25.10 // Аудит сборки TrueCrypt 7.1a не выявил расхождения с исходными текстами
Опубликованы результаты результаты сравнения официальной бинарной сборки TrueCrypt 7.1a для Windows и сборки, сформированной собственными силами из исходных текстов. Анализ различий показал, что в официальная бинарная сборка не содержит скрытых функций и тождественна поставляемым исходным текстам. Разница наблюдается только в элементах, связанных со сборочным окружением и используемыми на этапе компиляции опциями.
Исследование показало, что правильный подбор используемых при сборке инструментов, воссоздающий оригинальные условия сборки, позволяет сформировать тождественный исполняемый файл и подтвердить, что в распространяемые производителем бинарные сборки не были внесены скрытые изменения. Таким образом удалось подтвердить отсутствие скрытых модификаций без необходимости выполнения трудоёмких операций по обратному инженерингу исполняемых файлов. В настоящее время, усилия по аудиту проекта TrueCrypt могут сосредоточится на изучении исходных текстов и методов шифрования, .
Кроме того, представителям проекта IsTrueCryptAuditedYet удалось связаться с авторами TrueCrypt, которые приветствовали идею проведения независимого аудита безопасности их продукта. Напомним, что в рамках проекта IsTrueCryptAuditedYet создана инициатива для подтверждения отсутствия в TrueCrypt проблем безопасности и скрытых бэкдоров. Одним из подозрений было отсутствие гарантии, что бинарные сборки, которые составляют основную массу загрузок, не содержат закладок и собраны на основании публично доступного исходного кода без внесения скрытых изменений.
Источник: http://www.opennet.ru/opennews/art.shtml?num=38259
комментариев: 1079 документов: 58 редакций: 59
ftp://ftp.rsasecurity.com/pub/pkcs/pkcs-11/v2-20
В ридми все есть:
Requirements for Building TrueCrypt for Linux and Mac OS X:
- GNU Make
- GNU C++ Compiler 4.0 or compatible
- Apple Xcode (Mac OS X only)
- NASM assembler 2.08 or compatible (x86/x64 architecture only)
- pkg-config
- wxWidgets 2.8 shared library and header files installed or
located in a standard include path or in a directory defined by the
environment variable 'PKCS11_INC'.
К сожалению твой пост опять не в тему и опять написан в лучших традициях философского течения софистики. Про TrueCrypt ты по-прежнему ничего не знаешь и написать не можешь. А пишешь все о своем наболевшем.
Применять то продолжаем, но не TrueCrypt 5.1. Софиствуешь. Пора тебе из раздела 'Новости/2008' начинать двигаться дальше.
Не та платформа, опять софиствуешь. Да и памятуя другой античный афоризм 'ссылка на авторитеты не есть доказательство своей правоты'.
Потерял конец предложения 'лично мне для моих задач'.
Ну если для тебя отказаться от следования чужому мнению как видно задача непосильная, тогда и нам придется попробовать перейти на Linux, но не сию минуту, а сразу же после Брюса.
Ты по-прежнему так предсказуем!
Атрибут слабости. Либо позиции, либо самой личности.
В теме про TrueCrypt людям интересно обсуждать особенности TrueCrypt, а не твои способности по освоению LUKS, который в отличие от винды очень нужен, но не в винде и не в этой теме.
Я про TC знаю немножно больше, чем местные gyhsal'ы, потому и мнение выходит отличиным от них.
Это был намёк на то, что софт, разрабатываемый мутным образом неизвестными анонимами, да ещё и с мутной лицензией, закономерно приходит к тому, о чём написано по ссылке. В отличие от Debian OpenSSL 2008, у нас даже нет возможности научиться на ошибках: понять, как это получилось, из-за чего, кто виноват, увидеть детальный разобор полётов по поводу этого бага. TrueCrypt, кстати, вообще, открыто разрабатывается? Можно со стороны следить за разработкой? Или они нагора релизят только готовые версии?
Нет, ничего не потерял. Ещё раз: платформа ненужна. У этой фразы есть вплоне конкретный устоявшийся смысл. Это значит не то, что нельзя найти для себя задач, которые можно решать на этой платформе и за которые будут платить (реверсерство, антивирусный бизнес, ещё что-нибудь), а то, что в этом нет смысла. Т.е. нет смысла ориентироваться на винду в долгосрочной перспективе, нет смысла начинать на ней новые проекты. Т.е. это неинтресно и бесперспективно. Номинально платформа может при этом продолжать жить так же, как сейчас живёт SCO UNIX или BeOS. Фраза «винда не нужна» имеет ровно тот же смысл, что и «SCO UNIX» не нужен.
Тем не менее, ссылка на авторитеты — это меньшая демагогия, чем ссылка на опыт
gyhsal'аВаси Пупкина, который «что-то использует».В отличие от вас, Брюс не стал бы защищать право этой платформы на существование и перспективы.
У вас научился.
Апелляция к теме — это, конечно, хорошо, но можно нарваться на ответ вида такого.
Попытаюсь просуммировать аргументы против:
Это были аргументы «против». Какие-то аргументы «за» тоже можно написать, вот только перевешивают ли они все перечисленные «против» — каждый решает для себя сам.
*Да, не все открытые проекты так делают. Например, RH этим тоже «не страдает», что, правда, ничуть не уменьшает критику в адрес как RH, так и TC.
1. Мне не важно.
