The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Инициатива по аудиту Truecrypt на предмет наличия бэкдора

18.10.2013 20:27

Несколько исследователей безопасности выступили с инициативой проведения аудита Truecrypt, популярного открытого приложения для шифрования дисковых разделов, число загрузок которого с сайта проекта превысило 28 млн. Несмотря на то, что используемые в программе методы шифрования явно не были скомпрометированы, а код программы открыт и доступен для аудита, некоторые из исследователей подозрительно относятся к данному приложению.

Во-первых, авторы приложения остаются анонимными, никто не знает, кто действительно разрабатывает Truecrypt. Во-вторых, нет никаких гарантий, что бинарные сборки, которые составляют основную массу загрузок, не содержат закладок и собраны на основании публично доступного исходного кода без внесения скрытых изменений. Более того, выявлены факты, которые свидетельствуют о расхождении поведения сборки для Windows со сборкой для Linux и вариантом, собранным из исходных текстов. В частности, при использовании Windows-сборки последние 65024 байта заголовка шифрованного раздела заполняются шифрованными случайными значениями, в то время как в Linux-сборке данная область заполняется шифрованными нулями.

Неясно, что именно скрывается за случайным набором данных и почему поведение разных сборок отличается. Недавние разоблачения деятельности АНБ по обеспечению доступа к шифрованным коммуникациям подогрели интерес к подтверждению или опровержению безопасности Truecrypt. В качестве неподтверждённого домысла упоминается возможность сохранения в данной области ключей шифрования, дополнительно зашифрованных с использованием известного только создателям сборки ключа, или использование указанного блока в качестве кода для активации бэкдора.

В рамках инициативы по проведению аудита Truecrypt планируется убедиться в безопасности бинарных сборок программы, провести профессиональный анализ криптостойкости используемых методов и сформировать независимые эталонные сборки для Windows, OS X, Ubuntu, RHEL, CentOS, Debian и Fedora. Кроме того, планируется провести юридический анализ открытой лицензии TrueCrypt v3.0, некоторые спорные формулировки в которой помешали включению пакетов с TrueCrypt в состав дистрибутивов Ubuntu, Debian, RedHat, CentOS и Fedora. Для финансирования инициативы в рамках краудфандинга уже удалось собрать 36 тысяч долларов.

  1. Главная ссылка к новости (http://threatpost.com/truecryp...)
  2. OpenNews: Опубликованы материалы о методах АНБ по получению контроля за пользователями Tor
  3. OpenNews: NIST и RSA отзывают ранее стандартизованный Dual EC DRBG из-за возможного бэкдора
  4. OpenNews: Оценка возможного влияния АНБ на IPSEC и международные стандарты
  5. OpenNews: Проблема проверки тождественности исходных текстов и бинарных сборок
  6. OpenNews: Проект по обеспечению повторяемости сборки пакетов для Fedora Linux
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/38202-truecrypt
Ключевые слова: truecrypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (97) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 21:01, 18/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –11 +/
    поздно спохватились
     
     
  • 2.4, Наивный чукотский юноша (?), 21:20, 18/10/2013 [^] [^^] [^^^] [ответить]  
  • +26 +/
    Лучше поздно, чем никогда. Отрицательная информация, знаешь, она тоже информация. Тут или пан, или форк.
     
     
  • 3.41, Аноним (-), 03:24, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Лучше поздно, чем никогда. Отрицательная информация, знаешь, она тоже информация. Тут или пан, или форк.

    Лицензия форки не одобряет. Это вам не udev какой-нибудь.

     
     
  • 4.42, Аноним (-), 04:31, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Не понял? Что у трукрипта не так с лицензией?
     
  • 4.79, Наивный чукотский юноша (?), 17:48, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Не одобряет или запрещает? Разные вещи.
     
  • 3.57, arisu (ok), 10:38, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Лучше поздно, чем никогда. Отрицательная информация, знаешь, она тоже информация. Тут или
    > пан, или форк.

