mogoče vprašati.
Tej teoriji govori v prid tudi dejstvo, da so priložena orodja za dekriptiranje podpisana s starim (veljavnim) zasebnim ključem te ekipe in tudi, da najavi po več kot 24-ih urah ni še nihče nasprotoval. Z migracijo na drugo orodje tako bržkone velja počakati, vsaj dokler se ta dim ne poleže. Govori se že tudi, da bi lahko delo prevzela kaka druga ekipa, a naj bi bilo treba rešiti še nekatera pravna vprašanja glede njihove (malo posebne) licence.
Opozorilo z njihove strani se mi zdi precej splošno in ne namiguje na kaj konkretnega, temveč uporabnike usmerja k previdnmu ravnanju v bodoče, saj je ta kos programja ostal brez popravkov/razvoja.
Je pa napotitev na uporabo Bitlocker šifriranja bizarna.
BitLocker, FileVault in LUKS so najpogosteje uporabljeni na posamičnih operaciskih sistemih. TC je bil zanimiv predvsem zaradi svoje agnostičnosti glede opearcijskega sistema, vendar pa so tam v podjetjih postali zelo popularni USB ključki s strojno podprtim šifriranjem (lahko tudi možnostjo samouničenja).
Preostanek sveta pa predstavljajo ljudje, ki jih šifriranje ni ganilo in za TC niso niti slišali, ter majhna skupinica (gledano v deležu) entuziastov, ki so si izbrali programsko rešitev pred strojno.
V resnici resnih (=zaupanja vrednih / auditanih) alternativ niti ni. eCryptFS je slaba šala, čeprav za specifične namene uporaben. LUKS pa ni bil auditan.
BitLocker, FileVault in LUKS so najpogosteje uporabljeni na posamičnih operaciskih sistemih. TC je bil zanimiv predvsem zaradi svoje agnostičnosti glede opearcijskega sistema, vendar pa so tam v podjetjih postali zelo popularni USB ključki s strojno podprtim šifriranjem (lahko tudi možnostjo samouničenja).
TC je bil uporaben tudi na precej home-us mašinah in laptopih, kjer BitLocker zaradi dragih Windowsov oz. pomanjkanja TPM čipa ni hotel delovati (uporabljati si moral dodaten USB ključek, ki je bil bistveno bolj neroden kot pa passphrase).
Prav tako ga je bilo bistveno lažje postaviti na obstoječi OS kot pa vklapljati BitLocker.
Maverik pa saj to ni problem..... TC bo pač naprej delal, kot do sedaj, verjamemo, da velikih lukenj ni, NSA-a bi pa seveda bil bolj srečen, da se uporabljajo MS rešitve z vgrajenimi back doori , saj ekvivalent je npr. telefonija Skype, samo , da so tam MS-u naročili naj ga kupi in preusmeri in centralizira vse pogovore, kar je tudi storil, samo Skype je le uporabna rešitev in nam dol visi če poslušajo, kriptiranje je pa že tak tak, ne vidim nobene prednosti prehoda kam drugam, slabosti pa NORO PREVEČ. In pa ja na koncu naši tega ne bodo znali zlomiti, bodo pa za te stvari NSA mastno plačevali iz naših žepov ....davkoplačevalskih.... tako, da TC bo še kar dolgo uporaben ;)
Če odmislimo tisto o "popularnih", se dejansko hitro znajdeš v poplavi, če povprašaš svoj najljubši iskalnik, tako da povpraševanje po softwerskih 3. party rešitvah tudi ne more biti tako majhno, če očitno vsak klinc, ki ima 5 min. časa ponuja eno. Če pa so primerljive s TC in dobre pa je seveda spet drugo vprašanje...
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!
BitLocker, FileVault in LUKS so najpogosteje uporabljeni na posamičnih operaciskih sistemih. TC je bil zanimiv predvsem zaradi svoje agnostičnosti glede opearcijskega sistema, vendar pa so tam v podjetjih postali zelo popularni USB ključki s strojno podprtim šifriranjem (lahko tudi možnostjo samouničenja).
TC je bil uporaben tudi na precej home-us mašinah in laptopih, kjer BitLocker zaradi dragih Windowsov oz. pomanjkanja TPM čipa ni hotel delovati (uporabljati si moral dodaten USB ključek, ki je bil bistveno bolj neroden kot pa passphrase).
Prav tako ga je bilo bistveno lažje postaviti na obstoječi OS kot pa vklapljati BitLocker.
Uporabnikov, ki bi sistemski disk šifrirali s TC ni bilo nikoli na pretek. Večinoma smo to bili entuziasti, ki se nam je dalo. Ostali so uporabili kar so dobili "v škatli" (torej sistemsko rešitev) ali pa katero izmed dodatnih komercialnih PGP/Symantec/McAffee rešitev.
