Несколько исследователей безопасности выступили (http://blog.cryptographyengineering.com/2013/10/lets-audit-t...) с инициативой (http://istruecryptauditedyet.com/) проведения аудита Truecrypt (http://www.truecrypt.org/), популярного открытого приложения для шифрования дисковых разделов, число загрузок которого с сайта проекта превысило 28 млн. Несмотря на то, что используемые в программе методы шифрования явно не были скомпрометированы, а код программы открыт и доступен для аудита, некоторые из исследователей подозрительно относятся к данному приложению.
Во-первых, авторы приложения остаются анонимными, никто не знает кто действительно разрабатывает Truecrypt. Во-вторых, нет никаких гарантий, что бинарные сборки, которые составляют основную массу загрузок, не содержат закладок и собраны на основании публично доступного исходного кода без внесения скрытых изменений. Более того, выявлены факты, которые свидетельствуют о расхождении поведения сборки для Windows со сборкой для Linux и вариантом, собранным из исходных текстов. В частности, при использовании Windows-сборки последние 65024 байта заголовка шифрованного раздела заполняются шифрованными случайными значениями, в то время как в Linux-сборке данная область заполняется шифрованными нулями.
Не ясно, что именно скрывается за случайным набором данных и почему поведение разных сборок отличается. Недавние разоблачения (http://www.opennet.me/opennews/art.shtml?num=37846) деятельности АНБ по обеспечению доступа к шифрованным коммуникациям, подогрели интерес к подтверждению или опровержению безопасности Truecrypt. В качестве неподтверждённого домысла упоминается возможность сохранении в данной области ключей шифрования, дополнительно зашифрованных с использованием известного только создателям сборки ключа, или использование указанного блока в качестве кода для активации бэкдора.
В рамках инициативы (http://istruecryptauditedyet.com/) по проведению аудита Truecrypt планируется убедится в безопасности бинарных сборок программы, провести профессиональный анализ криптостойкости используемых методов и сформировать независимые эталонные сборки для Windows, OS X, Ubuntu, RHEL, CentOS, Debian и Fedora. Кроме того, планируется провести юридический анализ открытой лицензии TrueCrypt v3.0, некоторые спорные формулировки в которой помешали включению пакетов с TrueCrypt в состав дистрибутивов Ubuntu, Debian, RedHat, CentOS и Fedora. Для финансирования инициативы в рамках краудфандинга уже удалось собрать 36 тысяч долларов.URL: http://threatpost.com/truecrypt-audit-could-answer-troubling...
Новость: http://www.opennet.me/opennews/art.shtml?num=38202
поздно спохватились
Лучше поздно, чем никогда. Отрицательная информация, знаешь, она тоже информация. Тут или пан, или форк.
> Лучше поздно, чем никогда. Отрицательная информация, знаешь, она тоже информация. Тут или пан, или форк.Лицензия форки не одобряет. Это вам не udev какой-нибудь.
Не понял? Что у трукрипта не так с лицензией?
Не одобряет или запрещает? Разные вещи.
> Лучше поздно, чем никогда. Отрицательная информация, знаешь, она тоже информация. Тут или
> пан, или форк.совершенно пофигу: нет никакой гарантии, что этот проект не затеян АНБ — в качестве дымовой завесы.
Интерецно, тулчейн выложат?
Или ограничатся коммюнике?
Не помешает.
Как раз кстати. Может, после проверки Truecrypt включат в дистрибутивы и не придётся запускать неведомый бинарь с неведомой лицензией "AS IS" (перед скачиванием исходников так же требует согласиться с этой лицензией).
чем это лучше LUKS + dm_crypt?
Киллерфича - скрытые тома, несколько ключевых файлов.
Тома создаются изначально заполненные нулями (или рандомом) по всему объёму (в dm-crypt + LUKS приходится вручную через dd). В процессе генерации заголовков можно участвовать самому, нажимая на клавиатуре и водя мышью (внося дополнительную энтропию).
Поддержка default os (в реальном мире всегда есть боль, страдания и windows).
Одним из источников энтропии для /dev/random являются устройства пользовательского ввода (клавиатура и мышь). В трукрипте свой велосипед только для кроссплатформенности.
> Одним из источников энтропии для /dev/randomВ Linux, разумеется. Про BSD и остальные UNIX-подобные системы не знаю.
>> Одним из источников энтропии для /dev/random
> В Linux, разумеется. Про BSD и остальные UNIX-подобные системы не знаю.Судя по сыркам в BSD /dev/arandom - генератор на основе поточного шифра RC4. Вполне сносный кстати.
p.s. Тесты NIST и DIEHARD проходит.
> Одним из источников энтропии для /dev/random являются устройства пользовательского ввода
> (клавиатура и мышь).Не только (на мой непрофессиональный взгляд, конечно же).
Например читая из /dev/random, попробуйте в другой консоли запустить cat /path/to/big_file > /dev/null, и сравните скорость заполнения пула случайных чисел до и после.
Есть и другие источники, просто этот всегда можно запустить ручками, когда надо.
> Киллeрфича - скрытые томаЕсли вынести LUKS-заголовок в отдельный файл - LUKS-том тоже станет скрытым. Сюрприз-сюрприз!
> Тома создаются изначально заполненные нулями (или рандомом) по всему объёму (в dm-crypt + LUKS приходится вручную через dd).
Это ужасно. Как же я буду жить без автоматического заполнения пустого места при создании тома?
> В процессе генерации заголовков можно участвовать самому, нажимая на клавиатуре и водя мышью (внося дополнительную энтропию).
Ты не поверишь, но в dm-crypt - тоже. Как и в gpg. Ибо /dev/random.
> Поддержка default os (в реальном мире всегда есть боль, страдания и windows).То, что они есть - еще не значит, что их нужно поддерживать.
> Если вынести LUKS-заголовок в отдельный файл - LUKS-том тоже станет скрытым. Сюрприз-сюрприз!А если купить пару тонн метала и все необходимые станки - можно самому создать с нуля годный автомобиль. Но это далеко не самый простой способ добраться из пункта А в пункт Б. Вот трукрипт хорош тем что решает несколько типовых проблем.
Судя по Вашему комментарию, Вы используете LUKS.
Подскажите, пожалуйста:
раньше была возможность удалять устройство после монтирования
dmsetup remove DEVICE
чтобы злоумышленник, проникший в систему не мог выполнить дамп таблицы device-mapper
dmsetup table DEVICE > file
с последующим использованием без знания пароля LUKS
cat file | dmsetup create DEVICE
потом это сломали и для смонтированного устройства уже нельзя было выполнить
dmsetup remove DEVICE
Как сейчас с этим обстоит дело?
>$ man dmsetup
>remove [-f|--force] [--retry] device_name
> Removes a device. It will no longer be visible to dmsetup. Open devices cannot be removed except with older kernels that contain a version of device-map‐per prior to 4.8.0. In this case the device will be deleted when its open_count drops to zero. From version 4.8.0 onwards, if a device can't be removed because an uninterruptible process is waiting for I/O to return from it, adding --force will replace the table with one that fails all I/O, which might allow the process to be killed. If an attempt to remove a device fails, **perhaps because a process run from a quick udev rule temporarily opened the device**, the --retry option will cause the operation to be retried for a few seconds before failing.зыж
Если «злоумышленник» имеет возможность шариться у вас в системе как хочет, в том числе снимать дампы блочных устройств и тд, то сомневаюсь что ему будут нужны такие сложности — скопирует что нужно со смонтированного раздела и всё.
> зыж
> Если «злоумышленник» имеет возможность шариться у вас в системе как хочет, в
> том числе снимать дампы блочных устройств и тд, то сомневаюсь что
> ему будут нужны такие сложности — скопирует что нужно со смонтированного
> раздела и всё.Вы просто не видите дальше собственного носа.
Так поясните.
А то выглядит так, что отсутсвие аргументов вы компенсируете хамством.
>Тома создаются изначально заполненные нулями (или рандомом) по всему объёму (в dm-crypt + LUKS приходится вручную через dd).
>В частности, при использовании Windows-сборки последние 65024 байта заголовка шифрованного раздела заполняются шифрованными случайными значениями, в то время как в Linux-сборке данная область заполняется шифрованными нулями.Честно? Лучше уж dd при таких подставах.
FreeOTFE для венды. Нормально работает с LUKS.
Уже ..цать лет не как поддерживается (и не известно, кстати, что случилось с автором)
Что-то там с доменом, похоже - сейчас одни "левые" ссылки.
Похоже, автор упустила домен...
http://sourceforge.net/projects/freeotfe.mirror/
Тем, что LUKS не читается под виндой?
Так это офигенный плюс.
> Тем, что LUKS не читается под виндой?Лет 5 назад приходилось пользоваться 2 ОСками на 1 пк, пользовал freeotfe. Винда, конечно, притормаживала, но работала связка надежно.
какие проблемы? нужно собирать бинарники под Виндус ХР тоже из сырцов...
> какие проблемы? нужно собирать бинарники под Виндус ХР тоже из сырцов...Только это в винде смахивает на рокетсайнс. Там с DDK и прочими зависимостями компилежки - весьма отдельный гимор.
>> какие проблемы? нужно собирать бинарники под Виндус ХР тоже из сырцов…
> Только это в винде смахивает на рокетсайнс. Там с DDK и прочими
> зависимостями компилежки — весьма отдельный гимор.да нет там никакого геморроя — говорю как собиравший. необходимые версии SDK и компиляторов указаны прямо в README. если ему следовать — собирается влёт и без проблем.
"Разрешите поинтересоваться в целях повышения образованности — а кто такой будет Иван Фёдорович Крузенштерн?"(С)Я говорю один толкует про DDK и "гемор", а другой про SDK и "зашибись".
Кстати чем оно там собирается, VisualStudio Express подходит ?
> Я говорю один толкует про DDK и «гемор», а другой про SDK
> и «зашибись».ну, если ты не в курсе, то узнай, что в полный набор Platform SDK входит и DDK.
> Кстати чем оно там собирается, VisualStudio Express подходит ?
знать не знаю. я собирал шестым, если не изменяет память, m$vc. но всё равно придётся ещё спереть 16-битный m$vc для сборки загрузчика.
Само понятие DDK мс упразднила лет эдак 10 назад.
В любом случае, в SDK оно не входило тогда и не входит сейчас.
(пожимает плечами) значит, для меня собрали эксклюзивный dvd. я крутой.
Linux-сборке данная область заполняется шифрованными нулями - это КАК ??
Как как - берут область нулей и шифруют их как обычные данные
когда нуль может быть не нулём, но он всё равно остаётся оным
> Linux-сборке данная область заполняется шифрованными нулями - это КАК ??Ну вот так: шифруется куча нулей. На выходе разумеется мусор.
Подозреваю, что используя некоторые алгоритмы и зная как выглядит зашифрованная область нулей можно если не получить ключ шифрования, то явно снизить его криптостойкость...ОМГ, они добрались таки до СПО?
Зная, где нули были в контейнере, как генерировался вектор инициализации (и его значение) для кажого блока и что получилось после шифрования - можно получить по факту определённое число пар [открытый текст; шифротекст].
И, строго говоря, да - это может быть серьёзной проблемой.
This is хорошо!
Зачем оно нужно если есть LUKS?
потому что LUKS не работает на 95% операционных систем в мире
> потому что LUKS не работает на 95% операционных систем в миреНа этих "95%" шифрование и не требуется.
>> потому что LUKS не работает на 95% операционных систем в мире
> На этих "95%" шифрование и не требуется.правильнее так -- "На этих "95%" шифрование -- безсмысленно!" :-) ..так как троян встроен в саму операционную систему, и активируется уже после её загрузки не зависимо от наличия\отсутствия шифрования :-)
>потому что LUKS не работает на 95% операционных систем в миреВот только этого этим 95% и не хватало. Внагрузку к антивирусам/вирусам.
> потому что LUKS не работает на 95% операционных систем в миреНу если учесть что мутные проприетарные кишки систем их обладателей не смущают - тогда и шифрование им врядли погоду делает.
> потому что LUKS не работает на 95% операционных систем в миреНадо же, впервые вижу от виндостудента такое применительно к его собственному фетишу.
PS: дубль, первая версия куда-то делась ;-)
У LUKS есть заголовок, по которому определяется что это зашифрованный контейнер. TrueCrypt не создает такого заголовка.
- plain dm-crypt метаданные не хранит
- для LUKS+dm-crypt есть возможность хранить заголовки (метаданные) в отдельном файле или на отдельном устройстве
Верно. А с другой стороны, почему наличие заголовка для кого-то является проблемой? Зачм так нужна неотличимость контейнера от мусора?
Plausible deniability
Зачем?
> Зачем?затем, тора-гой, что есть страны, где ты по закону не имеешь права отказать Известным Органам в выдаче пароля к шифрованой информации. а вот сказать: «вы там чего, с крыш все попадали? нет никакого шифроконтейнера у меня и не было никогда» — вполне можно. дальше подумай сам.
только не надо песен про «терморектальный», это пограничный случай. бывают и другие случаи, когда показывать ничего не хочется, а паяльник совать не будут. брать на себя нарушение в виде отказа предоставить доступ — лишнее. а если нельзя доказать, что есть шифрованая информация, то и нарушения такого быть не может.
>> Зачем?
> затем, тора-гой,Чего?
> что есть страны, где ты по закону не имеешь права
> отказать Известным Органам в выдаче пароля к шифрованой информации.Видимо это не очень хорошие страны, не посещай их ни за что!
> а вот
> сказать: «вы там чего, с крыш все попадали? нет никакого шифроконтейнера
> у меня и не было никогда» — вполне можно.Строго говоря, наличие заголовка не доказывает наличие каких-либо полезных данных и знание владельцем ключа либо пароля. Дальше подумай сам.
> только не надо песен про «терморектальный»,
Вот и не надо, правильно.
> это пограничный случай. бывают и
> другие случаи, когда показывать ничего не хочется, а паяльник совать не
> будут. брать на себя нарушение в виде отказа предоставить доступ —
> лишнее. а если нельзя доказать, что есть шифрованая информация, то и
> нарушения такого быть не может.Да. Есть только заголовок, откуда он там, зачем и почему - ХЗ, может быть тысяча причин. А данных нет и не было, честное слово. Докажешь обратное? Только не надо песен про «терморектальный».
> Верно. А с другой стороны, почему наличие заголовка для кого-то является проблемой?
> Зачм так нужна неотличимость контейнера от мусора?"Чтоб доказать что есть зашифрованная инфа нужно расшифровать раздел"
и
"Чтоб доказать что есть зашифрованная инфа нужно посмотреть заголовок раздела"Разницу чувствуете?
>> Верно. А с другой стороны, почему наличие заголовка для кого-то является проблемой?
>> Зачм так нужна неотличимость контейнера от мусора?
> "Чтоб доказать что есть зашифрованная инфа нужно расшифровать раздел"
> и
> "Чтоб доказать что есть зашифрованная инфа нужно посмотреть заголовок раздела"
> Разницу чувствуете?Разумеется. Но я не вижу причин, почему второе - всегда плохо. Скорее это "никак".
Но, с другой стороны, как уже было сказано выше, dm-crypt и luks вполне позволяют хранить заголовок отдельно, а plain dm-crypt не требует заголовок вовсе. То есть "неразличимые контейнеры" - это явно не аргумент в пользу TrueCrypt и против dm-crypt.
А кто проверит достоверность проведенного аудита?
;)
Админы СОРМ-2
> Это по СОРМ-2 отмониторили?Мне кажется что ты сильно льстишь нашим гэбистам. Почему-то мне кажется что половина оборудования есть только на бумаге, а работает по принципу "в датацентр позвонил товарищ майор".
Поверьте, у товарища майора с СОРМ-ом все в порядке. Сам лично многажды СОРМ-ом сдавался и испытывался (когда РЭ получал).Так что железо это в полном обьеме есть, настроено и работает. Другое дело что в результат его работы смотреть без особых на то оснований - глаза портить.
Но бдят. Реально. У нас как-то из-за блэкаута поток до товарища майора лег, через который тот пультом был включен, так через 10 минут оттуда звонок ответственному лицу "че за херня с вашей стороны с линком и когда подымете ?"
да верим, верим, чо. полиция честная, бюджет не разворовывают, сорм работает.
провы за свой счет его ставят
> провы за свой счет его ставяти как это должно гарантировать работоспособность системы?
> у товарища майора с СОРМ-ом все в порядке. Сам лично многаждыСомнительный повод чтобы хвастать.
давно форкать пора, имхо. доверия к ним никакого.
У них лицензия для форка странная, она не одобрена OSI http://opensource.org/licenses/alphabetical
А кто проверит gcc, которым этот Truecrypt собирается? Почему в компиляторе не может быть закладок?..
Кто проверит что монитор на котором ты смотришь выводит правильный исходный текст? Почему в мониторе не может быть закладок?
На мониторе может быть _на_кладка.
Закладка тоже может быть. Слать скриншоты кровавой гЭбне :)
> На мониторе может быть _на_кладка.А у нас тут в кране _про_кладка. Это плохо?
