URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 92242
[ Назад ]

Исходное сообщение
"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"

Отправлено opennews , 18-Окт-13 21:01 
Несколько исследователей безопасности выступили (http://blog.cryptographyengineering.com/2013/10/lets-audit-t...) с инициативой (http://istruecryptauditedyet.com/) проведения аудита Truecrypt (http://www.truecrypt.org/), популярного открытого приложения для шифрования дисковых разделов, число загрузок которого с сайта проекта превысило 28 млн. Несмотря на то, что используемые в программе методы шифрования явно не были скомпрометированы, а код программы открыт и доступен для аудита, некоторые из исследователей подозрительно относятся к данному приложению.


Во-первых, авторы приложения остаются анонимными, никто не знает кто действительно разрабатывает Truecrypt.  Во-вторых, нет никаких гарантий, что бинарные сборки, которые составляют основную массу загрузок, не содержат закладок и собраны на основании публично доступного исходного кода без внесения скрытых изменений. Более того, выявлены факты, которые свидетельствуют о расхождении поведения сборки для Windows со сборкой для Linux и вариантом, собранным из исходных текстов. В частности, при использовании Windows-сборки последние 65024 байта заголовка шифрованного раздела заполняются шифрованными случайными значениями, в то время как в Linux-сборке данная область заполняется шифрованными нулями.


Не ясно, что именно скрывается за случайным набором данных и почему поведение разных сборок отличается. Недавние разоблачения (https://www.opennet.ru/opennews/art.shtml?num=37846) деятельности АНБ по обеспечению доступа к шифрованным коммуникациям, подогрели интерес к подтверждению или опровержению безопасности Truecrypt. В качестве неподтверждённого домысла упоминается возможность сохранении в данной области ключей шифрования, дополнительно зашифрованных с использованием известного только создателям сборки ключа, или использование указанного блока в качестве кода для активации бэкдора.


В рамках инициативы (http://istruecryptauditedyet.com/) по проведению аудита Truecrypt планируется убедится в безопасности бинарных сборок программы, провести профессиональный анализ криптостойкости используемых методов и сформировать независимые эталонные сборки для Windows, OS X, Ubuntu, RHEL, CentOS, Debian и Fedora. Кроме того, планируется провести юридический анализ открытой лицензии TrueCrypt v3.0, некоторые спорные формулировки в которой помешали включению пакетов с TrueCrypt в состав дистрибутивов Ubuntu, Debian, RedHat, CentOS и Fedora. Для финансирования инициативы в рамках краудфандинга уже удалось собрать 36 тысяч долларов.

URL: http://threatpost.com/truecrypt-audit-could-answer-troubling...
Новость: https://www.opennet.ru/opennews/art.shtml?num=38202


Содержание

Сообщения в этом обсуждении
"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Аноним , 18-Окт-13 21:01 
поздно спохватились

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Наивный чукотский юноша , 18-Окт-13 21:20 
Лучше поздно, чем никогда. Отрицательная информация, знаешь, она тоже информация. Тут или пан, или форк.

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Аноним , 19-Окт-13 03:24 
> Лучше поздно, чем никогда. Отрицательная информация, знаешь, она тоже информация. Тут или пан, или форк.

Лицензия форки не одобряет. Это вам не udev какой-нибудь.


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Аноним , 19-Окт-13 04:31 
Не понял? Что у трукрипта не так с лицензией?

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Наивный чукотский юноша , 19-Окт-13 17:48 
Не одобряет или запрещает? Разные вещи.

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено arisu , 19-Окт-13 10:38 
> Лучше поздно, чем никогда. Отрицательная информация, знаешь, она тоже информация. Тут или
> пан, или форк.

совершенно пофигу: нет никакой гарантии, что этот проект не затеян АНБ — в качестве дымовой завесы.


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Sabakwaka , 21-Окт-13 13:45 
Интерецно, тулчейн выложат?
Или ограничатся коммюнике?

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Человек с мнением , 18-Окт-13 21:12 
Не помешает.

