Опубликованы (https://madiba.encs.concordia.ca/~x_decarn/truecrypt-binarie.../) результаты результаты сравнения официальной бинарной сборки TrueCrypt 7.1a для Windows и сборки, сформированной собственными силами из исходных текстов. Анализ различий показал, что в официальная бинарная сборка не содержит скрытых функций и тождественна поставляемым исходным текстам. Разница наблюдается только в элементах, связанных со сборочным окружением и используемыми на этапе компиляции опциями.Исследование показало, что правильный подбор используемых при сборке инструментов, воссоздающий оригинальные условия сборки, позволяет сформировать тождественный исполняемый файл и подтвердить, что в распространяемые производителем бинарные сборки не были внесены скрытые изменения. Таким образом удалось подтвердить отсутствие скрытых модификаций без необходимости выполнения трудоёмких операций по обратному инжиниренгу исполняемых файлов. В настоящее время, усилия по аудиту проекта TrueCrypt могут сосредоточится на изучении исходных текстов и методов шифрования, .
Кроме того, представителям проекта IsTrueCryptAuditedYet (http://istruecryptauditedyet.com/) удалось связаться с авторами TrueCrypt которые приветствовали идею проведения независимого аудита безопасности их продукта. Напомним, что в рамках проекта IsTrueCryptAuditedYet создана инициатива (http://www.opennet.me/opennews/art.shtml?num=38202) для подтверждения отсутствия в TrueCrypt проблем безопасности и скрытых бэкдоров. Одним из подозрений было отсутствие гарантии, что бинарные сборки, которые составляют основную массу загрузок, не содержат закладок и собраны на основании публично доступного исходного кода без внесения скрытых изменений.URL: https://madiba.encs.concordia.ca/~x_decarn/truecrypt-binarie.../
Новость: http://www.opennet.me/opennews/art.shtml?num=38259
Новость радует. Авторы используют свою анонимность во благо. Ждём полного аудита.
>Ждём полного аудитаОчень ждём. А вот после него внедряем зонды
Мы следим за вами, ничтожества!
> Очень ждём. А вот после него внедряем зондыХороший способ добиться того чтобы сорцы читало в 5 раз больше народа в поисках бэкдора, спасибо :).
Меня радует, что авторы проекта, ловко манипулируя паранойей отдельной группы людей, заработали больше 100 тыс.$ за банальную перекомпиляцию исходника и зарабатают ещё 400 тыс.$ за "сверку". Сдаётся мне, что разработчикам TrueCrypt надоело просить донат и они решились на решительные действия по отжиманию бабла из лохов.
Напоминает анекдот-иль-быль про изобретения ручки, которая пишет в космосе и карандаш.А ЧЕГО БЫ ИМ ТОГДА, СОБСТВЕНННО, ИЗ СЫРЦОВ И НЕ СОБИРАТЬ?
> Напоминает анекдот-иль-быль про изобретения ручки, которая пишет в космосе и карандаш.Вот только не каждый рассказчик этого анекдота осознает роль графитовой пыли, создаваемой карандашом.
>> Напоминает анекдот-иль-быль про изобретения ручки, которая пишет в космосе и карандаш.
> Вот только не каждый рассказчик этого анекдота осознает роль графитовой пыли, создаваемой
> карандашом.То-то я смотрю, что космонавты после приземления на шахтёров похожи бывают.
> То-то я смотрю, что космoнавты после приземления на шахтёров похожи бывают.Да пофиг на космoнавтов, перебьются. А вот что проводящая пыль в приборы попадает - это неприятно.
насмерть перебьются?
> насмерть перебьются?Да вон спутники глонасс (очередные) уже перебились, потому что датчик загнали прецизионным инструментом "кувалдометр" не той стороной.
Такому прибору на пыль пофиг - от нее он уже хуже работать не станет.
> Вот только не каждый рассказчик этого анекдота осознает роль графитовой пыли, создаваемой карандашом.Равно и как чернильного аэрозоля создаваемого ручкой :)
> Равно и как чернильного аэрозоля создаваемого ручкой :)Ручка не создает чернильного аэрозоля. У нее нет распыляющих элементов. И крошащихся тоже.
>> Равно и как чернильного аэрозоля создаваемого ручкой :)
> Ручка не создает чернильного аэрозоля. У нее нет распыляющих элементов. И крошащихся
> тоже.интересно, а как тогда сохнут чернила )))
Влага испаряется, т.к делают их на водной основе, ваш КО.
> Влага испаряется, т.к делают их на водной основе, ваш КО.Тут наш КО сел ж^опой в лужу и намочил штаны.
