Проект Open Crypto Audit Project (https://opencryptoaudit.org/) (OCAP), объявил (http://blog.cryptographyengineering.com/2015/04/truecrypt-re...) о завершении второй стадии аудита популярного открытого приложения для шифрования дисковых разделов Truecrypt (https://github.com/AuditProject/truecrypt-verified-mirror). Несмотря на то, что проект Truecrypt был закрыт разработчиками (ему на смену пришел форк TrueCryptNext (http://truecrypt.ch/)), его независимый аудит был доведён до конца, чтобы развеять сомнения в отсутствии бэкдоров, позволяющих спецслужбам получить доступ к зашифрованным данным. Первая стадия аудита, выполненная (http://www.opennet.me/opennews/art.shtml?num=39573) в апреле прошлого года и не выявившая существенных проблем, была посвящена изучению исходных текстов проекта.На второй стадии выполнен анализ криптостойкости применяемых алгоритмов шифрования и корректности их реализации. Судя по опубликованному отчёту (https://opencryptoaudit.org/reports/TrueCrypt_Phase_II_NCC_O...), на второй стадии также не было выявлено критических проблем или фактов, которые могли бы свидетельствовать о внедрении бэкдоров или преднамеренных дефектов. В целом TrueCrypt оценен (http://blog.cryptographyengineering.com/2015/04/truecrypt-re...) как весьма хорошо спроектированный продукт. При этом, в процессе анализа выявлено 4 уязвимости, две из которых признаны незначительными, а двум присвоен высокий уровень опасности, но также отмечена очень высокая трудность эксплуатации.
Первая опасная уязвимость при очень редком стечении обстоятельств может привести к сбою выполнения вызова CryptAcquireContext (функция из Windows API) в генераторе случайных чисел Windows и формированию первичного ключа в условиях недостаточного накопления энтропии, что потенциально может способствовать проведению brute-force-атаки по подбору ключа. Вероятность такого сбоя оценена как экстремально низкая. Кроме того, CryptAcquireContext является не единственным используемым источником энтропии, поэтому проблема скорее носит теоретический харктер.
Вторая уязвимость вызвана недоработками в коде с ассемблерными оптимизациями для блочного шифра AES, что позволяет применить cache-timing-атаку (http://www.opennet.me/opennews/art.shtml?num=40877) для восстановлению данных через оценку изменения состояния кэша процессора. Данные вид атак очень труден в реализации и подразумевает, что атакующий уже имеет доступ к выполнению кода в системе. Неопасные проблемы связаны с возможностью использования keyfile и хранением метаданных раздела в отдельно зашифрованных заголовках.
URL: http://blog.cryptographyengineering.com/2015/04/truecrypt-re...
Новость: http://www.opennet.me/opennews/art.shtml?num=41963
Ну будем надеяться форк не загнётся.
ЗЫ. Если не ошибаюсь его в CipherShed переименовали
Есть ещё форк VeraCrypt какой-то.
> Есть ещё форк VeraCrypt какой-то.Ага. Куча форков, каждый со своими уникальными закладками.
Зато сколько нашли возможностей
внедрить бэкдоры :)
Зато сколько нашли возможностей
внедрить бэкдоры... :)
> Ну будем надеяться форк не загнётся.ды кому он нужен.
времена Windows XP (для которой актуален TrueCrypt-и-форки) -- уже почти закончились...
..по пальцам перещитать можно тех кто не апгрейдился до Семёрочки\Восьмёрочки.
ну максимум -- после перехода на Семёрочку\Восьмёрочку -- нужно будет подождать ещё годок~полтора, когда накопители зашифрованные через TrueCrypt (зашифрованные ранее, оставшиеся с давних времён) -- выйдут из строя от старости.
Не понял, а при чем тут wondows 7 и выше?
> Не понял, а при чем тут wondows 7 и выше?http://www.opennet.me/openforum/vsluhforumID3/101918.html#53
http://www.opennet.me/openforum/vsluhforumID3/101918.html#54
Ты больше не кури что ты куришь, и не нюхай, и не лижи.
1) Во-первых причем тут виндовс
2) во-вторых семерка это ХП со свистелками и перделками, то же ядро, те же глюки. Но уже за другие деньги, к сожалению не за те же.