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Наивный чукотский юноша , 18-Окт-13 21:18 
Как раз кстати. Может, после проверки Truecrypt включат в дистрибутивы и не придётся запускать неведомый бинарь с неведомой лицензией "AS IS" (перед скачиванием исходников так же требует согласиться с этой лицензией).

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Mike Lee , 18-Окт-13 22:06 
чем это лучше LUKS + dm_crypt?

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Naive_Chukchi , 18-Окт-13 22:48 
Киллерфича - скрытые тома, несколько ключевых файлов.
Тома создаются изначально заполненные нулями (или рандомом) по всему объёму (в dm-crypt + LUKS приходится вручную через dd). В процессе генерации заголовков можно участвовать самому, нажимая на клавиатуре и водя мышью (внося дополнительную энтропию).
Поддержка default os (в реальном мире всегда есть боль, страдания и windows).

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Аноним , 18-Окт-13 23:02 
Одним из источников энтропии для /dev/random являются устройства пользовательского ввода (клавиатура и мышь). В трукрипте свой велосипед только для кроссплатформенности.

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Аноним , 18-Окт-13 23:03 
> Одним из источников энтропии для /dev/random

В Linux, разумеется. Про BSD и остальные UNIX-подобные системы не знаю.


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено CyberDaemon , 19-Окт-13 08:40 
>> Одним из источников энтропии для /dev/random
> В Linux, разумеется. Про BSD и остальные UNIX-подобные системы не знаю.

Судя по сыркам в BSD /dev/arandom - генератор на основе поточного шифра RC4. Вполне сносный кстати.

p.s. Тесты NIST и DIEHARD проходит.


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено u , 19-Окт-13 21:23 
> Одним из источников энтропии для /dev/random являются устройства пользовательского ввода
> (клавиатура и мышь).

Не только (на мой непрофессиональный взгляд, конечно же).
Например читая из /dev/random, попробуйте в другой консоли запустить cat /path/to/big_file > /dev/null, и сравните скорость заполнения пула случайных чисел до и после.
Есть и другие источники, просто этот всегда можно запустить ручками, когда надо.
  


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Аноним , 19-Окт-13 00:59 
> Киллeрфича - скрытые тома

Если вынести LUKS-заголовок в отдельный файл - LUKS-том тоже станет скрытым. Сюрприз-сюрприз!

> Тома создаются изначально заполненные нулями (или рандомом) по всему объёму (в dm-crypt + LUKS приходится вручную через dd).

Это ужасно. Как же я буду жить без автоматического заполнения пустого места при создании тома?

> В процессе генерации заголовков можно участвовать самому, нажимая на клавиатуре и водя мышью (внося дополнительную энтропию).

Ты не поверишь, но в dm-crypt - тоже. Как и в gpg. Ибо /dev/random.

> Поддержка default os (в реальном мире всегда есть боль, страдания и windows).

То, что они есть - еще не значит, что их нужно поддерживать.


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Аноним , 19-Окт-13 04:33 
> Если вынести LUKS-заголовок в отдельный файл - LUKS-том тоже станет скрытым. Сюрприз-сюрприз!

А если купить пару тонн метала и все необходимые станки - можно самому создать с нуля годный автомобиль. Но это далеко не самый простой способ добраться из пункта А в пункт Б. Вот трукрипт хорош тем что решает несколько типовых проблем.


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено John , 19-Окт-13 13:32 
Судя по Вашему комментарию, Вы используете LUKS.
Подскажите, пожалуйста:
раньше была возможность удалять устройство после монтирования
dmsetup remove DEVICE
чтобы злоумышленник, проникший в систему не мог выполнить дамп таблицы device-mapper
dmsetup table DEVICE > file
с последующим использованием без знания пароля LUKS
cat file | dmsetup create DEVICE
потом это сломали и для смонтированного устройства уже нельзя было выполнить
dmsetup remove DEVICE
Как сейчас с этим обстоит дело?