Видимо он не знает, что невозможно сделать так чтобы при этом испарялась химически чистая вода.
> химически чистая вода.Во первых, испаряется не вода, а растворитель. И он не на водной основе в "обычных" шариковых ручках с густыми чернилами. В чем можно убедиться по запаху испаряющихся чернил, особенно если стержень раздраконить и размазать чернила. Это какой-то органический растворитель. Хотя в "гелевых" ручках может и нечто на водной основе, т.к. запахом не обладает.
Во вторых, про невозможность получить чистую воду путем испарения надо срочно рассказать тем кто получает химически чистую воду путем дистилляции. А то они не в курсе такой фигни.
> Во вторых, про невозможность получить чистую воду путем испарения надо срочно рассказать
> тем кто получает химически чистую воду путем дистилляции. А то они
> не в курсе такой фигни.конечно! срочно бегите и рассказывайте о десциляции воды в условиях комнатной температуры!
или пишите дисертацию о написании чернилами при температуре окружающей среды выше температуры парообразования растворителя )))
а лучше таки хотябы бегло ознакомится с процессом дестиляции - и узнать что все очень сильно зависит от веществ, температур и прочего, прочего, прочего ... и один хер идеального разделения не будет никогда ))
>> Во вторых, про невозможность получить чистую воду путем испарения надо срочно рассказать
>> тем кто получает химически чистую воду путем дистилляции. А то они
>> не в курсе такой фигни.
> конечно! срочно бегите и рассказывайте о десциляции воды в условиях комнатной температуры!
> или пишите дисертацию о написании чернилами при температуре окружающей среды выше температуры
> парообразования растворителя )))
> а лучше таки хотябы бегло ознакомится с процессом дестиляции - и узнать
> что все очень сильно зависит от веществ, температур и прочего, прочего,
> прочего ... и один хер идеального разделения не будет никогда ))это в школьной программе разделение воды дистиляцией химически чистое
Обычные ручки там не пишут из-за невесомости. Для космоса изобрели специальные ручки. Главная особенность их в том что в них чернила под давлением. Их, кстати, можно приобрести, разработчик ими торгует и для простых смертных.
«Ручки для космоса» — это такая торговая марка, чтобы их покупали всякие олухи. Такая же штука, как и «подсолнечное масло с витамином Е» (ибо без этого витамина не бывает), однако народ ведётся.
Вообще-то эта ручка пишет прямо в стакане пива и под любым углом.Будут ещё всякие олухи спорить о вкусе устриц.
> Вообще-то эта ручка пишет прямо в стакане пива и под любым углом.немедленно бегу покупать! а то давеча понадобилось в стакане пива… а нечем!
ничего страшного, что сами космонафты тоже обсыпаются?на станции специально для этого есть очистители воздуха.
Они химическим карандашом пользовались, а не графитовым.
вообще-то "простой карандаш" там тоже не простой.
Из сырцов любой дурак соберёт. А вот Независимый Аудит Безопасности - это ого-го. Сразу видно люди делом занимаются ;)
> Из сырцов любой дурак соберёт.Любые дураки тут и собирают. И гнут пальцы перед проприерасами так, будто читают каждую строчку перед сборкой. А на деле-то.....
АНБ - Аудит Незавимый Безопасности
аплодисменты
Ну так смотря чью национальность делают безопасной. Вполне возможно что эта шутка — чистая правда.
>Напоминает анекдот-иль-быль про изобретения ручки, которая пишет в космосе и карандаш.Знаешь, бедный буратино. Есть люди которые умеют рассказывать анекдоты, а некоторым ну не дано.
> Знаешь, бедный буратино. Есть люди которые умеют рассказывать анекдоты, а некоторым ну не дано.Да ладно. Про питон неплохо рассказывает.
Например, как у него джанга летала на 64 Кб (которых таки хватило всем).
> А ЧЕГО БЫ ИМ ТОГДА, СОБСТВЕНННО, ИЗ СЫРЦОВ И НЕ СОБИРАТЬ?Что-то не совсем понятен Ваш вопрос. Возникли всякие нехорошие подозрения насчет "бэкдорности" программы. Какие гарантии что в сырцах ( Вы предлагаете их сразу собирать и использовать), которые лежат в свободном доступе, нет хитрого бэкдора? Помните ведь хитрый кусок кода в ядре линуха, когда в хитром условии вместо "==" написали "=" и получали рута при дергании сискола с хитрой комбинацией флагов? Вроде всем очевидно, что анализировать исходный код очень трудоемко и долго. Наверное, сначала решили проверить самые простые и быстрые варианты вшивости, потому что если бы они всплыли (т.е. если бы оказалось, что бинарник собирался по другим исходным кодам), то это сразу бы позволило сэкономить кучу времени (типа, в датском королевстве все совсем протухло). А теперь они (или кто-то еще) приступят к кропотливой проверке самого исходного кода. Из которого Вы предлагаете сразу собирать, не качая готовые бинарники.