Хм... Свиста на ядре 2003, испорченная рюшечками, а 7ка - снова XP? o_O Свисту потому и выпустили, что с тем, что стало 7кой, тупо затянули. Не?
> Хм... Свиста на ядре 2003, испорченная рюшечками, а 7ка - снова XP?
> o_O Свисту потому и выпустили, что с тем, что стало 7кой,
> тупо затянули. Не?Нет, ну если вы считаете что ХП и 7 это разные системы, нууу я человек толерантный к чужой вере ... ноу коментс короче ... веруй :)
А накидайте-ка нам по-быстрому сравнение исходников ядра одной и другой ОС в качестве пруфов.
> А накидайте-ка нам по-быстрому сравнение исходников ядра одной и другой ОС в
> качестве пруфов.ты такой жирный троль что просто умора ... ))
подойдем к вопросу с точки зрения функционала - что "такого" прогрессивного есть в 7 чего нет в ХП? только того что нельзя было сделать в ХП при помощи пары апдейтов :)
> подойдем к вопросу с точки зрения функционалаУ функционала нет точки зрения. Это вообще виртуальный объект вариационного исчисления.
> У функционала нет точки зрения. Это вообще виртуальный объект вариационного исчисления.Это у проприетарного халопа нет точки зрения - его точка зрения определяется должностными инструкциями :) Жирных тролей и проприетарных подсирал очень просто спалить одним простым вопросом - они сразу съезжают с темы в мутное гуано и минусят :)
В Win7 больше абстракций, убрали например управление аппаратным ускорением звука и т.д. 64 битная версия нормально работает с большими объёмами оперативы.Но очевидно, что главной целью создания версий после XP является получение прибыли и насильственное насаждение несовместимости. Тот же DirectX 11 работающий только в Win7 и т.д. К слову, на практике не смотря на 64 бит XP оказывается быстрее + меньше потребление памяти, а в сети можно найти статьи о том, что предел на количество используемой оперативы для XP преодолим (я не про PAE) и по сути тоже искусственно не исправлен.
> В Win7 больше абстракций, убрали например управление аппаратным ускорением звука и т.д.
> 64 битная версия нормально работает с большими объёмами оперативы.если я простой юзер - мне вообще до звезды понятие "аппаратное", тем более сочетание "аппаратное управление". юзера это вообще не должно волновать, особенно в ОСи для домохозяек.
> Но очевидно, что главной целью создания версий после XP является получение прибыли+100500 - к чему я и виду
> и насильственное насаждение несовместимости. Тот же DirectX 11 работающий только в
> Win7 и т.д. К слову, на практике не смотря на 64
> бит XP оказывается быстрее + меньше потребление памяти, а в сети
> можно найти статьи о том, что предел на количество используемой оперативы
> для XP преодолим (я не про PAE) и по сути тоже
> искусственно не исправлен.это все широко известно ...
Вообще-то, товарищ прав. В Висте было новое ядро по сравнению с XP. В семерку тоже оно вошло, с новыми плюшками. Так что, да, по сути XP и 7 - очень разные.
Извини, но ты не человек толерантный к другой школе, а просто не знаешь про что говоришь. Направленность ресурса не отменять наличие знаний и не делает безграмотные заявления верными.
> Нет, ну если вы считаете что ХП и 7 это разные системы, нууу я человек толерантный к чужой вере ... ноу коментс короче ... веруй :)А что в вашем понимании есть "разные системы". Понятно, что с нуля не переписывали, но так же понятно, что разные. Вы хоть строчку кода хоть под одну из них пробовали написать в своей жизни? И я имею в виду не helloworld, а реальный виндокод, использующий виндоапи? (Слава богу, я этим уже сто лет не занимаюсь, свят-свят-свят... и три раза по дереву в качестве дани язычеству)
Если бы написали, то вашего коммента тут бы не было.
Хотя, кого я спрашиваю, спрашивать на нынешнем опеннете о строчке кода, это уже перебор...
O temporas! O mores!
> Во-первых причем тут виндовспри том что на Windows-XP нет своих собственных средств дискового шифрования.
и именно поэтому там и использовался TrueCrypt.