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено ананим , 19-Окт-13 15:01 
>$ man dmsetup
>remove [-f|--force] [--retry] device_name
>   Removes a device.  It will no longer be visible to dmsetup.  Open devices cannot be removed except with older kernels that contain a version of  device-map‐per  prior to  4.8.0.  In this case the device will be deleted when its open_count drops to zero. From version 4.8.0 onwards, if a device can't be removed because an uninterruptible process is waiting for I/O to return from it, adding --force will replace the table with one that  fails  all  I/O,  which  might allow  the process to be killed. If an attempt to remove a device fails, **perhaps because a process run from a quick udev rule temporarily opened the device**, the --retry option will cause the operation to be retried for a few seconds before failing.

зыж
Если «злоумышленник» имеет возможность шариться у вас в системе как хочет, в том числе снимать дампы блочных устройств и тд, то сомневаюсь что ему будут нужны такие сложности — скопирует что нужно со смонтированного раздела и всё.


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено John , 19-Окт-13 15:58 
> зыж
> Если «злоумышленник» имеет возможность шариться у вас в системе как хочет, в
> том числе снимать дампы блочных устройств и тд, то сомневаюсь что
> ему будут нужны такие сложности — скопирует что нужно со смонтированного
> раздела и всё.

Вы просто не видите дальше собственного носа.


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено ананим , 19-Окт-13 16:38 
Так поясните.
А то выглядит так, что отсутсвие аргументов вы компенсируете хамством.

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено ZloySergant , 19-Окт-13 14:22 
>Тома создаются изначально заполненные нулями (или рандомом) по всему объёму (в dm-crypt + LUKS приходится вручную через dd).
>В частности, при использовании Windows-сборки последние 65024 байта заголовка шифрованного раздела заполняются шифрованными случайными значениями, в то время как в Linux-сборке данная область заполняется шифрованными нулями.

Честно? Лучше уж dd при таких подставах.


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено iWLCkhBrBeDTGA , 20-Окт-13 03:16 
FreeOTFE для венды. Нормально работает с LUKS.

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Гость , 21-Окт-13 09:16 
Уже ..цать лет не как поддерживается (и не известно, кстати, что случилось с автором)

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено ABATAPA , 21-Окт-13 10:47 
Что-то там с доменом, похоже - сейчас одни "левые" ссылки.
Похоже, автор упустила домен...

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено iWLCkhBrBeDTGA , 22-Окт-13 02:19 
http://sourceforge.net/projects/freeotfe.mirror/

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Аноним , 18-Окт-13 22:48 
Тем, что LUKS не читается под виндой?

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено ананим , 19-Окт-13 01:30 
Так это офигенный плюс.

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено msa , 19-Окт-13 22:43 
> Тем, что LUKS не читается под виндой?

Лет 5 назад приходилось пользоваться 2 ОСками на 1 пк, пользовал freeotfe. Винда, конечно, притормаживала, но работала связка надежно.


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено MSlinux , 18-Окт-13 21:28 
какие проблемы? нужно собирать бинарники  под Виндус ХР тоже из сырцов...

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Аноним , 19-Окт-13 04:34 
> какие проблемы? нужно собирать бинарники  под Виндус ХР тоже из сырцов...

Только это в винде смахивает на рокетсайнс. Там с DDK и прочими зависимостями компилежки - весьма отдельный гимор.


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено arisu , 19-Окт-13 10:40 
>> какие проблемы? нужно собирать бинарники  под Виндус ХР тоже из сырцов…
> Только это в винде смахивает на рокетсайнс. Там с DDK и прочими
> зависимостями компилежки — весьма отдельный гимор.

да нет там никакого геморроя — говорю как собиравший. необходимые версии SDK и компиляторов указаны прямо в README. если ему следовать — собирается влёт и без проблем.


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено AnonuS , 19-Окт-13 14:06 
"Разрешите поинтересоваться в целях повышения образованности — а кто такой будет Иван Фёдорович Крузенштерн?"(С)

Я говорю один толкует про DDK и "гемор", а другой про SDK и "зашибись".