Razen tega, da Bitlocker MS-jev, Je na voljo le v "top of the line" edicijah: v Win7 Ultimate in Win8 Pro in pa v Enterprise.
Ter v Visti:
"BitLocker is available in the Enterprise and Ultimate editions of Windows Vista and Windows 7. It is also available in the Pro and Enterprise editions of Windows 8." BitLocker @ Wikipedia
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Od Windows 8.1 naprej je BitLocker v vseh verzijah. Ne samo to, celo po defultu se vklopi na sveži inštalaciji, če so hardware zahteve izpolnjene! Torej nič več bootanja z Linuxom, da prideš do filov od kakega laika. Bo treba kar lepo admin/Microsoft geslo poznati.
Zaščita z BitLockerjem je proti špijonom in tatovom zadosti. Za kaj bolj občutljivega pa je TrueCrypt res nekako bil standard, pač dovolj poznan, da se mu je zaupalo. Zdaj bo očitno v tem segmentu luknja, dokler nek drug odprti software ne pridobi takega zaupanja/popularnosti. Oziroma TrueCrypt 7.1a bo pač nekaj časa kar iskana zadeva, treba nek zanesljivo kopijo dobit:)
Od Windows 8.1 naprej je BitLocker v vseh verzijah. Ne samo to, celo po defultu se vklopi na sveži inštalaciji, če so hardware zahteve izpolnjene! Torej nič več bootanja z Linuxom, da prideš do filov od kakega laika. Bo treba kar lepo admin/Microsoft geslo poznati.
Zaščita z BitLockerjem je proti špijonom in tatovom zadosti. Za kaj bolj občutljivega pa je TrueCrypt res nekako bil standard, pač dovolj poznan, da se mu je zaupalo. Zdaj bo očitno v tem segmentu luknja, dokler nek drug odprti software ne pridobi takega zaupanja/popularnosti. Oziroma TrueCrypt 7.1a bo pač nekaj časa kar iskana zadeva, treba nek zanesljivo kopijo dobit:)
Kako varen je BitLocker, ne vemo. Preveriti pa ne moremo, čeprav velikim in pomembnim kupcem, najemnikom programske opreme MS omogoči vpogled kode.
Bi se pa dalo precej enostavno preveriti BitLocker. Ameriškim varnostnim organom "podtakneš" krasno najdbo, nek šifriran medij, ki naj bi si ga izmenjali tako zelo osovraženi teroristi. Pa not sporočila in v njih od soseda "Bošnjaka s skrajnimi idejami" naslov, kjer naj bi se sestali neznanci z iskano osebo, osumljeno terorizma.
Drugače pa, TC do nedavnega sploh ni veljal za niti približno varnega. Uporabljali so ga pa vsi. Popularni != varno, ravno tako odprtokodno != varno.
Kako varen je BitLocker, ne vemo. Preveriti pa ne moremo, čeprav velikim in pomembnim kupcem, najemnikom programske opreme MS omogoči vpogled kode.
source ni dovolj, moras se preveriti da je binary resnicno compilan iz tega kar si ti videl
edit: in potreben je bil heartbleed da so podjetja z miljardami zasluzka uspela skupaj nabrat 4 miljone za 3 leta (Core Infrastructure Initiative), porazno
Od Windows 8.1 naprej je BitLocker v vseh verzijah. Ne samo to, celo po defultu se vklopi na sveži inštalaciji, če so hardware zahteve izpolnjene! Torej nič več bootanja z Linuxom, da prideš do filov od kakega laika. Bo treba kar lepo admin/Microsoft geslo poznati.
Zaščita z BitLockerjem je proti špijonom in tatovom zadosti. Za kaj bolj občutljivega pa je TrueCrypt res nekako bil standard, pač dovolj poznan, da se mu je zaupalo. Zdaj bo očitno v tem segmentu luknja, dokler nek drug odprti software ne pridobi takega zaupanja/popularnosti. Oziroma TrueCrypt 7.1a bo pač nekaj časa kar iskana zadeva, treba nek zanesljivo kopijo dobit:)
Ne vem sicer, če so do zdaj kaj spremenili ali pa se da kako izgoniti onemu "online" delu in uporabljati kot klasičen BL, ker se nisem ukvarjal s tem že iz principa (manj Majkrosoftov v mojem življenju, ne pa še več ).
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!
Ne vem sicer, če so do zdaj kaj spremenili ali pa se da kako izgoniti onemu "online" delu in uporabljati kot klasičen BL, ker se nisem ukvarjal s tem že iz principa (manj Majkrosoftov v mojem življenju, ne pa še več ).