    совершенно пофигу: нет никакой гарантии, что этот проект не затеян АНБ — в качестве дымовой завесы.

     
  • 3.142, Sabakwaka (ok), 13:45, 21/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Интерецно, тулчейн выложат?
    Или ограничатся коммюнике?
     

  • 1.2, Человек с мнением (?), 21:12, 18/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Не помешает.
     
  • 1.3, Наивный чукотский юноша (?), 21:18, 18/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Как раз кстати. Может, после проверки Truecrypt включат в дистрибутивы и не придётся запускать неведомый бинарь с неведомой лицензией "AS IS" (перед скачиванием исходников так же требует согласиться с этой лицензией).
     
     
  • 2.11, Mike Lee (?), 22:06, 18/10/2013 [^] [^^] [^^^] [ответить]  
  • +7 +/
    чем это лучше LUKS + dm_crypt?
     
     
  • 3.17, Naive_Chukchi (ok), 22:48, 18/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Киллерфича - скрытые тома, несколько ключевых файлов.
    Тома создаются изначально заполненные нулями (или рандомом) по всему объёму (в dm-crypt + LUKS приходится вручную через dd). В процессе генерации заголовков можно участвовать самому, нажимая на клавиатуре и водя мышью (внося дополнительную энтропию).
    Поддержка default os (в реальном мире всегда есть боль, страдания и windows).
     
     
  • 4.20, Аноним (-), 23:02, 18/10/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Одним из источников энтропии для /dev/random являются устройства пользовательского ввода (клавиатура и мышь). В трукрипте свой велосипед только для кроссплатформенности.
     
     
  • 5.21, Аноним (-), 23:03, 18/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Одним из источников энтропии для /dev/random

    В Linux, разумеется. Про BSD и остальные UNIX-подобные системы не знаю.

     
     
  • 6.52, CyberDaemon (ok), 08:40, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Одним из источников энтропии для /dev/random
    > В Linux, разумеется. Про BSD и остальные UNIX-подобные системы не знаю.

    Судя по сыркам в BSD /dev/arandom - генератор на основе поточного шифра RC4. Вполне сносный кстати.

    p.s. Тесты NIST и DIEHARD проходит.

     
  • 5.99, u (?), 21:23, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Одним из источников энтропии для /dev/random являются устройства пользовательского ввода
    > (клавиатура и мышь).

    Не только (на мой непрофессиональный взгляд, конечно же).
    Например читая из /dev/random, попробуйте в другой консоли запустить cat /path/to/big_file > /dev/null, и сравните скорость заполнения пула случайных чисел до и после.
    Есть и другие источники, просто этот всегда можно запустить ручками, когда надо.
      

     
  • 4.35, Аноним (-), 00:59, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Киллeрфича - скрытые тома

    Если вынести LUKS-заголовок в отдельный файл - LUKS-том тоже станет скрытым. Сюрприз-сюрприз!

    > Тома создаются изначально заполненные нулями (или рандомом) по всему объёму (в dm-crypt + LUKS приходится вручную через dd).

    Это ужасно. Как же я буду жить без автоматического заполнения пустого места при создании тома?

    > В процессе генерации заголовков можно участвовать самому, нажимая на клавиатуре и водя мышью (внося дополнительную энтропию).

    Ты не поверишь, но в dm-crypt - тоже. Как и в gpg. Ибо /dev/random.

    > Поддержка default os (в реальном мире всегда есть боль, страдания и windows).

    То, что они есть - еще не значит, что их нужно поддерживать.

     
     
  • 5.43, Аноним (-), 04:33, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Если вынести LUKS-заголовок в отдельный файл - LUKS-том тоже станет скрытым. Сюрприз-сюрприз!

    А если купить пару тонн метала и все необходимые станки - можно самому создать с нуля годный автомобиль. Но это далеко не самый простой способ добраться из пункта А в пункт Б. Вот трукрипт хорош тем что решает несколько типовых проблем.