> семерка это ХП со свистелками и перделками, то же ядро, те же глюки
ды пусть хоть 20 раз пердит и глючит -- один фиг: те кто её используют -- её используют (нравится им есть кактус!? ну значит нравится). а шифрование там есть своё родное.
и в Линуксах тоже есть своё родное шифрование.. всяко лучшее чем TrueCrypt.
один только WindowsXP оставался без шифрования.
# P.S.: а еспользовать TrueCrypt лишь по причине кросплатформенности (не путать с причиной "я просто привык") -- глупо. так как luks и encfs -- тоже кросплатформенные.
> при том что на Windows-XP нет своих собственных средств дискового шифрования.
> и именно поэтому там и использовался TrueCrypt.Не правда ,только нужно было брать не домашнюю версию ,и не пиратку .TrueCrypt ставили из-за того что там нормальное сильное шифрование ,а не 48 битное экспортное (говорили про 64 битное DES,но криптоанолитики сказали что 16 бит ключа легко выевляются) .Для незнающих -XP Proffesional ,ставить пароли на все учетные записи (обязательно ) ,потом свойства папки ,расширинные атрибуты Ntfs ,включить шифрование .
>Для незнающих -XP Proffesional
> ,ставить пароли на все учетные записи (обязательно ) ,потом свойства папки
> ,расширинные атрибуты Ntfs ,включить шифрование .Добавлю еще - в отозображение или виде (не помню ) перед этим нужно снять галочку предостовлять простой доступ к Ntfs -как то так называется .
Ага, а полностью переписанный сетевой стек, переделанный шедуллер и объекты синхронизации, полностью другая аудиосистема, другой стек GUI - это все ХР????Там разные ядра, бездарь
Ну да, времена ХР уже совсем закончились, поэтому TC я использую под Linux и OSX.
При чем здесь та мелкомягкая возня вообще?
> Ну да, времена ХР уже совсем закончились, поэтому TC я использую под
> Linux и OSX.
> При чем здесь та мелкомягкая возня вообще?Пример. У меня есть нетбук на Intel Atom который нормально работает на WinXP. Для Win7 под него драйверов нет, из-за их отсутствия тормоза + тормоза появляются из-за 1 Гб памяти. Апргрейдить смысла нет, продавать почти за даром тоже, как плеер-запаска-для-интернета работает отлично. Под linux (ubuntu/debian) дикие тормоза и перегревание.
>> Ну да, времена ХР уже совсем закончились, поэтому TC я использую под
>> Linux и OSX.
>> При чем здесь та мелкомягкая возня вообще?
> Пример. У меня есть нетбук на Intel Atom который нормально работает на
> WinXP. Для Win7 под него драйверов нет, из-за их отсутствия тормоза
> + тормоза появляются из-за 1 Гб памяти. Апргрейдить смысла нет, продавать
> почти за даром тоже, как плеер-запаска-для-интернета работает отлично. Под linux (ubuntu/debian)
> дикие тормоза и перегревание.Не говоря о том, что под linux отсутствует управление фирменными фичами вроде уровня вращения вентилятора, горячих клавиш num-pad, отключения/включения доп. функций.
> Не говоря о том, что под linux отсутствует управление фирменными фичамиССЗБ?
Нет, серьезно -- пока большинство пользователей линуксом (вернее - не-форточки в целом, т.е плюс 3,5 бздшника) сперва покупают железку (не смотря на совместимость или хотя бы "репутацию" производителя в плане поддержки не-форточко-осей, а только на цену), а потом начинают жаловаться на форумах и требовать поддержки своего железа "злобными разрабами пингвина/бзды", ничего толком не изменится.Ведь железку купили? Купили!
На саппорте всяких пингвинов сэкономили?
Cэкономили (в отличии от придурошных конкурентов, которые драйвера к устройству зафигачили, из за чего у них цена чуток выше была и Экономный-Вася-Линуксоид на это не повелся, а купил неподдерживаемую *рень, для которой потом сами линуксоиды дрова и запилили)!Дык чего еще надо для капиталистического Щастья?