Nič drugačen ni od prej, samo pač avtomatika. Komot izklopiš zadevo in na novo ročno vklopiš, tokrat brez online backupa, če je to bojazen:)
Ampak se mi zdi smešno, da bi se bal online hrambe recovery keya, ker potem bi se moral že apriori bati tudi BitLockerja. Ta online hramba je edina rešitev za povprečnega Janeza, ki ni sposoben skrbeti za recovery key in bi v nasprotnem primeru bilo veliko primerov izgube podatkov... Ne samo za Janeza, tudi meni je prav všeč. Če bi se hotel ščitil proti Microsoftu namreč tudi Windowsov ne bi uporabljal. Moja filozofija je, da je vseeno ali je en Microsoft v življenju ali pa 10:)
Prišlo mi je na misel, zakaj Ubuntu ne integrira neke fajn enkripcije. Ubuntu/Linux koda ima namreč precej piscev in popravljalcev kode...
V resnici resnih (=zaupanja vrednih / auditanih) alternativ niti ni. eCryptFS je slaba šala, čeprav za specifične namene uporaben. LUKS pa ni bil auditan.
Če rabiš. Sem slučajno downloadal 3 dni nazaj. Očitno imam vedeževalne sposobnosti :D
V undergroundu se govori, da je bila verzija 7.1a morda pred časom spremenjena (kompromitirana). Jaz imam nekje eno verzijo, ki je stara skoraj eno leto.
Prišlo mi je na misel, zakaj Ubuntu ne integrira neke fajn enkripcije. Ubuntu/Linux koda ima namreč precej piscev in popravljalcev kode...
Saj jo. Imaš Cryptsetup/LUKS (full disk encryption) ter eCraptFS, ki je per-user encryption. S tem, da je e-CryptFS precej problematičen iz stališč avarbosti.
V undergroundu se govori, da je bila verzija 7.1a morda pred časom spremenjena (kompromitirana). Jaz imam nekje eno verzijo, ki je stara skoraj eno leto.
Sem preveril mojo Windows verzijo (samo štiri datoteke) staro več kot leto z verzijo, ki sem jo prenesel včeraj - checksum je identičen.
Sicer ne glede na to se sifriranje diskov in zunanjih medijev uporablja (za vecino fizicnih in poslovnih uporabnikov) predvsem za varovanje podatkov v primeru da oprema pride v napacne roke oz. je ukradena in tako ni potrebno skrbeti kdo vse bi lahko dobil dostop do podatkov. Glede NSA in podobnih organizacij vecina niti ne razmislja, ker je precej velika verjetnost da bi na kak drug nacin prisli do podatkov, ce bi ze imeli namen.
V undergroundu se govori, da je bila verzija 7.1a morda pred časom spremenjena (kompromitirana). Jaz imam nekje eno verzijo, ki je stara skoraj eno leto.
Sem preveril mojo Windows verzijo (samo štiri datoteke) staro več kot leto z verzijo, ki sem jo prenesel včeraj - checksum je identičen.
Podzemlje, sploh pa v globinah medmrežja je v pretiravanju bizarno.
Kot je že Matthai povedal, za Linux imate Cryptsetup/LUKS, ki ga nekatere distre podpirajo kar iz namestilnika, pri drugih pa je potrebno malce potelovaditi za šifriranje celega diska. Podobno velja za BSD, kjer je na voljo GELI za celoten disk in GBDE ter PEFS (zelo zanimiva in obetajoča reč) za vse ostalo.
V undergroundu se govori, da je bila verzija 7.1a morda pred časom spremenjena (kompromitirana). Jaz imam nekje eno verzijo, ki je stara skoraj eno leto.
Sem preveril mojo Windows verzijo (samo štiri datoteke) staro več kot leto z verzijo, ki sem jo prenesel včeraj - checksum je identičen.
Tudi sam sem preveril z verzijo dnlw avgusta 2012 in je enako. Imam pa še celo verzijo 7.1 brez a ja iz leta 2011.
V enem intervjuju je Mark povedal, da jim je pomembno, da stvari delajo in da izgledajo dobro.
V bistvu se s tem strinjam. Zadeva mora najprej delat, opravljat osnovno funkcionalnost, potem pa lahko gremo na varnost. Vseeno pa bi se lahko bolj potrudili z integracijo obstoječih varnostnih rešitev.
Če rabi kdo verzijo 7.1a-x64 za linux jo imam na disku od decembra 2013. Starejše sm pa očitno pobrisal.
In general, high velocity doesn't produce harmful injuries.
But what is dangerous is the high acceleration
or deceleration given at a certain time interval.
). 