     
  • 5.64, John (??), 13:32, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по Вашему комментарию, Вы используете LUKS.
    Подскажите, пожалуйста:
    раньше была возможность удалять устройство после монтирования
    dmsetup remove DEVICE
    чтобы злоумышленник, проникший в систему не мог выполнить дамп таблицы device-mapper
    dmsetup table DEVICE > file
    с последующим использованием без знания пароля LUKS
    cat file | dmsetup create DEVICE
    потом это сломали и для смонтированного устройства уже нельзя было выполнить
    dmsetup remove DEVICE
    Как сейчас с этим обстоит дело?
     
     
  • 6.68, ананим (?), 15:01, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    зыж Если 171 злоумышленник 187 имеет возможность шариться у вас в системе ка... большой текст свёрнут, показать
     
     
  • 7.73, John (??), 15:58, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > зыж
    > Если «злоумышленник» имеет возможность шариться у вас в системе как хочет, в
    > том числе снимать дампы блочных устройств и тд, то сомневаюсь что
    > ему будут нужны такие сложности — скопирует что нужно со смонтированного
    > раздела и всё.

    Вы просто не видите дальше собственного носа.

     
     
  • 8.76, ананим (?), 16:38, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Так поясните А то выглядит так, что отсутсвие аргументов вы компенсируете хамст... текст свёрнут, показать
     
  • 4.66, ZloySergant (ok), 14:22, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Тома создаются изначально заполненные нулями (или рандомом) по всему объёму (в dm-crypt + LUKS приходится вручную через dd).
    >В частности, при использовании Windows-сборки последние 65024 байта заголовка шифрованного раздела заполняются шифрованными случайными значениями, в то время как в Linux-сборке данная область заполняется шифрованными нулями.

    Честно? Лучше уж dd при таких подставах.

     
  • 4.123, iWLCkhBrBeDTGA (?), 03:16, 20/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    FreeOTFE для венды. Нормально работает с LUKS.
     
     
  • 5.137, Гость (?), 09:16, 21/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Уже ..цать лет не как поддерживается (и не известно, кстати, что случилось с автором)
     
  • 5.139, ABATAPA (ok), 10:47, 21/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Что-то там с доменом, похоже - сейчас одни "левые" ссылки.
    Похоже, автор упустила домен...
     
     
  • 6.145, iWLCkhBrBeDTGA (?), 02:19, 22/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    http://sourceforge.net/projects/freeotfe.mirror/
     
  • 3.18, Аноним (-), 22:48, 18/10/2013 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Тем, что LUKS не читается под виндой?
     
     
  • 4.36, ананим (?), 01:30, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Так это офигенный плюс.
     
  • 4.112, msa (??), 22:43, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Тем, что LUKS не читается под виндой?

    Лет 5 назад приходилось пользоваться 2 ОСками на 1 пк, пользовал freeotfe. Винда, конечно, притормаживала, но работала связка надежно.

     

  • 1.5, MSlinux (?), 21:28, 18/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    какие проблемы? нужно собирать бинарники  под Виндус ХР тоже из сырцов...
     
     
  • 2.44, Аноним (-), 04:34, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > какие проблемы? нужно собирать бинарники  под Виндус ХР тоже из сырцов...

    Только это в винде смахивает на рокетсайнс. Там с DDK и прочими зависимостями компилежки - весьма отдельный гимор.

     
     
  • 3.58, arisu (ok), 10:40, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> какие проблемы? нужно собирать бинарники  под Виндус ХР тоже из сырцов…
    > Только это в винде смахивает на рокетсайнс. Там с DDK и прочими
    > зависимостями компилежки — весьма отдельный гимор.

    да нет там никакого геморроя — говорю как собиравший. необходимые версии SDK и компиляторов указаны прямо в README. если ему следовать — собирается влёт и без проблем.

     
     
  • 4.65, AnonuS (?), 14:06, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    "Разрешите поинтересоваться в целях повышения образованности — а кто такой будет Иван Фёдорович Крузенштерн?"(С)

    Я говорю один толкует про [b]DDK[/b] и "гемор", а другой про [b]SDK[/b] и "зашибись".