> Пример. У меня есть нетбук на Intel Atom который нормально работает на
> WinXP. Для Win7 под него драйверов нет, из-за их отсутствия тормоза
> + тормоза появляются из-за 1 Гб памяти. Апргрейдить смысла нет, продавать
> почти за даром тоже, как плеер-запаска-для-интернета работает отлично. Под linux (ubuntu/debian)
> дикие тормоза и перегревание.На такую замечательную систему лучше вообще программы, выпущенные после 2010 года, не ставить. А то вдруг пойдут тормоза и перегревание...
> У меня есть нетбук на Intel Atom который нормально работаетА у меня есть к6 350мгц с 4гб хдд и 128мб рамы на котором ваша новомодная хрюша жутко тормозит!
> времена ХР уже совсем закончились, поэтому TC я использую под Linux и OSXну скоро и ты перестанешь использовать TrueCrypt.. просто до тебя доходит -- медленно, не сразу.
> При чем здесь та мелкомягкая возня вообще?
при том что благодаря ей ты научился использовать TrueCrypt. скажи спасибо своим мелкомягким и их прихлебаям.
а то что сейчас ты отмахиваешься "нет! нет! я не виндузятник!" -- это ты делаешь лишь для того чтобы якобы отделить себя от технологического быдла?
если ты не виндузятник, то почему тогда привычки остались виндузятные? потому что только 3 недели назад спрыгнул с Windows, и уже якобы перешёл в элите?
Putty.dmg?
А меня вот очень интересует не нарушают ли форки лицензию?
В вики лицензия TrueCrypt License v 3.1 (source-available freeware) вроде как можно только смотреть код, не форкать?
Сам то нашел такой кусок:a. The name of Your Product (or of Your modified version of
This Product) must not contain the name TrueCrypt (for
example, the following names are not allowed: TrueCrypt,
TrueCrypt+, TrueCrypt Professional, iTrueCrypt, etc.) nor
any other names confusingly similar to the name TrueCrypt
(e.g., True-Crypt, True Crypt, TruKrypt, etc.)только не уверен, что в лицензии нет ещё чего-то неочевидного неявно запрещающего форки.
> А меня вот очень интересует не нарушают ли форки лицензию?тут нужно ещё понять -- какую именно.
ведь форки -- форкают НЕ последнюю версию TrueCrypt , а предпоследнюю...
а лицензии у версий TrueCrypt -- слегка отличаются.
--------------------------------------------------
нельзя же форкнуть ПРЕДпоследнюю версию , а лиценцию взять от последней :-D ..
впрочем автору TrueCrypt -- по барабану. очевидно что он похоронил проект, и что ему всё равно что там будет с ним и его лицензией и пирацкими форками.
а перелицензировать (перед похоронами) в MIT или в Public Domain -- автор похоже не догадался из-за своей недалёкости. уж похоронил так похоронил.
Автора похоже жестко прижали ... но вам недалекому клоуну это не в домёк.
Сторонникик заговоров подкатили.
Может человеку резко недоесть писать бесплатно качественный код? Может сабж разрабатывался под конкретные задачи на каких-то предприятиях и действительно потерял актуальность.
> Сторонникик заговоров подкатили.
> Может человеку резко недоесть писать бесплатно качественный код? Может сабж разрабатывался под конкретные задачи на каких-то предприятиях и действительно потерял актуальность.Действительно, зачем автору париться и тянуть целый проект, если готовые встроенные решения для шифрования данных сейчас есть и в винде, и в линуксе?
Раньше в винде не было BitLocker, что и обусловило создание TrueCrypt. А в линуксе - LUKS, что привело к появлению cryptoloop. Но теперь старые технологии уходят со сцены...
> Раньше в винде не было BitLocker, что и обусловило создание TrueCrypt. А
> в линуксе - LUKS, что привело к появлению cryptoloop. Но теперь
> старые технологии уходят со сцены...у вас весеннее обострение? ))
Свидетельство канарейки (С)
> Автора похоже жестко прижали ...Возможно, придали его гораздо раньше. А потом ему просто стало стыдно, вот он и закрыл проект.
А теперь вот пришлось и аудиторов прижимать.
Скажите мне пожалуйста: "Кому и зачем весь этот цирк нужен?" Кто спонсирует? Почему не проводят аудит кода таких проектов как например gpg, libotr, openssh ?
