Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Аудит VeraCrypt выявил 8 критических уязвимостей, opennews (?), 17-Окт-16, (0) [смотреть все] ГОСТ замахались расшифровывать в АНБ , Анонимус_б61 (?), 21:53 , 17-Окт-16, (1) –8 // Вроде как даже старый http 0x1 tv 201610018, Michael Shigorin (ok), 22:04 , 17-Окт-16, (2) –1 // 3DES тоже старый и хорошо изученный однако всё это помогло лишь незначительно со, Ivan_83 (ok), 02:40 , 18-Окт-16, (14) +3 // 3des так вроде и не сломал никто при нормальных размерах ключа, но он медленный , Аноним (-), 03:55 , 18-Окт-16, (18) +1 никаких претензий , просто оно с ними не работает, у нас блок равен размеру с, Аноним (-), 13:09 , 18-Окт-16, (38) +3 gt оверквотинг удален Про реализацию писал ГОСТ89 это обычный алгоритм в режи, Аноним (-), 09:55 , 21-Окт-16, (61) Я сделал загрузчик UEFI и реализацию ГОСТ89 Самый простой способ соответствоват, Аноним (-), 09:48 , 21-Окт-16, (60) –1 очередная шигоринская агитка, стандартного шигоринского уровня криптоанализа не, Аноним (-), 03:46 , 18-Окт-16, (17) –3 // Криптоанализ 28147 любой желающий может найти самостоятельно с помощью Гугола и , Аноним (-), 09:23 , 18-Окт-16, (28) +1 Миша,когда релиз Четвёртый год как нет , Прост (?), 08:03 , 18-Окт-16, (22) +1 Проблема в длине блока, XTS требует 128 бит Для того чтоб соответствовать, ГОСТ, Аноним (-), 22:30 , 18-Окт-16, (47) всегда знал что эта школоподелка в отличии от качественной cryptsetup luks -- , XXXasd (ok), 22:04 , 17-Окт-16, (3) +3 // Удивительно, но ни одного аудита не нашёл гуглил luks audit, dm-crypt audit, cr, arzeth (ok), 03:05 , 18-Окт-16, (15) +3 Хочется отметить два пункта 1 Дыры найдены именно в доделках поверх TrueCrypt 2, тоже Аноним (ok), 22:04 , 17-Окт-16, (4) +7 // стоит отметить что VeraCrypt это проект который закрывает ДЫРЫ в TrueCrypt напри, XXXasd (ok), 22:07 , 17-Окт-16, (5) –1 // Можешь лучше - напиши Крипто софта с двойным дном такого уровня больше нету, ни, Аноним (-), 22:33 , 17-Окт-16, (6) +2 Если бы вы почитали новость, то обнаружили бы упоминание о том, что большинство , Аноним (-), 23:14 , 17-Окт-16, (10) +7 О, сэнсэй, укажи нам неразумным путь истинный на шифрование праведное, безбагное, Анонимко (?), 08:17 , 18-Окт-16, (23) +2 2 Уязвимые алгоритмы шифрования и малое кол-во итераций pbkdf , Владимир Путин (?), 22:34 , 17-Окт-16, (7) +1 // Малое количество итераций критично только для коротких паролей , Ivan_83 (ok), 02:37 , 18-Окт-16, (13) Первый пункт не соответствует действительности, поскольку в TrueCrypt не было по, Аноним (-), 23:06 , 17-Окт-16, (8) Второй пункт тоже не соответствует действительности, поскольку TrueCrypt не може, Аноним (-), 23:10 , 17-Окт-16, (9) +1 // Вы первый пункт точно правильно прочитали Разжевываю имелось в виду, что ошибк, тоже Аноним (ok), 23:34 , 17-Окт-16, (11) // Почему в контейнере ТС, а не в home зашифрованной ОС или томе контейнере luks, Аноним (-), 01:03 , 18-Окт-16, (12) +1 Потому что всё это требует пердолинга Контейнер TC проще закинуть на флешку, в , Аноним (-), 03:18 , 18-Окт-16, (16) –1 Во-вторых, да Во-первых, мне совершенно нечего скрывать в home рабочего компьют, тоже Аноним (ok), 08:54 , 18-Окт-16, (24) Ну вообще есть много мест, где можно найти много чего интересного Например, сво, iPony (?), 07:30 , 18-Окт-16, (19) –1 Если он, например, есть Ну, и поиски интересного могут, внезапно, оказаться по, тоже Аноним (ok), 08:55 , 18-Окт-16, (25) Внезапно При криминалистической экспертизе анализ свопа файла подкачки - это , iPony (?), 07:01 , 19-Окт-16, (51) –2 К счастью, у меня нет ни свопа, ни желания нарушать законы , тоже Аноним (ok), 08:05 , 19-Окт-16, (53) –1 Вы не с колокольни рассуждаете, а из кроличьей норы Т к не знаете, что крипток, Меломан1 (?), 07:47 , 18-Окт-16, (20) Напомню, моя кроличья нора существует в реальности А ваш странный мир, где спецс, тоже Аноним (ok), 09:00 , 18-Окт-16, (27) +2 Про запас То, что кажется неинтересным и мелочью сейчас, потом часто оказываетс, Андрей (??), 09:42 , 18-Окт-16, (29) +1 а на деле - в том числе и в оставшемся от Но вы ж не учили английский в достато, Аноним (-), 13:22 , 18-Окт-16, (39) Знали бы вы, юноша, сколько вы о себе рассказываете своими предположениями - вря, тоже Аноним (ok), 15:24 , 18-Окт-16, (43) +1 ну то есть - либо подсовываем слегка модифицированный браузер, либо слегка некош, . (?), 11:35 , 19-Окт-16, (54) Господи Зачем такие сложности У меня в кабинете стеклянная дверь на балкон - д, тоже Аноним (ok), 12:26 , 19-Окт-16, (56) что сложного в задачке подсунуть троянца в незащищенную физически систему Что с, ну раздобыл ичо (?), 17:26 , 19-Окт-16, (57) –1 В данном конкретном случае главная сложность - в отсутствии такого школьника, ко, тоже Аноним (ok), 18:16 , 19-Окт-16, (58) –2 ну то есть тебе вообще никакая криптография ненужно , об этом, собственно, и ре, ну раздобыл ичо (?), 18:44 , 19-Окт-16, (59) А я не пользуюсь контейнерами Но ведь не пишу, что контейнеры не нужны Зато в, Аноним (-), 15:17 , 18-Окт-16, (42) Не очень понятно, что вам мешает держать весь этот материал в контейнере Мне е, тоже Аноним (ok), 15:30 , 18-Окт-16, (44) Windows оставляет в реестре массу следов о запускавшемся софте Профиль браузера, Anonplus (?), 16:44 , 27-Окт-16, (68) –1 Вендузятник должен страдать , Led (ok), 20:49 , 27-Окт-16, (69) imho, это как раз случай, когда криптоконтейнер лучше тотального шифрования - ег, Аноним (-), 11:40 , 19-Окт-16, (55) Вы правы, поэтому в планах обеспечить такой сценарий, при котором я не буду знат, Anonplus (?), 16:43 , 27-Окт-16, (67) –1 все недостатки исправит NadezhdaCrypt надеюсь , бедный буратино (ok), 07:49 , 18-Окт-16, (21) –1 // что это , Анонимус_б6_выпуск_3 (?), 08:58 , 18-Окт-16, (26) –1 // Это предшественник LoveCrypt, iCat (ok), 09:57 , 18-Окт-16, (30) +4 // И универсальную обертку подо все это дело - SexCrypt , Анонимко (?), 10:27 , 18-Окт-16, (34) –1 Это то, от чего форкнется LubovCrypt, Аноним (-), 10:03 , 18-Окт-16, (31) –1 Все уже исправили в FsbCrypt, Аноним (-), 10:08 , 18-Окт-16, (32) Ну а за NadezhdaCrypt - придёт и LubovCrypt, Аноним (-), 07:10 , 19-Окт-16, (52) Хорошо, что уязвимости нашли и исправили , АнОн (?), 10:14 , 18-Окт-16, (33) +1 // надеюсь не все, а то было бы печально и что они всё патчат да патчат , Анонимс (?), 22:48 , 18-Окт-16, (48) А это по их мнению не уязвимость https veracrypt codeplex com workitem 186 Л, Аноним (-), 10:43 , 18-Окт-16, (35) // это, очевидно, не уязвимость, а особенность работы По их мнению - имеющая отнош, . (?), 14:45 , 18-Окт-16, (40) –4 // Этот тикет создал я, а они даже не удосужились ответить На любой системе windows, Аноним (-), 13:07 , 21-Окт-16, (62)   // ну, отсутствие ответа closed,wontwix уже хорошо на любойсистемеwindows нет шар, . (?), 14:21 , 21-Окт-16, (63)   Честно говоря, не понимаю зачем все эти