    Кстати чем оно там собирается, VisualStudio Express подходит ?  

     
     
  • 5.72, arisu (ok), 15:51, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Я говорю один толкует про [b]DDK[/b] и «гемор», а другой про [b]SDK[/b]
    > и «зашибись».

    ну, если ты не в курсе, то узнай, что в полный набор Platform SDK входит и DDK.

    > Кстати чем оно там собирается, VisualStudio Express подходит ?

    знать не знаю. я собирал шестым, если не изменяет память, m$vc. но всё равно придётся ещё спереть 16-битный m$vc для сборки загрузчика.

     
     
  • 6.77, ананим (?), 16:49, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Само понятие DDK мс упразднила лет эдак 10 назад.
    В любом случае, в SDK оно не входило тогда и не входит сейчас.
     
     
  • 7.78, arisu (ok), 16:57, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    (пожимает плечами) значит, для меня собрали эксклюзивный dvd. я крутой.
     

  • 1.6, AS (??), 21:38, 18/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Linux-сборке данная область заполняется шифрованными нулями - это КАК ??
     
     
  • 2.8, Ivan1986 (?), 21:44, 18/10/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Как как - берут область нулей и шифруют их как обычные данные
     
  • 2.38, Карбофос (ok), 02:02, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    когда нуль может быть не нулём, но он всё равно остаётся оным
     
  • 2.45, Аноним (-), 04:35, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Linux-сборке данная область заполняется шифрованными нулями - это КАК ??

    Ну вот так: шифруется куча нулей. На выходе разумеется мусор.

     
     
  • 3.140, nikebl (?), 12:08, 21/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Подозреваю, что используя некоторые алгоритмы и  зная как выглядит зашифрованная область нулей можно если не получить ключ шифрования, то явно снизить его криптостойкость...

    ОМГ, они добрались таки до СПО?

     
     
  • 4.147, iWLCkhBrBeDTGA (?), 02:32, 22/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Зная, где нули были в контейнере, как генерировался вектор инициализации (и его значение) для кажого блока и что получилось после шифрования - можно получить по факту определённое число пар [открытый текст; шифротекст].
    И, строго говоря, да - это может быть серьёзной проблемой.
     

  • 1.7, Zmey (??), 21:43, 18/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    This is хорошо!
     
  • 1.9, Mr. Cake (?), 21:53, 18/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Зачем оно нужно если есть LUKS?
     
     
  • 2.23, Нанобот (ok), 23:06, 18/10/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    потому что LUKS не работает на 95% операционных систем в мире
     
     
  • 3.34, Аноним (-), 00:55, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > потому что LUKS не работает на 95% операционных систем в мире

    На этих "95%" шифрование и не требуется.

     
     
  • 4.54, Xasd (ok), 09:50, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> потому что LUKS не работает на 95% операционных систем в мире
    > На этих "95%" шифрование и не требуется.

    правильнее так -- "На этих "95%" шифрование -- безсмысленно!" :-) ..так как троян встроен в саму операционную систему, и активируется уже после её загрузки не зависимо от наличия\отсутствия шифрования :-)

     
  • 3.37, ананим (?), 01:32, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >потому что LUKS не работает на 95% операционных систем в мире

    Вот только этого этим 95% и не хватало. Внагрузку к антивирусам/вирусам.

     
  • 3.46, Аноним (-), 04:36, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > потому что LUKS не работает на 95% операционных систем в мире

    Ну если учесть что мутные проприетарные кишки систем их обладателей не смущают - тогда и шифрование им врядли погоду делает.

     
  • 3.149, Michael Shigorin (ok), 21:44, 23/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > потому что LUKS не работает на 95% операционных систем в мире

    Надо же, впервые вижу от виндостудента такое применительно к его собственному фетишу.