> Кто спонсирует?Ну, собрали денюжку
https://www.indiegogo.com/projects/the-truecrypt-audit/
https://www.fundfill.com/fund/TrueCryptAudited
http://blog.cryptographyengineering.com/2013/12/an-update-on...
и вперед.Тут ведь, при закрытии (с громким хлопаньем дверью) TCа народ даже ванговал, что разрабы обиделись и плюнули на проект как раз из за собранной для аудита "левой организацией", в короткие сроки, немалой суммы (вроде бы превышающей все суммарные пожертвования непосредственно проекту, в несколько раз).
> разрабы обиделись и плюнули на проектони бы ещё обидились бы что денег огромные кучи собирают на разработку шрифтов :-D
Это очередное подтверждение того что стадо не обладает разумом и поэтому им нужно управлять и манипулировать ?
А я то думал что надо влючать мозги. Хотя, конечно, у негояев свои цели...
> Это очередное подтверждение того что стадо не обладает разумом и поэтому им
> нужно управлять и манипулировать ?Зачем подтверждать очевидные вещи? Энивей, авторам этого "подтверждения" до Мавроди как пешком до Китая.
>> народ даже ванговал, что разрабы обиделись и плюнули на проект как раз из за собранной для аудита "левой организацией", в короткие сроки, немалой суммыДеньги-деньгами, но авторы похоронили проект аккурат через несколько дней после публикации Софтодромом расследования "кто же эти анонимные авторы TC?". Совпадение ли это?
> Скажите мне пожалуйста: "Кому и зачем весь этот цирк нужен?" Кто спонсирует?Очевидно, те же организации, которые организовали закрытие исходного проекта.
> Почему не проводят аудит кода таких проектов как например gpg, libotr, openssh ?
На линуксоидах много профита не сделаешь.
Проект трукрипт был закрыт не без помощи америкосовских спецслужб - это и дураку очевидно, а то что им спокойно пользоваться можно - этот аудит лишнее тому подтверждение.
Что мешает предположить, что америкосовские спецслужбы дотянулись не только до авторов, но и до аудиторов?
Проверьте под диваном - не спрятался-ли там абамка-абизянка, выпейте святой водички, и помолитесь на ночь. Слава Роисси!
Аудиторов тоже погуантанамить не проблема. И тогда аудит покажет, что всё ОК, пользоваться можно, АНБ одобряэ!
Так это общеизвестный факт. FBI не смогли хакнуть зашифрованый в TC USB диск одного бразильского мафиозника. После чего попросили в грубой форме программеров предоставить им блекдоор, на что получили ответ что такие прибамбасы в открытом коде невозможны. Очень обиделись, бразильца отпустили, TC прикрыли.
Первым форком был TCnext, предлагаю не вестись на десятки остальных, ибо ничего хорошего из этого не выйдет.
> Первым форком был TCnext, предлагаю не вестись на десятки остальных, ибо ничего
> хорошего из этого не выйдет.
> https://truecrypt.ch/И ещё можно почитать там форум, чтоб быть в курсе того, что команды VeraCrypt и ChiperShed включились в поддержку и далее решили развивать проект как ChiperShed, чтобы не поиметь проблем с лицензией.
> Первым форком был TCnext, предлагаю не вестись на десятки остальных, ибо ничего хорошего из этого не выйдет.В любом случае, ничего хорошего из форков не выйдет. Любое отступление от проверенного кода 7.1a - это возможность потенциальных бэкдоров.
>> Первым форком был TCnext, предлагаю не вестись на десятки остальных, ибо ничего хорошего из этого не выйдет.
> В любом случае, ничего хорошего из форков не выйдет. Любое отступление от
> проверенного кода 7.1a - это возможность потенциальных бэкдоров.Если ты доверяешь 7.1a, достаточно провести аудит diff-а и собрать.
Вэлкам ту опенсорс.
И чем Veracrypt плох?
https://veracrypt.codeplex.com/wikipage?title=Release%2...
В отличие от остальных, он хотя бы развивается и совершенствуется.
А где скачать этот форк? На их сайте можно найти только сам tc или я плохо искал?
в геометрии не существует царской дороги - Евклид