>> А ЧЕГО БЫ ИМ ТОГДА, СОБСТВЕНННО, ИЗ СЫРЦОВ И НЕ СОБИРАТЬ?
> Что-то не совсем понятен Ваш вопрос. Возникли всякие нехорошие подозрения насчет "бэкдорности"
> программы. Какие гарантии что в сырцах ( Вы предлагаете их сразу
> собирать и использовать), которые лежат в свободном доступе, нет хитрого бэкдора?Никаких. Но этот аудит именно что сравнивал исходники сами с собою. Как и было предсказано: "они измеряют себя самими собою и сравнивают себя с собою неразумно."
> проверке самого исходного кода. Из которого Вы предлагаете сразу собирать, не
> качая готовые бинарники.Я предлагаю культуру, которая подразумевает, что когда не нравится бинарник, собирают из исходников. А исходники проверяют всем миром. Раньше это прекрасно жило без кикстартеров и прочих запчастей. А новая культура, которая замещает эту старую, которую я и другие динозавры всё ещё держим, пытается заменить это чем-то странным.
Впрочем, в новой культуре очень мало места добропорядочному использованию, добрососедскому сожитию и общественным интересам. На мой взгляд, она просто будет нежизнеспособна, и opensource/freesofware из фундамента превратится в третьестепенный инструмент.
>>> А ЧЕГО БЫ ИМ ТОГДА, СОБСТВЕНННО, ИЗ СЫРЦОВ И НЕ СОБИРАТЬ?
>> Что-то не совсем понятен Ваш вопрос. Возникли всякие нехорошие подозрения насчет "бэкдорности"
>> программы. Какие гарантии что в сырцах ( Вы предлагаете их сразу
>> собирать и использовать), которые лежат в свободном доступе, нет хитрого бэкдора?
> Никаких. Но этот аудит именно что сравнивал исходники сами с собою. Как
> и было предсказано: "они измеряют себя самими собою и сравнивают себя
> с собою неразумно."А с чем должен был? С швейцарским сыром?
>> проверке самого исходного кода. Из которого Вы предлагаете сразу собирать, не
>> качая готовые бинарники.
> Я предлагаю культуру, которая подразумевает, что когда не нравится бинарник, собирают из
> исходников. А исходники проверяют всем миром.Угу. Обычно в такой конфигурации один паровоз и целая уймища пассажиров.
> Впрочем, в новой культуре очень мало места добропорядочному использованию, добрососедскому
> сожитию и общественным интересам. На мой взгляд, она просто будет нежизнеспособна,
> и opensource/freesofware из фундамента превратится в третьестепенный инструмент.Она не более жизнеспособна, знаешь ли, чем существующая. Все дело в волшебных пузырь^W в том, что, как в том анекдоте (кои ты не умеешь рассказывать) - ".... а люди все те же!"
>> Никаких. Но этот аудит именно что сравнивал исходники сами с собою. Как
>> и было предсказано: "они измеряют себя самими собою и сравнивают себя
>> с собою неразумно."
> А с чем должен был? С швейцарским сыром?С возможностями утечек данных куда попало. С возможностями более лёгкой расшифровки, чем это заявленно. Короче говоря, с тем, как программа выполняет заявленные функции.
>> Я предлагаю культуру, которая подразумевает, что когда не нравится бинарник, собирают из
>> исходников. А исходники проверяют всем миром.
> Угу. Обычно в такой конфигурации один паровоз и целая уймища пассажиров.Когда в такой конфигурации нет людей, подобных вам - всё нормально. А когда все мнят себя самыми умными, тогда начинаются проблемы коммуникации. Собственно, один опеннет - это одна большая проблема коммуникации. Это всё объясняет. Коммунизм - не для вас.
>> Впрочем, в новой культуре очень мало места добропорядочному использованию, добрососедскому
>> сожитию и общественным интересам. На мой взгляд, она просто будет нежизнеспособна,
>> и opensource/freesofware из фундамента превратится в третьестепенный инструмент.