    PS: дубль, первая версия куда-то делась ;-)

     
  • 2.28, Аноним (-), 23:15, 18/10/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У LUKS есть заголовок, по которому определяется что это зашифрованный контейнер. TrueCrypt не создает такого заголовка.
     
     
  • 3.33, Perl_Jam (?), 00:46, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    - plain dm-crypt метаданные не хранит
    - для LUKS+dm-crypt есть возможность хранить заголовки (метаданные) в отдельном файле или на отдельном устройстве
     
     
  • 4.124, iWLCkhBrBeDTGA (?), 06:19, 20/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Верно. А с другой стороны, почему наличие заголовка для кого-то является проблемой? Зачм так нужна неотличимость контейнера от мусора?
     
     
  • 5.129, Killer No. 2 (?), 16:56, 20/10/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Plausible deniability
     
     
  • 6.132, iWLCkhBrBeDTGA (?), 01:30, 21/10/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зачем?
     
     
  • 7.133, arisu (ok), 01:37, 21/10/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Зачем?

    затем, тора-гой, что есть страны, где ты по закону не имеешь права отказать Известным Органам в выдаче пароля к шифрованой информации. а вот сказать: «вы там чего, с крыш все попадали? нет никакого шифроконтейнера у меня и не было никогда» — вполне можно. дальше подумай сам.

    только не надо песен про «терморектальный», это пограничный случай. бывают и другие случаи, когда показывать ничего не хочется, а паяльник совать не будут. брать на себя нарушение в виде отказа предоставить доступ — лишнее. а если нельзя доказать, что есть шифрованая информация, то и нарушения такого быть не может.

     
     
  • 8.134, iWLCkhBrBeDTGA (?), 02:15, 21/10/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Чего Видимо это не очень хорошие страны, не посещай их ни за что Строго говоря... большой текст свёрнут, показать
     
  • 5.135, да кем же подписаться (?), 02:20, 21/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Верно. А с другой стороны, почему наличие заголовка для кого-то является проблемой?
    > Зачм так нужна неотличимость контейнера от мусора?

    "Чтоб доказать что есть зашифрованная инфа нужно расшифровать раздел"
    и
    "Чтоб доказать что есть зашифрованная инфа нужно посмотреть заголовок раздела"

    Разницу чувствуете?

     
     
  • 6.146, iWLCkhBrBeDTGA (?), 02:26, 22/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Верно. А с другой стороны, почему наличие заголовка для кого-то является проблемой?
    >> Зачм так нужна неотличимость контейнера от мусора?
    > "Чтоб доказать что есть зашифрованная инфа нужно расшифровать раздел"
    > и
    > "Чтоб доказать что есть зашифрованная инфа нужно посмотреть заголовок раздела"
    > Разницу чувствуете?

    Разумеется. Но я не вижу причин, почему второе - всегда плохо. Скорее это "никак".

    Но, с другой стороны, как уже было сказано выше, dm-crypt и luks вполне позволяют хранить заголовок отдельно, а plain dm-crypt не требует заголовок вовсе. То есть "неразличимые контейнеры" - это явно не аргумент в пользу TrueCrypt и против dm-crypt.

     

  • 1.10, umbr (ok), 22:02, 18/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А кто проверит достоверность проведенного аудита?
    ;)
     
     
  • 2.24, kurokaze (ok), 23:06, 18/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Админы СОРМ-2
     
     
     
    Часть нити удалена модератором

  • 4.48, Аноним (-), 04:46, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Это по СОРМ-2 отмониторили?

    Мне кажется что ты сильно льстишь нашим гэбистам. Почему-то мне кажется что половина оборудования есть только на бумаге, а работает по принципу "в датацентр позвонил товарищ майор".

     
     
  • 5.53, ram_scan (?), 09:08, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Поверьте, у товарища майора с СОРМ-ом все в порядке. Сам лично многажды СОРМ-ом сдавался и испытывался (когда РЭ получал).

    Так что железо это в полном обьеме есть, настроено и работает. Другое дело что в результат его работы смотреть без особых на то оснований - глаза портить.

