Liczba postów: 8 515
Liczba wątków: 1 641
Dołączył: 10.06.2009
Reputacja:
785
Większości użytkowników nazwa TrueCrypt nie jest jakoś specjalnie obca, a dla tych którzy programu używali kojarzyła się ze stabilnością i poczuciem bezpieczeństwa, jakie ten program do szyfrowania zapewniał. Sam używałem przez lata tego programu, dlatego wiadomość która w ciągu ostatniej doby obiegła świat zmroziła mnie nieco...w efekcie postanowiłem zamieścić krótkie info.
Cytat pochodzi z Niebezpiecznika i dość dobrze oddaje zamęt wokół programu
Cytat:
Koniec TrueCrypta? Oficjalna strona ostrzega, że TrueCrypt nie jest bezpieczny i nakłania do migracji na inne rozwiązania
Zaskakująca wiadomość pojawiła się na stronie znanego i szanowanego projektu TrueCrypt, który umożliwiał szyfrowanie nie tylko wybranych plików czy partycji, ale również całych systemów operacyjnych (tzw. Full Disk Encryption). Projekt został przerwany …a jako powód podano koniec wsparcia Windowsa XP przez Microsoft. Brzmi jak żart?
“TrueCrypt nie jest bezpieczny!!!”
Jeśli w pierwszym odruchu pomyśleliście, że ktoś podmienił TrueCryptowi stronę internetową, to nie jesteście jedyni. Kuriozalny powód zamnknięcia, przekierowanie z oficjalnej domeny na sourceforge…
[Aby zobaczyć linki, zarejestruj się tutaj]
TrueCrypt zakończony?
Być może jednak nie jest to żart ani atak deface — a jeśli jednak deface, to całkiem nieźle przygotowany. Na stronach należących do TrueCrypta, oprócz ostrzeżenia, że TrueCrypt nie jest bezpieczny umieszczono bowiem dość precyzyjne instrukcje migracji danych z TrueCrypta do alternatywnych, wbudowanych w odpowiednie systemy operacyjne rozwiązań (tj. do BitLockera na Windows i dla Mac OS X wykorzystując Disk Utility i szyfrowany typ partycji) — co w sumie jest ciekawe, bo wiemy przecież, że NSA chciało namówić twórcę BitLockera do wstrzyknięcia backdoora.
TrueCrypt 7.2 – nie pobierać!
Na stronach TrueCrypta do ściągnięcia została udostępniona rzekomo nowa wersja 7.2 …i wielkie, czerwone ostrzeżenie, że program nie jest bezpieczny i powinien być użyty tylko na czas migracji. Niektórzy twierdzą, że binarka, przynajmniej ta na OS X jest podpisana poprawnym kluczem developerów (tym samym, którym podpisana była wersja 7.1). Ale to w zasadzie nic nie znaczy, bo i klucze mogły zostać wykradzione, o ile zakładamy, ze serwer developerów został przejęty.
Cytat: Na wszelki wypadek sugerujemy POWSTRZYMANIE SIĘ od ściągania TrueCrypta — brak na razie oficjalnych informacji, że treść strony TrueCrypt.org nie jest wynikiem ataku.
O czym nie wiemy?
Projekt TrueCrypt miał dość burzliwą historię w swoich początkach (oskarżenia o kardzież kodu, wybiegi ze zmianą licencji), ale przez ostatnie lata rozwijany był w dość spokojny i stabilny sposób. Niedawno powstał nawet projekt publicznego audytu kodu TrueCrypta — który we wstępnym raporcie potwierdził brak jakichkolwiek backdoorów. A to w świetle ostatnich doniesień na temat błędu w otwartoźródłowym projekcie OpenSSL, znanego jako HeartBleed koiło serce.
Przypomnijmy też, że do tej pory TrueCrypt miał opinię ”nie do złamania” — są udokumentowane przypadku, kiedy FBI (często pracujące jako podwykonawca NSA) nie było w stanie poradzić sobie z rozszyfrowaniem dysków zaszyfrowanych TrueCryptem.
Coś tu śmierdzi… Zmiany w kodzie źródłowym nowej wersji TrueCrypta pokazują, że podmieniono funkcję do zakładania nowych bezpiecznych kontenerów na taką, która jest zaślepką, wyświetlającą ostrzeżenie podobne do tego, które znajduje się na stronie TrueCrypta.
Reszta artykułu plus dyskusja
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Liczba postów: 474
Liczba wątków: 67
Dołączył: 28.09.2011
Reputacja:
10
Cóż... Sprawa śmierdzi... Strona wygląda conajmniej dziwnie biorąc pod uwagę jak wyglądała wcześniej.
Teraz: [Aby zobaczyć linki, zarejestruj się tutaj]
Kiedyś (screen wykonany z jednego z filmów z YT): [Aby zobaczyć linki, zarejestruj się tutaj]
Screen z [Aby zobaczyć linki, zarejestruj się tutaj] : [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 474
Liczba wątków: 67
Dołączył: 28.09.2011
Reputacja:
10
Ciekawy punkt widzenia przedstawił jeden z użytkowników Reddit:
Cytat:Would be almost too obvious, right?
Here''s a fun scenario:
Audit shows there are no vulnerabilities
NSA pressures the developers into halting the project and putting up a website with detailed instructions on how to switch to software with approved backdoors
Developers follow the instructions as closely as possible but make absolutely no effort to make it seem believable, knowing that everyone with so much as a passing interest in cryptography isn''t going to buy it
Edit: I''m torn between that and a hack. Many people would need to be silenced in order to make this crap believable at all.
Zródło: [Aby zobaczyć linki, zarejestruj się tutaj]
Moje tłumaczenie:
Cytat:Byłoby to zbyt oczywiste, prawda?
Oto scenariusz zabawy:
Audyt stwierdza, że nie ma żadnych luk w zabezpieczeniach
NSA naciska na programistów, aby Ci zakończyli projekt i umieścili stronę internetową ze szczegółowymi instrukcjami dotyczącymi tego w jaki sposób zastąpić TrueCrypt oprogramowaniem z zatwierdzonymi "furtkami" w zabezpieczeniach
Programiści postępują w sposób móżliwie najbardziej bliski ideałowi wyznaczonemu przez instrukcje, które otrzymali, ale nie wkładają absolutnie żadnego wysiłku, aby uczynić ich działania wiarygodnymi, wiedząc, że każdy kto choć przemijająco* interesuje się krytpografią nie weźmie tego na poważnie
Edycja: Waham się pomiędzy tym, a włamaniem. Wielu ludzi musiałoby zostać uciszonych, aby w ogóle uczynić te głupoty wiarygodnymi.
* - przemijająco oddaje chyba najlepiej charakter wypowiedzi, aczkolwiek jest to przysłówek chyba rzadko występujący w zestawieniu z zainteresowaniami; chwilowo.
Liczba postów: 248
Liczba wątków: 4
Dołączył: 22.07.2010
Reputacja:
9
"...każdy kto choć trochę ..." brzmiało by chyba bardziej po polskiemu 
w10 - OSArmor + Simplewall
Liczba postów: 474
Liczba wątków: 67
Dołączył: 28.09.2011
Reputacja:
10
Przeczytałem to jeszcze raz i zdecydowałem się poprawić ostatnie zdanie.
Cytat: Edit: I''m torn between that and a hack. Many people would need to be silencedin order to make this crap believable at all.
Było:
Cytat: Edycja: Waham się pomiędzy tym, a włamaniem. Wielu ludzi musiałoby siedzieć cicho , aby w ogóle uczynić te głupoty wiarygodnymi.
Jest:
Cytat: Edycja: Waham się pomiędzy tym, a włamaniem. Wielu ludzi musiałoby zostać uciszonych , aby w ogóle uczynić te głupoty wiarygodnymi.
Tłumaczenie ma charakter amatorski, nie jestem filologiem.
Koniec moich wypocin, które nie są związane z tematem.
Liczba postów: 956
Liczba wątków: 57
Dołączył: 25.02.2014
Reputacja:
97
W cytacie ichito pisze, że nie udało się namówić twórcy bitlockera na wstrzyknięcie backdora,a z drugiej strony:
Cytat: NSA naciska na programistów, aby Ci zakończyli projekt i umieścili stronę internetową ze szczegółowymi instrukcjami dotyczącymi tego w jaki sposób zastąpić TrueCrypt oprogramowaniem z zatwierdzonymi "furtkami" w zabezpieczeniac
Nie wiem, która informacja jest prawdziwa, aczkolwiek sądzę, że prawdą jest tekst który przed chwilą cytowałem..
[Aby zobaczyć linki, zarejestruj się tutaj]
Nie wiadomo, czy BitLocker faktycznie ma jakieś furtki. To oprogramowanie zamknięte, wiec jest to możliwe, ale wcale nie pewne, nikt tego nie wykazał. Ja bym bardziej o to podejrzewał poprzednią wersję tej technologii, która oprócz AES używała dodatkowo dyfuzora, rozwiązania Microsoftu. W windows 8 mamy juz rzekomo czysty AES 128 lub 256 jeżeli go wymusimy.
Wysłane z telefonu
Liczba postów: 956
Liczba wątków: 57
Dołączył: 25.02.2014
Reputacja:
97
Dobre wiadomości dla użytkowników TrueCrypta.
Thomas Bruderer i Joseph Doekbrijder, szwajcarscy programiści, postanowili kontynuować prace nad TrueCryptem, który został porzucony przez jego pierwotnych anonimowych twórców.
Nowa witryna TrueCrypta: [Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
|