Кстати чем оно там собирается, VisualStudio Express подходит ?  


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено arisu , 19-Окт-13 15:51 
> Я говорю один толкует про DDK и «гемор», а другой про SDK
> и «зашибись».

ну, если ты не в курсе, то узнай, что в полный набор Platform SDK входит и DDK.

> Кстати чем оно там собирается, VisualStudio Express подходит ?

знать не знаю. я собирал шестым, если не изменяет память, m$vc. но всё равно придётся ещё спереть 16-битный m$vc для сборки загрузчика.


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено ананим , 19-Окт-13 16:49 
Само понятие DDK мс упразднила лет эдак 10 назад.
В любом случае, в SDK оно не входило тогда и не входит сейчас.

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено arisu , 19-Окт-13 16:57 
(пожимает плечами) значит, для меня собрали эксклюзивный dvd. я крутой.

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено AS , 18-Окт-13 21:38 
Linux-сборке данная область заполняется шифрованными нулями - это КАК ??

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Ivan1986 , 18-Окт-13 21:44 
Как как - берут область нулей и шифруют их как обычные данные

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Карбофос , 19-Окт-13 02:02 
когда нуль может быть не нулём, но он всё равно остаётся оным

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Аноним , 19-Окт-13 04:35 
> Linux-сборке данная область заполняется шифрованными нулями - это КАК ??

Ну вот так: шифруется куча нулей. На выходе разумеется мусор.


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено nikebl , 21-Окт-13 12:08 
Подозреваю, что используя некоторые алгоритмы и  зная как выглядит зашифрованная область нулей можно если не получить ключ шифрования, то явно снизить его криптостойкость...

ОМГ, они добрались таки до СПО?


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено iWLCkhBrBeDTGA , 22-Окт-13 02:32 
Зная, где нули были в контейнере, как генерировался вектор инициализации (и его значение) для кажого блока и что получилось после шифрования - можно получить по факту определённое число пар [открытый текст; шифротекст].
И, строго говоря, да - это может быть серьёзной проблемой.

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Zmey , 18-Окт-13 21:43 
This is хорошо!

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Mr. Cake , 18-Окт-13 21:53 
Зачем оно нужно если есть LUKS?

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Нанобот , 18-Окт-13 23:06 
потому что LUKS не работает на 95% операционных систем в мире

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Аноним , 19-Окт-13 00:55 
> потому что LUKS не работает на 95% операционных систем в мире

На этих "95%" шифрование и не требуется.


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Xasd , 19-Окт-13 09:50 
>> потому что LUKS не работает на 95% операционных систем в мире
> На этих "95%" шифрование и не требуется.

правильнее так -- "На этих "95%" шифрование -- безсмысленно!" :-) ..так как троян встроен в саму операционную систему, и активируется уже после её загрузки не зависимо от наличия\отсутствия шифрования :-)


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено ананим , 19-Окт-13 01:32 
>потому что LUKS не работает на 95% операционных систем в мире

Вот только этого этим 95% и не хватало. Внагрузку к антивирусам/вирусам.


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Аноним , 19-Окт-13 04:36 
> потому что LUKS не работает на 95% операционных систем в мире

Ну если учесть что мутные проприетарные кишки систем их обладателей не смущают - тогда и шифрование им врядли погоду делает.


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Michael Shigorin , 23-Окт-13 21:44 
> потому что LUKS не работает на 95% операционных систем в мире

Надо же, впервые вижу от виндостудента такое применительно к его собственному фетишу.

PS: дубль, первая версия куда-то делась ;-)


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Аноним , 18-Окт-13 23:15 
У LUKS есть заголовок, по которому определяется что это зашифрованный контейнер. TrueCrypt не создает такого заголовка.