    Но бдят. Реально. У нас как-то из-за блэкаута поток до товарища майора лег, через который тот пультом был включен, так через 10 минут оттуда звонок ответственному лицу "че за херня с вашей стороны с линком и когда подымете ?"

     
     
  • 6.60, arisu (ok), 10:45, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    да верим, верим, чо. полиция честная, бюджет не разворовывают, сорм работает.
     
     
  • 7.70, jh (?), 15:26, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    провы за свой счет его ставят
     
     
  • 8.74, arisu (ok), 15:59, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    и как это должно гарантировать работоспособность системы ... текст свёрнут, показать
     
  • 6.61, Demo (??), 11:29, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > у товарища майора с СОРМ-ом все в порядке. Сам лично многажды

    Сомнительный повод чтобы хвастать.

     

  • 1.12, Кир (?), 22:15, 18/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    давно форкать пора, имхо. доверия к ним никакого.
     
     
  • 2.30, Аноним (-), 23:26, 18/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    У них лицензия для форка странная, она не одобрена OSI http://opensource.org/licenses/alphabetical
     

  • 1.13, nick (??), 22:30, 18/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А кто проверит gcc, которым этот Truecrypt собирается? Почему в компиляторе не может быть закладок?..
     
     
  • 2.16, Аноним (-), 22:48, 18/10/2013 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Кто проверит что монитор на котором ты смотришь выводит правильный исходный текст? Почему в мониторе не может быть закладок?
     
     
  • 3.31, YetAnotherOnanym (ok), 23:49, 18/10/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На мониторе может быть _на_кладка.
     
     
  • 4.32, Аноним (-), 00:11, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Закладка тоже может быть. Слать скриншоты кровавой гЭбне :)
     
  • 4.40, Аноним (-), 03:22, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > На мониторе может быть _на_кладка.

    А у нас тут в кране _про_кладка. Это плохо?

     
     
  • 5.62, Demo (??), 11:30, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А у нас тут в кране _про_кладка. Это плохо?

    Подстилка хуже.

     

  • 1.19, kurokaze (ok), 22:53, 18/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >Во-вторых, нет никаких гарантий, что бинарные сборки, которые составляют основную массу загрузок, не содержат закладок и собраны на основании публично доступного исходного кода без внесения скрытых изменений.

    Те кто использует сторонние бинарные сборки - СЗБ

     
     
  • 2.22, Аноним (-), 23:06, 18/10/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Кроме пользователей верифицируемых сборок, как в Debian.
     
     
  • 3.26, kurokaze (ok), 23:08, 18/10/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Кроме пользователей верифицируемых сборок, как в Debian.

    Думаешь что-то умное сказал? SRPM с цифровой подписью еще в шапке и соответственно в ASP Linux были
    Но ты тогда наверное еще в школу ходил

     
     
  • 4.47, Аноним (-), 04:37, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Думаешь что-то умное сказал? SRPM с цифровой подписью еще в шапке и
    > соответственно в ASP Linux были

    Осталось только проверить что в недрах шапки код не подменили :)

     

  • 1.39, solar (??), 02:45, 19/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >А кто проверит gcc, которым этот Truecrypt собирается? Почему в компиляторе не может быть закладок?

    GCC каждый день мурыжат LFSники

    Нужен

     
     
  • 2.49, pmn (?), 06:27, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    есть ли системы без бэкдоров и закладок и мастер-ключей?
     
     
  • 3.69, ананим (?), 15:17, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ну,.. вы уж определитесь — РМС (и ФСФ) фанатики ищи нет.
    Это у рипнутого (и тд) всегда "по ситуации". Холуи, что с них взять.
     

  • 1.51, noname01 (?), 08:25, 19/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Очень годная и нужная вещь. Следим за развитием событий.
     
     
  • 2.55, tr (?), 10:11, 19/10/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Согласен. Причем, дело не в truecrypt, а в преценденте и процедуре публичного аудита.
     