> Она не более жизнеспособна, знаешь ли, чем существующая. Все дело в волшебных
> пузырь^W в том, что, как в том анекдоте (кои ты не
> умеешь рассказывать) - ".... а люди все те же!"С кем поведёшься, от того и наберёшься. Если ваша система расчитана на то, что все вокруг тупые уроды, то все вокруг и будут тупыми уродами. На заре opensource было совсем иначе. Да чего далеко ходить - ещё не так давно, в xUSSR, активно жило фидо, где люди были те же, а остальное было совсем иначе. Потому что в обществе люди себя ведут именно так, как там заведено. Заведено то, что opennet - это сборище недоумков, так оно и будет, и все мы тут давно потихоньку онедоумились, даже те, кто не хотел. А что делать, на безрыбье и раком станешь.
Умею я рассказывать анекдоты, умею, успокойся. Особенно к месту. Даже опеннет был неоднократным свидетелем. Но если кому-то хочется внедрить в массы другой стереотип - пусть. Мне всё равно.
особенно на винде, это во всяких линуксах в которых постоянно надо что то компилять сборочное окружение ставится одной командой (как и все остальное). А нормальные люди заняты исключительно нормальными делами и им не до компиляций. По этому чтоб собрать truecrypt придется пол дня убить чтоб все поставить и не факт что что-то получится.
На стареньком целерончике?
так если у них всё недоброкачественное, какой смысл им придираться к truecrypt?какая радость: болея спидом, раком и ещё россыпью болезней, умиляться тому, что температура спала.
> так если у них всё недоброкачественное, какой смысл им придираться к truecrypt?
> какая радость: болея спидом, раком и ещё россыпью болезней, умиляться тому, что
> температура спала.Желаю тебе, болея раком, заценить такую милую прелесть, как _всего лишь_ снижение температуры.
> А нормальные людитак и пишите - бизнесмены среднего и малого пошиба, ишь за всех расписываться - так любой оправдает свою точку зрения именем всех "нормальных дюдей"
Почему именно TrueCrypt? Любая программа, которую не собираешь собственными руками, может быть потенциально опасной.
> Почему именно TrueCrypt? Любая программа, которую не собираешь собственными руками, может
> быть потенциально опасной.Потому что она Ъ-crypt
>> Почему именно TrueCrypt? Любая программа, которую не собираешь собственными руками, может
>> быть потенциально опасной.
> Потому что она Ъ-cryptcrypt: склеп
не чокаясь...
Только не любая программа *защищает* данные пользователя от несанкционированного доступа.
Вообще-то есть много программ, которые защищают данные пользователя, но из всех почему-то проверяют именно ТруКрипт. Остальные (в том числе проприетарные) что, сомнения не вызывают?
Мы срочно ждём ваш отчёт о том, как вы собрали пропиетарь "из сырцов в аналогичном окружении и получили равнозначные ебилды"
Вас беспокоит проприетарь? Вы хотите поговорить об этом?
> Вас беспокоит проприетарь? Вы хотите поговорить об этом?Вообще-то, тут практически весь форум посвящен разговорам на эти темы.
Ну да, благодаря проприетари фритардам есть о чём поговорить ;)
>Остальные (в том числе проприетарные) что, сомнения не вызывают?truecrypt популярный очень.
Проприетарные не вызывают сомнения только у тех кто не знает про существование СПО. У тех кто знает, наоборот...
> проверяют именно ТруКрипт.Потому что могут!
> Остальные (в том числе проприетарные) что, сомнения не вызывают?Предложи методу как проверить блоб.
> Вообще-то есть много программ, которые защищают данные пользователя, но из всех почему-то
> проверяют именно ТруКрипт. Остальные (в том числе проприетарные) что, сомнения не
> вызывают?А эти на лапу забыли дать =)
> Только не любая программа *защищает* данные пользователя от несанкционированного доступа.Любая программа, работающая с административными привилегиями, может получить доступ к защищенным данным пользователя (в тот момент, когда он с ними работает).
Да даже те что собираешь своими руками, могут быть опасны. Часто ты перед сборкой вдумчиво куришь сырцы?
Любая программа код которой сам не проанилизировал потенциально опасна-)))
> Любая программа код которой сам не проанилизировал потенциально опасна-)))И даже если проанализировал (если ты, конечно, не Брюс наш Шнайер собственной персоной)! Эт к тому, что анализ анализу рознь.
Потому что нашлись люди, которые были в этом заинтересованы. Настолько, что даже деньги дали через Кикстартер.
ОК, пришлось сходить по ссылке. Короче, они не просто чего-то там аудируют, а создают независимый репозиторий на уровне системы контроля версий со всей историей - исходников и бинарников. А заодно проверяют лицензию на вшив^W^W^ соответствие СПО. Теперь мотивы более-менее ясны.