2. см. п 1.
3. Моя модель угрозы стерпит.
4. см. п. 3.
5. Не использую.
6. см. п. 5.
7. см. п. 3.
8. см. п 1.
9. Сознательно перешел на ТС с DC. Возможности устраивают.
10. см. п. 3.
11. см. п. 3.
12. см. п 1.
13. см. п. 3. + От M$ с АНБ скрывать нечего.
Золотые слова, а все что ты выстрадал выше смело загоняй под спойлер.
Улрихт (SR) и Маркес (FH) тоже так думали.
Нам как и тебе скрывать нечего.
Нас рать!
комментариев: 11558 документов: 1036 редакций: 4118
Тут я немного поспорю.
Я использую, хотя и в незначительном объёме и только для старой информации, которую по тем или иным причинам затруднительно перенести на LUKS-тома.
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 11558 документов: 1036 редакций: 4118
Наверно, если бы с документацией всё было бы хорошо, о фактах, изложенных в /comment65282, можно было бы легко узнать, читая сам сайт TC, а не сторонние источники.
Во фразе есть вполне конкретный смысл: ни SR, ни FH не представляли разведывательной, военной и пр. ценности для правительства США, поэтому эти площадки не должны были интересовать АНБ. Однако, когда ФБР не справляется, оно всегда может запросить помощь у последних, чтобы потом воссоздать доказательства. Звучит немного конспирологично, но вполне реалистично. Кстати, про применение браузерных эксплоитов как основной вектор атаки на анонимность (при заходе на подставные сайты или при использовании злонамеренных экситов) я писал ещё много лет назад, это было ещё задолго до того, как FH и SR стали популярными.
Она не то чтобы моя, это просто обобщённое мнение, которое здесь давно сформировалось и уже неоднократно озвучивалось разными участниками, я просто собрал всё вместе и показал, что нет смысла завязываться на TC. Если вы иногда читаете форум, вы про это знаете.
Следуя рекомендацям unknown'а, про модель угрозы надо говорить только тот минимум, который необходим для решения технических вопросов, не больше и не меньше, так что зря вы раскрыли то, что вам нечего скрывать:
а ты опять за старое взялся. Тот тред ничему не научил?
Моя единственная цель на этом форуме получить информацию. Каким способом я ее получу совершенно не важно. Посмотрите на вопросы нубов в других ветках. В лучшем случае – молчание, в худшем – RTFM, да этот вопрос тут мало кому интересен, да тут свой круг общения, да это уже не раз обсуждалось, да поюзай Гуголь, да есть же ФПП. Да в жопу это ФПП! Где время всю эту чушь читать? Посмотрите на те сопли, которые вы в этой теме развешивали, пока я вас не отдрючил. Винда не нужна, лицензия мутная-мутная, Трукрипт гавно! Да что Винда не нужна и без вашего мнения знает любой, кто хоть раз прочитал ее UELA. А вот теперь все предельно ясно и четко саргументировано: и почему Винда не нужна, и почему Трукрипт гавно. Всем спасибо за участие. Но по другому вы не понимаете.
комментариев: 11558 документов: 1036 редакций: 4118
А поделиться?
Если по первому пункту многое ясно, то по второму (ТС) не ясно ничего. Почему он говно? Он даже может из говна (Windows) сделать конфетку.
Если он все же говно, считайте меня копрофагом...
Спасибо за честность, не каждый на такое способен. Да, здесь большая часть — потребители, которые задают идиотские вопросы, даже не пытаясь погуглить или самостоятельно поискать информацию. Считается, что форум обязан за них найти ссылки, разжевать, положить в рот, а они только проглотят. Подумайте, а кому доставляет удовольствие разжовывать по 10-ому разу эти нубские вопросы?
Я прихожу с работы и начинаю читать форум, отвечать на эти нубские вопросы. Редко когда это можно сделать за 6 часов, обычно во времена активности уходит 10 часов, а то и 12 и 14 и даже больше. Я прихожу с работы вечером, а когда на всё ответил, уже пора снова идти на работу. И на работе иногда тоже отвечаю на вопросы: гуглю, ищу информацию, раскладываю по полочкам и отвечаю. Долго такое продолжаться не может, невозможно работать и при этом тратить по 14 часов в сутки на ответы на форумах (часто это было так в самом буквальном смысле). Давно пора перейти на режим SATtva'ы: полторы строки в день — лимит.
Всё так, только с точностью до наоборот. Вот живые примеры развёрнутых ответов на нубские вопросы: [1], [2], [3]. И таких разжовываний здесь тысячи, включая недавнюю ветку (это без преувеличений, посмотрите счётчик комментариев, который >70000). Многие из таких разжёвываний состояли из десятков постов, каждый пост отъел по нескольку часов драгоценного времени, а есть и такие посты, которые отъели не один день и даже не одну неделю. А вы — неблагодарная тварь, свинья под дубом. Как говорят в таких случаях, ради кого стараемся-то? Ради толстеющих интернет-троллей? О да, те точно оценят по достоинству.
Можно добавить ещё один тривиальный пункт — популярность:
- Поскольку TC существенно менее популярен и интересен общественности, чем LUKS, будь серьёзная ошибка в каком-то из этих продуктов, вы узнаете о ней в случае LUKS с куда большей вероятностью.
Этот же аргумент справедлив и для всего остального (например, Вагнер так аргументировал выбор в пользу AES).