разглогольствования Есть факт - использ, Аноним (-), 14:45 , 22-Окт-16, (64)   Есть GnuPG Остальное от нечистого , Я в теме (?), 10:48 , 18-Окт-16, (36) +4 // есть только pgp версии 1-mit, остальное - подстава АНБ и ведет к проклятию души , . (?), 14:47 , 18-Окт-16, (41) // В курсе что такое pgp и gpg , Аноним (-), 17:03 , 18-Окт-16, (45) –1 // А вы в курсе , Samor (?), 04:50 , 28-Окт-16, (70) Ничего существенного там не было найдено Отказ от ГОСТ89 - это больше вопрос ве, Аноним (-), 11:33 , 18-Окт-16, (37) // тк во первых gost89 - deprecated и в VeraCrypt - кузнечика с стрибогом запиливаю, Аноним (-), 11:17 , 24-Окт-16, (65) –1 Про терморектальный криптоанализ в комментариях уже было , Аноним (-), 20:14 , 18-Окт-16, (46) // Нет, ты первый пострадавший Рассказывай, как оно правда ли что маководы лучше п, Led (ok), 23:59 , 18-Окт-16, (49) +2 - Чего-то подобного стоило ожидать Закрыли пару дыр, открыли десятки , Вареник (?), 00:30 , 19-Окт-16, (50) Я так понимаю, из выявленных уязвимостей не было таких, которые находились бы в , Alex (??), 18:54 , 24-Окт-16, (66) Парни кто шарит скиньте на почту подробную инструкцию по установке верактипт с д, Аноним (71), 09:08 , 30-Дек-16, (71) // Зачем Разбирайтесь сами, иначе оно Вам незачем и нет, это не издёвка А то бы, Michael Shigorin (ok), 11:43 , 30-Дек-16, (72) Ребята Шифрование ОООООчень ВАЖНО , Аноним (-), 10:30 , 02-Июн-17, (73) 1,3,4,21,33,35,36,37,46,50,66,71,73

Сообщения

[Сортировка по времени | RSS]

	62. "Аудит VeraCrypt выявил 8 критических уязвимостей"	+/–
	Сообщение от Аноним (-), 21-Окт-16, 13:07
	> По их мнению Этот тикет создал я, а они даже не удосужились ответить. > на "terminal server" На любой системе windows, TS лишь ярко выраженный случай. > Если ты раскладываешь папочку с бумажными документами "ОВ" на лавочке в метро - вероятно да, "любой пользователь" (заодно с камерами пристального наблюдения и много чем еще) может, внезапно, сделаться за твой счет носителем гостайны. >Ну так не работай с такими документами на "terminal server" и вообще там где ходят посторонние граждане (они еще просто тебе в экран смотреть могут). Или хотя бы салфеточкой их прикрывай (там и написано, как, правда, посокрушавшись, что для среднего  юзера это слишком сложная задача) >Я бы на компьютере где может быть какой-то еще пользователь кроме меня, не тратил время ни на какие криптоконтейнеры, штатного шифрования операционной системы вполне достаточно для того, с чем на такой системе вообще можно работать. Если ты пользователь компьютера в огранизации без единоличных админских прав, ты не защитишь информацию от админов. А вот от других пользователей защитить можно и нужно. Об этом тикет и есть - на windows при создании контейнера по честному нужно писать - "Вы можете безопасно создать контейнер, но не можете его безопасно использовать, другие пользователи будут иметь доступ к примонтированному контейнеру". > P.S. странно что оно открыто как windows-специфичное - очевидно что у других все почти так же (ну, кроме отсутствия "оптимизации" directory traversal, которое и в винде отключается - зато наличия бесконтрольного доступа рута при любой разумной настройке) Не соглашусь, поиметь данные пользователя будучи рутом и поиметь данные пользователя будучи другим пользователем - это координально разные вещи. В linux TC контейнеры монтируются с правами 0700, что и является камнем преткновения в тикете.