> Почему именно TrueCrypt? Любая программа, которую не собираешь собственными руками, может
> быть потенциально опасной.Внезапно - программа, которую ты собираешь собственными ручками, тоже может содержать неизвестные тебе неприятные сюрпризы. Выше уже написал про "==" и "=" в ядре линукса, что позволяло получить рута. Или ты перед каждой ручной сборкой каждой опенсорсной программы пару лет исследуешь каждую строчку ее исходного кода?
> Почему именно TrueCrypt? Любая программа, которую не собираешь собственными руками, может
> быть потенциально опасной.И которую собираешь - тоже. Исходная посылка неверна.
Правильно так: Любая программа, сорцы которой лично ты не аудируешь перед сборкой - опасна.
Кстати, как оно по сравнению с FreeOTFE, кто-нибудь пробовал?
>Разница наблюдается только ... используемыми на этапе компиляции опциями.типа таких: -llibnsa ?
-lnsaВ Юниксе первое 'lib' опускается. Ваш К.О.
Да уж и правда, больно с трудом верится, что если уж "нужные" люди ставили палки в колеса для усиления криптографических свойств траффика в интернете,то чему уже верить здесь... да хоть 3 раза проверяйте.... а иначе как же эти самые спец службы будут уверенны, что на "зашифрованном" диске подозреваемого находятся улики, для которых он должен "добровольно" выдать uncrypt-password...... хехТак что моя полностью согласна с официальным представителем Анонимной Национальной Безопасности. =)
Все гораздо проще. Не надо городить секретные алгоритмы и внедрять зонды.
Если человек не хочет говорить пароль - его можно посадить просто за то, что он не сказал пароль.
> Все гораздо проще. Не надо городить секретные алгоритмы и внедрять зонды.
> Если человек не хочет говорить пароль - его можно посадить просто за
> то, что он не сказал пароль.И даже больше. Никого не интересует пароль - интересует сама информация и если "спросить" как следует, то и пароль введешь сам (его даже подглядывать незачем), а алгоритм-то и ключи так и останутся unbreakable.
Ан нет,дорогой,не соглашусь. Прежде чем кого-то возьмут за жабры и начнут прессовать, ОНИ должны быть уверенны, что ОНО там есть, потому как рыба всякая попадается: может и фрик с порнушкой, а может и какой-нибудь высокопоставленный чиновник или человек, приближенный к "царским" органам ;) Что в последнем скомпрометирует те самые органы, типа АНБ, что естественно не подходит по логике, потому что чревато будет им, если там окажется совсем иное: постыдное для него и никчемное для следствия.
А если учесть, что и профи в этом деле - два "старых пердуна"( один, кажется, точно уже на пенсии), то как бы и разговор сводится к минимуму - скомпрометировать одного из них под свои нужды.
Так что "алгоритм-то и ключи так и останутся unbreakable" считаю хорошим анекдотом, не более.
что и требовалось доказать - (подозрительные)отличия в поведении разных платформ, бинарников - вызваны различиями систем сборки и для разбора до их причин - надо дальше аудитить уже их а не сам труЪкрипт.
что маловероятно, сколько гос-органов по обе стороны окияна вложилив засирание тулчейна своими поделиями.
быстро же. хотя результат был известен заранее...
http://www.opennet.me/openforum/vsluhforumID3/92242.html#103
http://grugq.tumblr.com/post/60464139008/alternative-truecry...
>http://grugq.tumblr.com/post/60464139008/alternative-truecry...In the process of developing his reimplementation, he discovered some inconsistencies between the TrueCrypt documentation and the actual container format.
В процессе разработки своей реализации он обнаружил некоторое несоответствие между документацией TrueCrypt и текущим форматом контейнера..
Продолжаем забрасывать огород камнями
> http://grugq.tumblr.com/post/60464139008/alternative-truecry...FAT32 там для того, чтобы Hidden Volumes создавать. Почему именно FAT32 -- курите документацию. Афтар ниасилил её, видать.
Лично у меня под FreeBSD TrueCrypt даёт на выбор либо FAT32, либо UFS. ЧЯДНТ?-)
Qt 5.1 еще не готов для TrueCrypt ?
Интересно каким образом, даже при условии одинаковых флагов компиляции на разных компьютерах невозможно получить полностью одинаковые бинари.
Разные версии того, чем собирается, например. Кроме того, там в программу пихалась ее же подпись закрытым ключом разработчика вроде как. Которую, разумеется, больше никто воспроизвести не может.
Ну надо же. Сам "разработчик" пригрозил ответным паяльно-ректальным аудитом в случае отрицательного результата? ;)
АНБ тонко намекнула аудиторам что лучше написать в отчёте, все хомячки обрадовались :D