> А у нас тут в кране _про_кладка. Это плохо?Подстилка хуже.
>Во-вторых, нет никаких гарантий, что бинарные сборки, которые составляют основную массу загрузок, не содержат закладок и собраны на основании публично доступного исходного кода без внесения скрытых изменений.Те кто использует сторонние бинарные сборки - СЗБ
Кроме пользователей верифицируемых сборок, как в Debian.
> Кроме пользователей верифицируемых сборок, как в Debian.Думаешь что-то умное сказал? SRPM с цифровой подписью еще в шапке и соответственно в ASP Linux были
Но ты тогда наверное еще в школу ходил
> Думаешь что-то умное сказал? SRPM с цифровой подписью еще в шапке и
> соответственно в ASP Linux былиОсталось только проверить что в недрах шапки код не подменили :)
>А кто проверит gcc, которым этот Truecrypt собирается? Почему в компиляторе не может быть закладок?GCC каждый день мурыжат LFSники
Нужен
есть ли системы без бэкдоров и закладок и мастер-ключей?
Ну,.. вы уж определитесь — РМС (и ФСФ) фанатики ищи нет.
Это у рипнутого (и тд) всегда "по ситуации". Холуи, что с них взять.
Очень годная и нужная вещь. Следим за развитием событий.
Согласен. Причем, дело не в truecrypt, а в преценденте и процедуре публичного аудита.
:-) да ладно вам.. Как будто непонятно, что раз дали всему этому всплыть, значит давно уже есть другие, более "крутые" инструменты
1. скажите им, что принцессы какают. а то без сноудена они не знают.
2. ну да, анонимность авторов — это так неудобно для АНБ! а ну, выйти из тени!
3. конечно, аудиторы никак с АНБ не связаны. чо, зуб дают!
>сформировать независимые эталонные сборки для Ubuntu, RHEL, CentOS, Debian и FedoraЧто как бы намекает о "значимости" всяких "опензюзе" и прочих "магей" :D
мне кажется проект слишком крупный, чтобы дизасемблировать и просмотреть.
полагаю, что всем известно, что в бинарнике может быть что угодно. вопрос в том, доверяешь ли ты источнику или нет.
если люди не доверяют - исходные коды открыты: могут сами собрать.
***
имхо бинарных сборок пруд пруди. каждую проверять - идти на поводу у паранойи.
We're hoping to convince one of the stronger companies to...Главное, чтобы имя компании заранее не выдали, а то АНБ к ним путь найдет и аудит будет уже не тот.
Создание иллюзий - любимое занятие кукловодов. Хочешь получить контроль без геморроя - создай нечто свое нужное и удобное, внедри в массы и подогревай интерес, а в случае опасности организуй разоблачительный процесс и опровергни опасения. А лучше создать несколько продуктов которые будут друг с другом конкурировать, но иметь один общий "колпак". Так и клетка ширше и хомяки спокойней.
инициатива возникла не на пустом месте, а потому что для виндовс и линукс - реализации имеют разный подход генерации ключей, помоему длинна разная
>имеют разный подход генерации ключей, помоему длинна разнаяЧетыре абзаца новости не осилил? Да, четыре абзаца -- длина.
А по-моему это потому, что это очень разные программные продукты. Мое впечатление - автор RealCrypt использовал только сорцы, работающие с заголовками дисков и шифрованием, все остальное свое, включая код записи этих самых заголовков.
Оно и неудивительно, когда открываешь код TrueCrypt - понимаешь, что из портабельного только вышесказанное, остальное сугубо Windows-специфик.
З.Ы. Почитайте код сами, кому не лень, там того кода очень даже немного, хотя бы можно убедиться в отсутствии явных бэкдоров. И пересборка бинарника для себя несложно вовсе.
> инициатива возникла не на пустом месте, а потому что для виндовс и
> линукс - реализации имеют разный подход генерации ключей, помоему длинна разнаяТогда тем более нужен аудит. Разный подход к генерации ключей приводит к разному уровню безопасности.
безобидность исходников ни о чем ни говорит
речь идет о бинарных сборках
на самом деле - позитивно.
помимо верификации и типизации бехэвиора бинарников - интересен был бы полность-комьюнити форк сабжа, весьма.
> на самом деле - позитивно.
> помимо верификации и типизации бехэвиора бинарников - интересен был бы полность-комьюнити
> форк сабжа, весьма.Зачем, если есть тот же dm-crypt?