     
  • 3.138, Гость (?), 09:23, 21/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    :-) да ладно вам.. Как будто непонятно, что раз дали всему этому всплыть, значит давно уже есть другие, более "крутые" инструменты
     

  • 1.56, arisu (ok), 10:37, 19/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    1. скажите им, что принцессы какают. а то без сноудена они не знают.
    2. ну да, анонимность авторов — это так неудобно для АНБ! а ну, выйти из тени!
    3. конечно, аудиторы никак с АНБ не связаны. чо, зуб дают!
     
  • 1.63, Анонизм (?), 13:10, 19/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >сформировать независимые эталонные сборки для Ubuntu, RHEL, CentOS, Debian и Fedora

    Что как бы намекает о "значимости" всяких "опензюзе" и прочих "магей" :D

     
  • 1.71, eganru (?), 15:29, 19/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    мне кажется проект слишком крупный, чтобы дизасемблировать и просмотреть.
    полагаю, что всем известно, что в бинарнике может быть что угодно. вопрос в том, доверяешь ли ты источнику или нет.
    если люди не доверяют - исходные коды открыты: могут сами собрать.
    ***
    имхо бинарных сборок пруд пруди. каждую проверять - идти на поводу у паранойи.
     
  • 1.91, atnt (?), 20:19, 19/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    We're hoping to convince one of the stronger companies to...

    Главное, чтобы имя компании заранее не выдали, а то АНБ к ним путь найдет и аудит будет уже не тот.

     
  • 1.103, Аноним (-), 21:46, 19/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Создание иллюзий - любимое занятие кукловодов. Хочешь получить контроль без геморроя  - создай нечто свое нужное и удобное, внедри в массы и подогревай интерес, а в случае опасности организуй разоблачительный процесс и опровергни опасения. А лучше создать несколько продуктов которые будут друг с другом конкурировать, но иметь один общий "колпак". Так и клетка ширше и хомяки спокойней.
     
  • 1.125, Аноним (-), 13:49, 20/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    инициатива возникла не на пустом месте, а потому что для виндовс и линукс - реализации имеют разный подход генерации ключей, помоему длинна разная
     
     
  • 2.127, Andrey Mitrofanov (?), 14:15, 20/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >имеют разный подход генерации ключей, помоему длинна разная

    Четыре абзаца новости не осилил? Да, четыре абзаца -- длина.

     
  • 2.130, Forth (ok), 19:18, 20/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А по-моему это потому, что это очень разные программные продукты. Мое впечатление - автор RealCrypt использовал только сорцы, работающие с заголовками дисков и шифрованием, все остальное свое, включая код записи этих самых заголовков.
    Оно и неудивительно, когда открываешь код TrueCrypt - понимаешь, что из портабельного только вышесказанное, остальное сугубо Windows-специфик.
    З.Ы. Почитайте код сами, кому не лень, там того кода очень даже немного, хотя бы можно убедиться в отсутствии явных бэкдоров. И пересборка бинарника для себя несложно вовсе.
     
  • 2.131, Аноним (-), 19:35, 20/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > инициатива возникла не на пустом месте, а потому что для виндовс и
    > линукс - реализации имеют разный подход генерации ключей, помоему длинна разная

    Тогда тем более нужен аудит. Разный подход к генерации ключей приводит к разному уровню безопасности.

     

  • 1.141, Аноним (141), 13:17, 21/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    безобидность исходников ни о чем ни говорит
    речь идет о бинарных сборках
     
  • 1.143, Аноним (-), 16:04, 21/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    на самом деле - позитивно.
    помимо верификации и типизации бехэвиора бинарников - интересен был бы полность-комьюнити форк сабжа, весьма.
     
     
  • 2.148, iWLCkhBrBeDTGA (?), 06:25, 22/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > на самом деле - позитивно.
    > помимо верификации и типизации бехэвиора бинарников - интересен был бы полность-комьюнити
    > форк сабжа, весьма.

    Зачем, если есть тот же dm-crypt?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру