URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 105632
[ Назад ]

Исходное сообщение
"Спецслужбы Германии провели аудит TrueCrypt"

Отправлено opennews , 21-Ноя-15 11:20 
Немецкое Федеральное управление по информационной безопасности (бывший криптографический отдел Федеральной разведывательной службы Германии) опубликовало (http://sseblog.ec-spride.de/2015/11/truecrypt-analysis/) 88-страничный отчёт (https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publicat...) с результатом полного аудита реализации алгоритмов шифрования в пакете TrueCrypt. Результаты аудита не выявили серьёзных проблем, подтвердили надёжность применяемых методов шифрования и отсутствие возможных закладок. Напомним, что ранее проведённый (https://www.opennet.dev/opennews/art.shtml?num=41963) проектом Open Crypto Audit Project независимый аудит также не выявил значительных проблем.


Более того, детальный анализ кода показал, что TrueCrypt безопаснее, чем предполагалось в свете ранее выявленных компанией Google локальных уязвимостей (https://www.opennet.dev/opennews/art.shtml?num=43060), специфичных для драйвера для платформы Windows. Уязвимости, позволяющие поднять привилегии, являются типичными для драйверов, работающих на уровне ядра Windows и позволяют уже авторизованному пользователю получить доступ администратора. Данные проблемы не оказывают негативного влияния на защиту данных и не могут быть использованы атакующим для упрощения несанкционированного доступа к зашифрованной информации. Для эксплуатации уязвимость атакующий уже должен иметь доступ к системе, например, в результате внедрения троянского ПО. TrueCrypt же, как и другие подобные средства дискового шифрования, не использующие  аппаратные механизмы скрытия ключей во время работы, изначально не рассчитан на защиту данных в случае наличия у атакующего доступа к системе и, как следствие, имеющих возможность обращения к примонтированным дисковым разделам.


Что касается недостатков (https://www.opennet.dev/opennews/art.shtml?num=39573), выявленных проектом Open Crypto Audit Project, изучение имевшихся переполнений буфера показало, что данные уязвимости не проявляются во время выполнения и не могут быть эксплуатированы. Кроме того, в процессе нового аудита были выявлены ранее не замеченные проблемы с получением значений от генератора псевдослучайных чисел. Недостаток энтропии при  инициализации генератора случайных чисел теоретически упрощает процесс подбора ключа шифрования, но данная проблема не затрагивает используемый в подавляющем большинстве случаев интерактивный режим генерации ключей. В неинтерактивном режиме для проявления проблемы требуется наличие специфичных настроек доступа в  Windows, что делает проблему не применимой на практике.


В итоге, авторы аудита делают вывод, что код и архитектуру TrueCrypt можно считать корректными, а выявленные проблемы незначительными и легко устраняемыми. Для некоторых частей рекомендовано провести рефакторинг, но, в целом, продукт выполняет те функции, для которых он был разработан. В отчёте говориться, что TrueCrypt не хуже и не лучше аналогов, при этом упускается, что с учётом скрупулезного изучения кода и алгоритмов TrueCrypt, проведённого  в разное время несколькими независимыми группами, TrueCrypt может заслуживать большего доверия, так как ни один аналогичный продукт пока не удостоился столь пристального внимания экспертов по криптографии и компьютерной безопасности.


URL: http://sseblog.ec-spride.de/2015/11/truecrypt-analysis/
Новость: http://www.opennet.dev/opennews/art.shtml?num=43374


Содержание

Сообщения в этом обсуждении
"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Зенитарка , 21-Ноя-15 11:20 
TCnext надо юзать:

https://truecrypt.ch/

Первый и самый стабильный форк.


"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Ан , 21-Ноя-15 11:26 
Вера лучше.
У меня в компании старые компы еще трукриптом зашифрованы, а новые уже с ВЕРОЙ.
Понемногу и старые перевожу на Веру.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Зенитарка , 21-Ноя-15 11:47 
С Верой в светлое будущее!