	Ответить | Правка | Наверх | Cообщить модератору

	63. "Аудит VeraCrypt выявил 8 критических уязвимостей"	+/–
	Сообщение от . (?), 21-Окт-16, 14:21
	> Этот тикет создал я, а они даже не удосужились ответить. ну, отсутствие ответа "closed,wontwix" уже хорошо. > На любой системе windows, TS лишь ярко выраженный случай. на любойсистемеwindows нет шаредюзеров, это надо специально стараться. > Если ты пользователь компьютера в огранизации без единоличных админских прав, ты не > защитишь информацию от админов. А вот от других пользователей защитить можно а от других - пусть админы защищают, ага. Им за это зарплату платят. А уж они как-нибудь сообразят заставить тебя поменять права на корень шифродиска, если оно им надо, или сами поменять, если это их диск. А если оно им не надо - см выше, не надо в таком месте работать с особо секретными вещами, это проходной двор. У меня вон какой-то троянец имени отдела безопасности непойми что в системе делает - и хорошо, если они хотя бы управлять им еще не разучились. > создании контейнера по честному нужно писать - "Вы можете безопасно создать > контейнер, но не можете его безопасно использовать, другие пользователи будут иметь > доступ к примонтированному контейнеру". честно говоря, я бы не стал заморачиваться никакими контейнерами ни на какой системе, где в принципе ходит кто-то кроме меня. Если он уже проломил защиту системы - просто сольешь ему еще и свой пароль от "контейнера". А если еще нет и не собирается, "просто на всякий случай" есть более простые решения. В той же винде - одной галочкой. И админозащищенно (ну, как - влезть может, но не может беспалевно, твой пароль придется либо спереть, либо сбросить) > Не соглашусь, поиметь данные пользователя будучи рутом и поиметь данные пользователя > будучи другим пользователем - это координально разные вещи. В linux TC контейнеры для пользователя - никакой разницы в итоге. Одна ложная надежда на безопасность. Причем в винде лечится одной галочкой, а в линуксе в общем и целом - никак (MAC/selinux возвести так чтоб ничего не сломалось - это уж точно не для среднего юзверя) > монтируются с правами 0700, что и является камнем преткновения в тикете. гугли что такое traversal bypass в винде - поймешь, почему там недостаточно этой защиты. Да, можно выключить, было, по крайней мере, но что при этом сломаешь - не угадать.
	Ответить | Правка | Наверх | Cообщить модератору

	64. "Аудит VeraCrypt выявил 8 критических уязвимостей"	+/–
	Сообщение от Аноним (-), 22-Окт-16, 14:45
	Честно говоря, не понимаю зачем все эти разглогольствования. Есть факт - использование контейнера с настройками по умолчанию в windows в общем случае ПОНИЖАЕТ защищенность информации (без контейнера есть FS ACL, с контейнером нет). Об этом тикет. Тикету год, ответа нет - разработчки молчат. А аудиторы заморачиваются с аудитом кода вместо того, чтобы для начала обратить внимание разработчиков на очевидный существенный недостаток в дизайне работы приложения. Кто будет заморачиватся со взломом шифра ГОСТ, если можно и так получить все данные при разлоченном контейнере. Сделайте вменяемые настройки по умолчанию, а уже потом ищите целочисленные переполнения и т.п.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема