Bezpečnostní audit TrueCryptu

Lze věřit TrueCryptu, open-source nástroji pro šifrování dat? Byl někdy proveden jeho bezpečnostní audit? Webová stránka Is TrueCrypt Audited Yet? tvrdí, že ne. Její tvůrci, Kenn White a Matthew Green, spustili dvě kampaně, první na Fundfill a druhou na Indiegogo, jejíž cílem je získat peníze na opravdový bezpečnostní audit TrueCryptu. [Ars Technica, Slashdot]

Komentáře

pokud ja vim, tak Klima nekde psal, ze si osobne prosel kod truecryptu, nenasel tam nic spatnyho, takze on osobne tomu veri...

17.10.2013 09:32 wlofy | blog: wlofy
Rozbalit Rozbalit vše Re: Bezpečnostní audit TrueCryptu

Pokud vim tak to neprohlizel podrobne, zajimal ho pouze koncept.

17.10.2013 10:08 tc
Rozbalit Rozbalit vše Re: Bezpečnostní audit TrueCryptu

a hlavne by tomu nikdo ve svete neveril, kdyz oba dva autori truecryptu jsou taky cesi (viz vlastnici znamky zapsane v cesku a stejni ridi i tc nadaci v usa, pres kterou jsou sponzorske dary)

Ak neverite zdrojakom TrueCrypt-u, tak mozete vyskusat "clean room" BSD implementaciu: https://github.com/bwalex/tc-play

17.10.2013 12:39 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Bezpečnostní audit TrueCryptu

Když nevěřím zdrojákům TrueCryptu, co mě má přesvědčit, abych věřil zdrojákům v BSD?

Quando omni flunkus moritati

17.10.2013 13:02 finn | skóre: 43 | blog: finnlandia | 49° 44´/13° 22´
Rozbalit Rozbalit vše Re: Bezpečnostní audit TrueCryptu

Zdrojáky jsou výrazně jednodušší a pro samotné šifrování/hashování se používají rutiny linuxového jádra, příp. openssl. Moje tvrzení samozřejmě není důkaz nějaké důvěryhodnosti.

Užívej dne – možná je tvůj poslední.

17.10.2013 20:25 X
Rozbalit Rozbalit vše Re: Bezpečnostní audit TrueCryptu

Takže to, na čem to vše stojí je pak nějaká funkce někde kdesi..

17.10.2013 23:23 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: Bezpečnostní audit TrueCryptu

Ta nějaká funce kdesi v jádře/openssl/gnutls/nss je podstatně líp prověřená oproti ekvivaletnímu kusu kódu v projektu, který používá jen pár paranoiků, co se nejsou ochotní vzdát widlí.

oVirt | SPICE

truecrypt není open-source: https://fedoraproject.org/wiki/Forbidden_items?rd=ForbiddenItems#TrueCrypt

17.10.2013 16:45 Ladislav Hagara | skóre: 105 | blog: Ride the Raven
Rozbalit Rozbalit vše Re: Bezpečnostní audit TrueCryptu

Jedním z cílů projektu je také prozkoumání licence. Dle některých právníků je nejnovější licence (verze 3.0) TrueCryptu v pořádku.

A k čemu je audit zdrojáků, když jejich kompilace do použitelného programu je nad míru obtížná a nedokumentovaná?

Jak jsem onehdy kdesi vyčetl...

19.10.2013 01:06 Matlák
Rozbalit Rozbalit vše Re: Bezpečnostní audit TrueCryptu

Kompilovat starší verze TrueCrypt není žádná věda. Upravoval jsem si jaderný modul verze 4.3 tak, aby fungoval s novějšími jádry, a no problem. Novější verze jsou jednak pomalejší (tuším, že využívají FUSE či podobný hnus) a navíc jsou závislé na nějakém obskurním frameworku (snad wxWidgets?) s omezenou kompatibilitou mezi verzemi. To už musí být větší fuška zkompilit..