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Perl_Jam , 19-Окт-13 00:46 
- plain dm-crypt метаданные не хранит
- для LUKS+dm-crypt есть возможность хранить заголовки (метаданные) в отдельном файле или на отдельном устройстве

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено iWLCkhBrBeDTGA , 20-Окт-13 06:19 
Верно. А с другой стороны, почему наличие заголовка для кого-то является проблемой? Зачм так нужна неотличимость контейнера от мусора?

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Killer No. 2 , 20-Окт-13 16:56 
Plausible deniability

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено iWLCkhBrBeDTGA , 21-Окт-13 01:30 
Зачем?

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено arisu , 21-Окт-13 01:37 
> Зачем?

затем, тора-гой, что есть страны, где ты по закону не имеешь права отказать Известным Органам в выдаче пароля к шифрованой информации. а вот сказать: «вы там чего, с крыш все попадали? нет никакого шифроконтейнера у меня и не было никогда» — вполне можно. дальше подумай сам.

только не надо песен про «терморектальный», это пограничный случай. бывают и другие случаи, когда показывать ничего не хочется, а паяльник совать не будут. брать на себя нарушение в виде отказа предоставить доступ — лишнее. а если нельзя доказать, что есть шифрованая информация, то и нарушения такого быть не может.


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено iWLCkhBrBeDTGA , 21-Окт-13 02:15 
>> Зачем?
> затем, тора-гой,

Чего?

> что есть страны, где ты по закону не имеешь права
> отказать Известным Органам в выдаче пароля к шифрованой информации.

Видимо это не очень хорошие страны, не посещай их ни за что!

> а вот
> сказать: «вы там чего, с крыш все попадали? нет никакого шифроконтейнера
> у меня и не было никогда» — вполне можно.

Строго говоря, наличие заголовка не доказывает наличие каких-либо полезных данных и знание владельцем ключа либо пароля. Дальше подумай сам.

> только не надо песен про «терморектальный»,

Вот и не надо, правильно.

> это пограничный случай. бывают и
> другие случаи, когда показывать ничего не хочется, а паяльник совать не
> будут. брать на себя нарушение в виде отказа предоставить доступ —
> лишнее. а если нельзя доказать, что есть шифрованая информация, то и
> нарушения такого быть не может.

Да. Есть только заголовок, откуда он там, зачем и почему - ХЗ, может быть тысяча причин. А данных нет и не было, честное слово. Докажешь обратное? Только не надо песен про «терморектальный».


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено да кем же подписаться , 21-Окт-13 02:20 
> Верно. А с другой стороны, почему наличие заголовка для кого-то является проблемой?
> Зачм так нужна неотличимость контейнера от мусора?

"Чтоб доказать что есть зашифрованная инфа нужно расшифровать раздел"
и
"Чтоб доказать что есть зашифрованная инфа нужно посмотреть заголовок раздела"

Разницу чувствуете?


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено iWLCkhBrBeDTGA , 22-Окт-13 02:26 
>> Верно. А с другой стороны, почему наличие заголовка для кого-то является проблемой?
>> Зачм так нужна неотличимость контейнера от мусора?
> "Чтоб доказать что есть зашифрованная инфа нужно расшифровать раздел"
> и
> "Чтоб доказать что есть зашифрованная инфа нужно посмотреть заголовок раздела"
> Разницу чувствуете?

Разумеется. Но я не вижу причин, почему второе - всегда плохо. Скорее это "никак".

Но, с другой стороны, как уже было сказано выше, dm-crypt и luks вполне позволяют хранить заголовок отдельно, а plain dm-crypt не требует заголовок вовсе. То есть "неразличимые контейнеры" - это явно не аргумент в пользу TrueCrypt и против dm-crypt.


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено umbr , 18-Окт-13 22:02 
А кто проверит достоверность проведенного аудита?
;)

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено kurokaze , 18-Окт-13 23:06 
Админы СОРМ-2

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Аноним , 19-Окт-13 04:46 
> Это по СОРМ-2 отмониторили?

Мне кажется что ты сильно льстишь нашим гэбистам. Почему-то мне кажется что половина оборудования есть только на бумаге, а работает по принципу "в датацентр позвонил товарищ майор".


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено ram_scan , 19-Окт-13 09:08 
Поверьте, у товарища майора с СОРМ-ом все в порядке. Сам лично многажды СОРМ-ом сдавался и испытывался (когда РЭ получал).

Так что железо это в полном обьеме есть, настроено и работает. Другое дело что в результат его работы смотреть без особых на то оснований - глаза портить.

Но бдят. Реально. У нас как-то из-за блэкаута поток до товарища майора лег, через который тот пультом был включен, так через 10 минут оттуда звонок ответственному лицу "че за херня с вашей стороны с линком и когда подымете ?"


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено arisu , 19-Окт-13 10:45 
да верим, верим, чо. полиция честная, бюджет не разворовывают, сорм работает.

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено jh , 19-Окт-13 15:26 
провы за свой счет его ставят

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено arisu , 19-Окт-13 15:59 
> провы за свой счет его ставят

и как это должно гарантировать работоспособность системы?


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Demo , 19-Окт-13 11:29 
> у товарища майора с СОРМ-ом все в порядке. Сам лично многажды

Сомнительный повод чтобы хвастать.


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Кир , 18-Окт-13 22:15 
давно форкать пора, имхо. доверия к ним никакого.

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Аноним , 18-Окт-13 23:26 
У них лицензия для форка странная, она не одобрена OSI http://opensource.org/licenses/alphabetical

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено nick , 18-Окт-13 22:30 
А кто проверит gcc, которым этот Truecrypt собирается? Почему в компиляторе не может быть закладок?..

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Аноним , 18-Окт-13 22:48 
Кто проверит что монитор на котором ты смотришь выводит правильный исходный текст? Почему в мониторе не может быть закладок?

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено YetAnotherOnanym , 18-Окт-13 23:49 
На мониторе может быть _на_кладка.

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Аноним , 19-Окт-13 00:11 
Закладка тоже может быть. Слать скриншоты кровавой гЭбне :)

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Аноним , 19-Окт-13 03:22 
> На мониторе может быть _на_кладка.

А у нас тут в кране _про_кладка. Это плохо?


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Demo , 19-Окт-13 11:30 
> А у нас тут в кране _про_кладка. Это плохо?

Подстилка хуже.


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено kurokaze , 18-Окт-13 22:53 
>Во-вторых, нет никаких гарантий, что бинарные сборки, которые составляют основную массу загрузок, не содержат закладок и собраны на основании публично доступного исходного кода без внесения скрытых изменений.

Те кто использует сторонние бинарные сборки - СЗБ


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Аноним , 18-Окт-13 23:06 
Кроме пользователей верифицируемых сборок, как в Debian.

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено kurokaze , 18-Окт-13 23:08 
> Кроме пользователей верифицируемых сборок, как в Debian.

Думаешь что-то умное сказал? SRPM с цифровой подписью еще в шапке и соответственно в ASP Linux были
Но ты тогда наверное еще в школу ходил


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Аноним , 19-Окт-13 04:37 
> Думаешь что-то умное сказал? SRPM с цифровой подписью еще в шапке и
> соответственно в ASP Linux были

Осталось только проверить что в недрах шапки код не подменили :)


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено solar , 19-Окт-13 02:45 
>А кто проверит gcc, которым этот Truecrypt собирается? Почему в компиляторе не может быть закладок?

GCC каждый день мурыжат LFSники

Нужен


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено pmn , 19-Окт-13 06:27 
есть ли системы без бэкдоров и закладок и мастер-ключей?

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено ананим , 19-Окт-13 15:17 
Ну,.. вы уж определитесь — РМС (и ФСФ) фанатики ищи нет.
Это у рипнутого (и тд) всегда "по ситуации". Холуи, что с них взять.

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено noname01 , 19-Окт-13 08:25 
Очень годная и нужная вещь. Следим за развитием событий.

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено tr , 19-Окт-13 10:11 
Согласен. Причем, дело не в truecrypt, а в преценденте и процедуре публичного аудита.

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Гость , 21-Окт-13 09:23 
:-) да ладно вам.. Как будто непонятно, что раз дали всему этому всплыть, значит давно уже есть другие, более "крутые" инструменты

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено arisu , 19-Окт-13 10:37 
1. скажите им, что принцессы какают. а то без сноудена они не знают.
2. ну да, анонимность авторов — это так неудобно для АНБ! а ну, выйти из тени!
3. конечно, аудиторы никак с АНБ не связаны. чо, зуб дают!

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Анонизм , 19-Окт-13 13:10 
>сформировать независимые эталонные сборки для Ubuntu, RHEL, CentOS, Debian и Fedora

Что как бы намекает о "значимости" всяких "опензюзе" и прочих "магей" :D


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено eganru , 19-Окт-13 15:29 
мне кажется проект слишком крупный, чтобы дизасемблировать и просмотреть.
полагаю, что всем известно, что в бинарнике может быть что угодно. вопрос в том, доверяешь ли ты источнику или нет.
если люди не доверяют - исходные коды открыты: могут сами собрать.
***
имхо бинарных сборок пруд пруди. каждую проверять - идти на поводу у паранойи.

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено atnt , 19-Окт-13 20:19 
We're hoping to convince one of the stronger companies to...

Главное, чтобы имя компании заранее не выдали, а то АНБ к ним путь найдет и аудит будет уже не тот.


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Аноним , 19-Окт-13 21:46 
Создание иллюзий - любимое занятие кукловодов. Хочешь получить контроль без геморроя  - создай нечто свое нужное и удобное, внедри в массы и подогревай интерес, а в случае опасности организуй разоблачительный процесс и опровергни опасения. А лучше создать несколько продуктов которые будут друг с другом конкурировать, но иметь один общий "колпак". Так и клетка ширше и хомяки спокойней.

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Аноним , 20-Окт-13 13:49 
инициатива возникла не на пустом месте, а потому что для виндовс и линукс - реализации имеют разный подход генерации ключей, помоему длинна разная

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Andrey Mitrofanov , 20-Окт-13 14:15 
>имеют разный подход генерации ключей, помоему длинна разная

Четыре абзаца новости не осилил? Да, четыре абзаца -- длина.


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Forth , 20-Окт-13 19:18 
А по-моему это потому, что это очень разные программные продукты. Мое впечатление - автор RealCrypt использовал только сорцы, работающие с заголовками дисков и шифрованием, все остальное свое, включая код записи этих самых заголовков.
Оно и неудивительно, когда открываешь код TrueCrypt - понимаешь, что из портабельного только вышесказанное, остальное сугубо Windows-специфик.
З.Ы. Почитайте код сами, кому не лень, там того кода очень даже немного, хотя бы можно убедиться в отсутствии явных бэкдоров. И пересборка бинарника для себя несложно вовсе.

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Аноним , 20-Окт-13 19:35 
> инициатива возникла не на пустом месте, а потому что для виндовс и
> линукс - реализации имеют разный подход генерации ключей, помоему длинна разная

Тогда тем более нужен аудит. Разный подход к генерации ключей приводит к разному уровню безопасности.


"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Аноним , 21-Окт-13 13:17 
безобидность исходников ни о чем ни говорит
речь идет о бинарных сборках

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено Аноним , 21-Окт-13 16:04 
на самом деле - позитивно.
помимо верификации и типизации бехэвиора бинарников - интересен был бы полность-комьюнити форк сабжа, весьма.

"Инициатива по аудиту Truecrypt на предмет наличия бэкдора"
Отправлено iWLCkhBrBeDTGA , 22-Окт-13 06:25 
> на самом деле - позитивно.
> помимо верификации и типизации бехэвиора бинарников - интересен был бы полность-комьюнити
> форк сабжа, весьма.

Зачем, если есть тот же dm-crypt?