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 21-Ноя-15 12:21 
Нуууу, судя по векторам их развития, все-таки VeraCrypt.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 21-Ноя-15 16:15 
> TCnext надо юзать:
> https://truecrypt.ch/
> Первый и самый стабильный форк.

да их дофига, форков-то. только из публичных форков - пять активно пилятся.
и два проприетарных, сугубо для внутрикорпоративных нужд используются.
самый курьезный из них - наверное GOSTCrypt, который античную версию ГОСТ-а реализует, со скоростью ...8% от AES/TwoFish/Serpent на аналогичной конфигурации(без AES-NI) :=)


"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено BlackRaven86 , 21-Ноя-15 19:58 
А шифрование системного раздела винды при загрузке с EFI ни один так до сих пор и не умеет :(

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Нимано , 21-Ноя-15 20:43 
> А шифрование системного раздела винды при загрузке с EFI ни один так
> до сих пор и не умеет :(

Видать не осилили положенный авто-бэкап "recovery" ключа в микрософтное облако! А без этой фичи на окошках, увы, ловить нечего!


"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено анонимус , 23-Ноя-15 10:05 
Стабильный форк без единого релиза? Который на своем сайте предлагает скачать все тот же tc7.1? Хорошая шутка, бро.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено АнонимХ , 21-Ноя-15 12:07 
А LUKS-cryptsetup-dmcrypt насколько дыряв? Нет желания ставить левый софт, когда в ядре есть уже всё аналогичное.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 21-Ноя-15 12:18 
LUKS-cryptsetup-dmcrypt умеют Twofish или "академический" Serpent? А цепочки? Если нет, то выходит, что в ядре уж никак не всё аналогичное.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено XXasd , 21-Ноя-15 15:38 
Twofish есть (про Serpent -- не знаю).

Разумеется использовать Twofish -- безсмысленно, так как:

1. Его не заставишь аппаратно ускорятся набором инструкций AES-NI

2. Для больших объёмов данных (то есть как раз для дискового шифрования) -- слишком маленький размер шифроблока (т е -- не надёжно)


"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено анонимус , 23-Ноя-15 10:10 
Учитывая, что aes был принят стандартом в сша при одобрении со стороны анб - этот факт перечеркивает все его плюсы. Ну да, он ускоряется. Попробуйте еще xor - этот еще быстрее, а стойкость и потенциальные закладки вас, я вижу, не заботят.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 21-Ноя-15 16:11 
> LUKS-cryptsetup-dmcrypt умеют Twofish или "академический" Serpent? А цепочки? Если нет,
> то выходит, что в ядре уж никак не всё аналогичное.

"цепочки" не держит а вот остальное, начиная с Blowfish и замшелого ГОСТ-а(новый Stribog, к сожалению - не держит). - вполне, даже CAST отдельные версии держат и IDEA но они ней в основном апстриме.


"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено inquisitor273 , 25-Ноя-15 23:06 
dm-crypt поддерживает Serpent. Имею на HDD раздел, шифрованный по методу serpent-xts-plain, с ext4 поверх него. По субъективным ощущениям, с AES было быстрее, несмотря на то что `cryptsetup benchmark` дал алгоритму Serpent показал более высокую оценку производительности.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 21-Ноя-15 12:08 
осталось провести аудит самих спецслужб Германии

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 21-Ноя-15 12:23 
Вообще-то это был третий аудит. Проведите лучше аудит самих себя, больше пользы будет.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Тот_Самый_Анонимус , 21-Ноя-15 15:01 
>осталось провести аудит самих спецслужб Германии

Аудитом спецслужб Германии занимается АНБ США. Как и аудитом канцлера...


"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 21-Ноя-15 12:16 
закладки АНБ они в не способны выявить, потому что сотрудничают с АНБ.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 21-Ноя-15 15:55 
Странно, что еще ни один форумный "знаток" не ткнул спецслужбы носом в "закладки". Код открыт.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 21-Ноя-15 16:07 
> "закладки". Код открыт.

Да вон – сам аудит подробно расписан. Казалось бы – бери и тыкай в "тут не так сделали, а вот это совсем забыли/пропустили", прокачивая ЧСВ на опеннете.
Но увы, коварные обитатели диванных аналитических просторов не спешат делиться конкретинкой с глупыми опеннетчиками :(


"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено pavlinux , 21-Ноя-15 17:55 
А твоё где, говно анонимно-вакуумное?

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 21-Ноя-15 18:14 
> А твоё где, гoвно анонимно-вакуумное?

Моё что? Перечитай еще раз. Подумай.
Или ты очередной  павлин^W дятел, только и способный орать "тама закладки, да! Они визде за нами слидят! Ниверьте никому!!1"?

Можешь даже опять своих ботов натравить, проминусоваться. Авось полегчает.



"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Анончег , 21-Ноя-15 21:00 
Павлик, ты с велика сверзился на гололёде?
Откуда столько негативных эмотцый?

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 22-Ноя-15 08:38 
У самого-то абзацем выше *)

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 22-Ноя-15 08:55 
Ну как же, про кривые таблицы гостовские тут регулярно рассказывают.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 21-Ноя-15 12:17 
Они нам как бы говорят "Титаристы! Используйте TrueCrypt! Мы вас нерасшифруем!"

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 21-Ноя-15 12:26 
В случае не дай Бог чего Вас убедят так, что сами начнете просить их выслушать свои пароли | расскажете, где взять ключи.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено хахаха , 21-Ноя-15 12:23 
Серьёзных проблем не выявлено, только несерьёзные

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено privation , 21-Ноя-15 13:57 
слледущийе шаги будут заказ рекламных роликов и статей о безопасности ... под эгидой разъяснмтельной работы с населением о пользе использования зондированной продукции ...

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 21-Ноя-15 14:55 
Это не те, которые проворонили прослушку телефонов первых лиц государства?

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Кордубан , 21-Ноя-15 15:12 
Это те, которые месяц назад заявляли, что нет оснований подозревать, чтобы среди "сирийских" беженцев были потенциальные террористы. Не удивлюсь, если они и после взрывов в Париже продолжают так считать.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено ВашСкучныйАнон , 21-Ноя-15 18:02 
политоты только здесь не хватало

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 21-Ноя-15 15:24 
> Уязвимости, позволяющие поднять привилегии, являются типичными для драйверов, работающих на уровне ядра Windows...

Пора бы уже понять: это не баги и не уязвимости. Это дверца оставлена для Большого Брата. Архитектурная особенность, так сказать.


"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 21-Ноя-15 17:14 
Что за минусы? Всё верно человек сказал.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Нимано , 21-Ноя-15 18:33 
>> Уязвимости, позволяющие поднять привилегии,

Там как минимум часть "язвимостей" (была, т.к. последние парулет особо не тыкал) "by design".
Т.е. скажем, есть такая ультимативная фича – подпись драйвера, без которой современные форточки их уже не грузят. И есть "шибко вумные разработчики", которые не хотят особо заморачиваться подписями и верификациями у МС-цов и поэтому у них этот самый "сикурно-подписанный" драйвер – тупо загрузчик (неподписанного) кода, по принципу "приходи кто хошь, загружай в ring0 что хошь" . Но зато, прекрасная маркиза, все с цифровыми подписями, да! )


"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Нимано , 21-Ноя-15 18:35 
> которые не хотят особо заморачиваться подписями и верификациями у МС-цов

которые не хотят при каждом обновлении особо заморачиваться подписями и верификациями у МС-цов

fix.


"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено username , 21-Ноя-15 17:03 
Я так и не понял, выяснили в конце концов, что произошло с TrueCrypt или нет?

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Меломан1 , 21-Ноя-15 18:07 
Что тут не понятно, АНБ закрыло проект TrueCrypt, т.к. дальнейшее развитие будет угрожать национальной безопасности. Из AES-256 выжали, что могли, а использовать в проекте новые алгоритмы шифрования в их планы не входило, поэтому они и порекомендовали пользователям Windows пользоваться Bitlocker. В общем шифруйтесь ключами RSA 4096 бит, другого надежного способа нет и в ближайшие годы не предвидится.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено свободный бздун , 21-Ноя-15 18:16 
А вам таки есть что срывать, товарищ?

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Меломан1 , 21-Ноя-15 18:21 
> А вам таки есть что срывать, товарищ?

Конечно есть что.



"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 21-Ноя-15 19:25 
Человеку выгодно раскрывать о себе только ту информацию, которую он считает нужной и только тем людям, которым он доверяет. По той причине, что информация о нём может использоваться против его интересов. Заметьте, вы не ходите с табличкой на груди со своей подробной автобиографией и не рассказываете о своих проблемах и успехах первому встречному. Скорее всего, у вас есть небольшой круг людей с которыми вы можете быть до конца откровенны. Это и называется privacy, одним из инструментов обеспечения которой является шифрование носителей информации.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 21-Ноя-15 18:11 
Т е надо юзать законсервированный трукрипт, а то в форках только новые дыры появятся да совместимость потеряется.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Xasd , 21-Ноя-15 18:15 
> Т е надо юзать законсервированный трукрипт, а то в форках только новые дыры появятся да совместимость потеряется.

чего ради его использовать? (его или его форки)

автор Трукрипта же -- чётко сказал что проект Трукрипт это безсмысленная затея и уже не актуален, так как в любой операционной системе есть свои (встроенные) методы шифрования.


"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено тоже Аноним , 21-Ноя-15 21:36 
Именно этим и ценен ТС - для безопасного хранения файлов с возможностью открыть хранилище в ЛЮБОЙ системе без использования ее встроенных (и, надо думать, одобренных известно кем) методов шифрования.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Меломан1 , 22-Ноя-15 07:43 
> Именно этим и ценен ТС - для безопасного хранения файлов с возможностью
> открыть хранилище в ЛЮБОЙ системе без использования ее встроенных (и, надо
> думать, одобренных известно кем) методов шифрования.

Феерично, в таком случае, чем Bitlocker не подходит вам или dm-crypt?



"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 22-Ноя-15 08:41 
Вам же выделили - в ЛЮБОЙ. Открыл в одной, записал, перетащил в другую, снова открыл.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 23-Ноя-15 08:00 
TrueCrypt работает только под оффтопик. Дак в какой любой?

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено тоже Аноним , 23-Ноя-15 08:42 
> TrueCrypt работает только под оффтопик. Дак в какой любой?

Что ж вы раньше-то не сказали? А я-то, дурень, им пользуюсь под Убунтой и Макосью...


"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено XXasd , 23-Ноя-15 13:53 
>> TrueCrypt работает только под оффтопик. Дак в какой любой?
> А я-то, дурень, им пользуюсь под Убунтой и Макосью...

ну в Макосе -- просто создай диск с меткой "Encrypted Volume" и радуйся


"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено тоже Аноним , 23-Ноя-15 17:14 
Мне в Макосе некогда радоваться - я туда захожу собрать проект в Xcode и выхожу обратно, не оборачиваясь. Так что их игрушки меня мало волнуют. Однако ТС там работает - исходники-то у меня в контейнере.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено XXasd , 23-Ноя-15 13:52 
> с возможностью открыть хранилище в ЛЮБОЙ системе

весьма сомнительное приемущество :-D !

*ЗЕЧЕМ* вам может понадобиться *ЛЮБАЯ* система?

или беспокоитесь за комфорт злоумышленников\спецслужб, у которых может не оказаться Линукса, в момент когда они станут пытаться расшифровывать ваши контейнеры?


"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено тоже Аноним , 23-Ноя-15 17:16 
Внезапно, если я пишу программы, кросскомпилируемые для ЛЮБОЙ системы, то мне эта ЛЮБАЯ может понадобиться хотя бы для тестирования. А перетаскивать исходники между этими системами я предпочитаю так, чтобы их нельзя было перехватить по дороге.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Меломан1 , 21-Ноя-15 18:18 
Сначала реши для себя от кого ты собрался шифроваться, если от спец служб, то смысла нет использовать трукрипт, если для того, что бы другие люди не смогли получить доступ, то и битлокера с dm-crypt будет достаточно, хрен кто взломает.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Мет , 21-Ноя-15 21:22 
Что бы лично ты посоветовал для шифрования от спецслужб?
Спасибо.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Ytch , 22-Ноя-15 00:00 
> Что бы лично ты посоветовал для шифрования от спецслужб?

Метод Неуловимого Джо


"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено chinarulezzz , 22-Ноя-15 02:47 
Чтоб не знали кто ты. Иначе не спасёт шифрование.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Меломан1 , 22-Ноя-15 07:13 
Не хранить на компьютере и внешних носителях информацию, которую нужно скрывать от них.
Зашифровал и в облако, зашифровал и в облако. Браузеры, скайпы, ssh и т.п. запускать от имени другого пользователя, а при выходе из программ удалить домашнюю папку этого пользователя. Больше никак.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено тоже Аноним , 22-Ноя-15 11:16 
Для защиты от спецслужб информацию в первую очередь надо гонять через сеть.
Эталон логики.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Мет , 22-Ноя-15 12:41 
Спасибо.
А как ты смотришь на TAILS+EncFS?
Для первичной защиты - достаточно?
И, если смотреть в будущее - могут запретить использовать GPG (по заголовкам будут детектить) и так же обязать в случае следственных действий выдавать пароли - что делать в таком случае?
От считывания заголовков GPG можно спастись - накрывая шифротекст\шифрофайл сверху OpenSSL, а вот в случае обязания выдачи паролей - как быть?
Спасибо еще раз.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Меломан1 , 22-Ноя-15 16:13 
Tails...чем он лучше Debian или Fedora не знаю. А вот EncFS сам пользуюсь и всем рекомендую особенно для синхронизации с облачными дисками. Для первичной защиты от взлома аккаунта и от местных админов вполне достаточно.
В РФ могут запретить GPG и все другие виды шифрования. В США и ЕС на такой шаг никто не осмелится, как никак ограничение свободы. На счет переписки с шифрованием GPG затрудняюсь ответить, т.к. не пользуюсь этим. Да и нет у меня секретной переписки. Преступной и антигосударственной деятельностью я не заниманиюсь.
Если вы попали под следствие, то обязаны предоставить логины и пароли к своим носителям информации и компьютерной технике, поэтому еще раз повторю: не храните компромат на дисках.
Все равно вы сами расколитесь, если конечно эта информация не дороже вашей жизни и ваших близких, по вашему мнению.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Мет , 22-Ноя-15 20:15 
Не демонизируй, как раз в европах и заставляют выдавать пароли.
А так - спасибо за ответ.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено scorry , 23-Ноя-15 11:37 
> Да и нет у меня секретной переписки. Преступной и антигосударственной деятельностью я не заниманиюсь.

Каждый раз наблюдаю, как эта интересная алогичная последовательность у криптофобов в голове образовывается: мне нечего скрывать (привет, папочка. я хороший мальчик, я не скрываю) —> я хороший, меня наказывать не надо.

Когда ж вы повзрослеете-то, а?

> Если вы попали под следствие, то обязаны предоставить логины и пароли к своим носителям информации и компьютерной технике, поэтому еще раз повторю: не храните компромат на дисках.

Ох ты ж едрёныть. Это безусловная такая общечеловеческая обязанность, что ли? В декларации прав человека, или где ещё такое прописано?


"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено тоже Аноним , 23-Ноя-15 17:24 
> В декларации прав человека, или где ещё такое прописано?

Ну что вы такое лепите, молодой человек. Почитайте уголовный кодекс.
Отказ сотрудничать со следствием - отягчающее обстоятельство.
Если будет доказано, что сотрудничество вскрыло бы данные по преступлению - полновесная статья.


"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено username , 22-Ноя-15 15:03 
Не включать компьютер
Остальное - полумеры

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено bootsector , 23-Ноя-15 14:21 
Зашифроваться всегда полезно, а говорить или не говорить ключь потом успеешь решить.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено тоже Аноним , 21-Ноя-15 21:40 
А что, есть какая-то непреодолимая грань между сотрудниками спецслужб и людьми, которые тоже знают, как использовать дыры в шифровании?
Если уязвимость есть - всегда остается вероятность, что она получит огласку, и ваши усилия по шифрованию превратятся в тыкву.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Меломан1 , 22-Ноя-15 07:31 
> А что, есть какая-то непреодолимая грань между сотрудниками спецслужб и людьми, которые
> тоже знают, как использовать дыры в шифровании?
> Если уязвимость есть - всегда остается вероятность, что она получит огласку, и
> ваши усилия по шифрованию превратятся в тыкву.

Расчехлю хрустальный шар для вас. У сотрудников спецслужб имеются программно-аппаратные комплексы, высокопроизводительные серверы для вычислений и т.п., короче говоря,то чего нет у простых людей. Скажем, если появится уязвимость в AES-256, то вряд ли ей можно будет воспользоваться на коленке с ноутбуком, нужны будут процессорные мощности или специализированное оборудование.



"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено тоже Аноним , 22-Ноя-15 11:19 
Не надо расчехлять хрустальный шар - вы в нем, похоже, живете, и вас продует.
Прям так и представил, как ФСБ перед силовой операцией заводит кластер и сидит перед ним неделю, пока он коллизию подберет.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Меломан1 , 22-Ноя-15 16:30 
> Не надо расчехлять хрустальный шар - вы в нем, похоже, живете, и
> вас продует.
> Прям так и представил, как ФСБ перед силовой операцией заводит кластер и
> сидит перед ним неделю, пока он коллизию подберет.

Обычно подследственные писаются и сами все выкладывают. В других случаях дело техники, как вы правильно заметили.



"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Kroz , 21-Ноя-15 23:06 
Что-то я запутался.

Из статьи:
> Результаты аудита не выявили серьёзных проблем

Из описания VeraCrypt https://veracrypt.codeplex.com/
> VeraCrypt also solves many vulnerabilities and security issues found in TrueCrypt.

Так TrueCrypt дыряв или нет?


"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 22-Ноя-15 08:47 
> Так TrueCrypt дыряв или нет?

Да. Но не смертельно.

> Так VeraCrypt дыряв или нет?

Нет. Они активно фиксили в последние годы, см. логи. Однако кто-то тут активно продвигает TCnext, см. искусственно заплюсованный первый пост, например. Он же периодически кроет VeraCrypt за найденные в будущем закладки. У анонимов машина времени, впрочем как обычно.


"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 22-Ноя-15 08:52 
На всякий: ставить закладки в СПО это очень, ОЧЕНЬ плохая идея. Прежде всего, для самих авторов ПО. Ибо рано или поздно обнаружат и начнется...

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 21-Ноя-15 23:46 
> Спецслужбы Германии
> 88-страничный отчёт
> Германии
> 88

милота


"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Pahanivo , 22-Ноя-15 00:35 
Вопрос таки остается актуальным  кто же все таки грохнул ТС, и зачем после этого постоянно орать что в нем нет дыр???

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено DmA , 22-Ноя-15 10:12 
давно нужно портировать такие проги на смартфоны, а они всё надёжность на компьютерах проверяют...

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено XAnimus , 22-Ноя-15 14:52 
Согласен, очень странно, что так открыто трезвонят. Вот OpenSSL когда ковыряли вообще никто не слышал. Просто похоже на сговор спецслужб. Все чекисты знают дыру и говорят юзайте на здоровье. У меня доверие больше вызывает GELI в ядре (BSD).

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 22-Ноя-15 17:10 
да уже как 2 года назад провели, хзячика флибусты винт так и несмогли расковырять на главной странице же его блог

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 23-Ноя-15 01:22 
TC давно взломан, не ведитесь.
Нет и не будет 100% безопасности. Спецслужбы никогда такое не допустят.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 23-Ноя-15 04:59 
а это что тогда http://www.linux.org.ru/forum/talks/11082846

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Мет , 23-Ноя-15 02:09 
Давайте в конце-концов придем к пониманию. Форсинг плюсов первого поста = призыв к юзанию "оф.форка" - намекает что да, лучше не нужно.
ВераКрипт - в норме, но есть излишний форсинг "этой же стороны зла" - о том, что ее юзать тоже стремно, очкуйте парни, все - тлен, и тд.
Понятно - Вера в норме, ТС - не стоит для серьезных целей.
Давайте придем к удобному варианту шифрования.
EncFS удобен. Но еще удобнее - контейнерная систеам хранения - но вариантов много, хоть тот же OpenSSL и GPG (хоть и не для этих целей, но файлы шифрует нормально)
Что с перепиской? ГПГ, ОпенССЛ? Что юзаем то? Чатеги - понятно GPG\OTR - тут ничего не поменялось.

Кто что посоветует нормальное для средних пользователей - писать скрипты для LUKS не предлагайте. Красноглазить - тоже.



"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 23-Ноя-15 05:02 
балаболы те кто говорит что взломали трукрипт энигму и фринет

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 23-Ноя-15 05:38 
нука ломаните герои старую балалайку http://www.enigma.hoerenberg.com/index.php?cat=Unbroken
а то тока балаболите

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено XAnimus , 23-Ноя-15 07:02 
Терморектальный криптоанализ никто не отменял. Самое лучшее на мой взгляд это все таки RAM диск вместе с ZFS и GELI и его резервная копия на флешке. В линуксе имхо еще проще реализовать ибо из коробки все работает). Правда если конфиденциальных файлов не больше 5 GB.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено анонимус , 23-Ноя-15 10:20 
> Терморектальный криптоанализ никто не отменял. Самое лучшее на мой взгляд это все
> таки RAM диск вместе с ZFS и GELI и его резервная
> копия на флешке. В линуксе имхо еще проще реализовать ибо из
> коробки все работает). Правда если конфиденциальных файлов не больше 5 GB.

Достаточно вместо пароля к зашифрованному разделу использовать ключевой файл с белым шумом. Файл хранить на микро-сд карточке. При выпиливании двери у вас есть минута, чтобы необратимо уничтожить карточку. После этого столь любимый терморектальный криптоанализ полностью бесполезен - содержимое файла вы по памяти не воспроизведете, особенно, если вы даже его не видели.



"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено КО , 23-Ноя-15 14:55 
Не надежно. Подождут пока в туалет выйдете тогда и возьмут тепленьким.
И никакого терморектального не надо. Просто слегка подождать. :)

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено тоже Аноним , 23-Ноя-15 17:19 
Почему-то люди, которые любят поговорить о терморектальном анализе, уверены, что главное - чтобы он был бесполезен. И совершенно не задумываются о том, что ценность данных может быть не такой уж высокой, чтобы вам в определенный момент не захотелось вспомнить-таки пароль. Не говоря уже о том, что замки, бывает, запирают совершенно случайно...

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено Аноним , 27-Ноя-15 09:52 
> После этого столь любимый терморектальный криптоанализ полностью бесполезен - содержимое файла вы по памяти не воспроизведете

Если были достаточные основания выпиливать дверь, то вы по памяти воспроизведёте содержимое раздела. Ещё и о друзьях расскажете, и вместе с ними составите целостную картину, того что было на злополучном разделе.

А пароли, ключевые файлы... Да кому они нужны!


"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено XAnimus , 29-Ноя-15 08:30 
Ну это как вариант тоже работает. Правда если на разделе уникальные данные. Все же быстро поймут что физически невозможно запомнить их даже краткое содержание.

"Спецслужбы Германии провели аудит TrueCrypt"
Отправлено nsi , 23-Ноя-15 10:54 
После прочтения темы и коментов доставляют ссылки внизу страницы

*  Закладки на сайте
*  Проследить за страницей