id: Гость   вход   регистрация
текущее время 23:37 28/03/2024
Владелец: ressa (создано 25/10/2013 18:54), редакция от 26/10/2013 11:41 (автор: SATtva) Печать
Категории: криптография, уязвимости, исходные тексты
http://www.pgpru.com/Новости/2013/АудитСборкиTrueCrypt71aНеВыявилРасхожденияСИсходнымиТекстами
создать
просмотр
редакции
ссылки

25.10 // Аудит сборки TrueCrypt 7.1a не выявил расхождения с исходными текстами


Опубликованы результаты результаты сравнения официальной бинарной сборки TrueCrypt 7.1a для Windows и сборки, сформированной собственными силами из исходных текстов. Анализ различий показал, что в официальная бинарная сборка не содержит скрытых функций и тождественна поставляемым исходным текстам. Разница наблюдается только в элементах, связанных со сборочным окружением и используемыми на этапе компиляции опциями.


Исследование показало, что правильный подбор используемых при сборке инструментов, воссоздающий оригинальные условия сборки, позволяет сформировать тождественный исполняемый файл и подтвердить, что в распространяемые производителем бинарные сборки не были внесены скрытые изменения. Таким образом удалось подтвердить отсутствие скрытых модификаций без необходимости выполнения трудоёмких операций по обратному инженерингу исполняемых файлов. В настоящее время, усилия по аудиту проекта TrueCrypt могут сосредоточится на изучении исходных текстов и методов шифрования, .


Кроме того, представителям проекта IsTrueCryptAuditedYet удалось связаться с авторами TrueCrypt, которые приветствовали идею проведения независимого аудита безопасности их продукта. Напомним, что в рамках проекта IsTrueCryptAuditedYet создана инициатива для подтверждения отсутствия в TrueCrypt проблем безопасности и скрытых бэкдоров. Одним из подозрений было отсутствие гарантии, что бинарные сборки, которые составляют основную массу загрузок, не содержат закладок и собраны на основании публично доступного исходного кода без внесения скрытых изменений.


Источник: http://www.opennet.ru/opennews/art.shtml?num=38259


 
На страницу: 1, 2, 3, 4, 5, 6, 7, 8 След.
Комментарии [скрыть комментарии/форму]
— SATtva (03/11/2013 11:30)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Давно пора перейти на режим SATtva'ы: полторы строки в день — лимит.
Часто, кстати, из-за Ваших исчерпывающих комментариев: прихожу в топик и понимаю, что добавить уже, собственно, нечего. А кормить разномастных троллей никогда не было интересно.
— Гость (03/11/2013 22:06)   <#>
[offtop не по делу]
Чапаев и Котовский сидят на экзамене по истории Партии. Чапаев шепчет Котовскому:
– Подскажи, какие документы выдавала Советская власть?
– Мандаты! Мандаты, Василий Иванович!
– Чиво?! Я м...а?! Да сам ты з....а лысая!
Так по твоему Я свинья? Да сам ты ... прав. Я – свинья. А точнее пиявка – лич. Не прав ты в другом. Причем неправ в корне.
ради кого стараемся-то?
Ты стараешься только ради себя, как и я.
гуглю, ищу информацию, раскладываю по полочкам и отвечаю
Все это ты делаешь только по тем вопросам, которые тебе интересны. Интересны – тебе. Я далек от мысли, что тем самым ты чешешь ЧСВ, хотя человек ты амбициозный. Не ЧСВ тут на первом месте. Когда тратишь
10 часов, а то и 12 и 14 и даже больше
тебе это уже интересно как профессионалу (извини за тех физиков). Этим ты обогощаешь в первую очередь себя. А свинья воспользуется на халяву, это да. На то она и свинья, а точнее лич – паразит. Но лич не отберет у тебя тех знаний, которые ты для него получил первым и сам ими поделился. Паразит тем и отличается от хищника, что никогда не убивает своего хозяина. Чем лучше питается хозяин, тем больше достается паразиту. Лич – стимул. Он затронет такой тупой вопрос, который своей тупизной тебя никогда бы не заинтересовал и на который ты бы сам никогда не стал тратить 14 часов. Но готовя ответ на него ты постигнешь такие глубины, в какие без этого стимула нырять бы не стал на 14 часов. На то он и форум. Тут не заставишь ответить. Но можно сделать так, что ответить станет потребностью. Выигрывают оба.
полторы строки в день — лимит
Tо, что имярек стал тяготиться проектом, заметно давно. По глубине постов unknown'а ему уже не переплюнуть, да и ты стабильно тандему в затылок дышешь.
[/offtop не по делу]
— Гость (04/11/2013 02:03)   <#>
[offtop]
Я затрудняюсь сходу назвать круг тем, которые здесь обсуждаются, и в обсуждении которых я активно не участвовал. Наверное, такие существуют.


Да, есть такое, но далеко не всё относится к этой категории. Часто спустя день-два уже и не вспомнить, на что был потрачен очередной день — была какая-то незапоминающаяся мелочёвка, которая съела всё время и после неё ничего не осталось в сухом остатке помимо потраченного времени.


Имярек полностью в одного делает новый движок. Это гигантский объём работы, которой никто другой не касается. Помимо этого он исправно и развёрнуто вместе с sentaus'ом отвечает на сложные вопросы по работе с GnuPG, в чём я не так компетентен, как они.

Вообще, эффективный начальник — тот, кто умеет организовать весь рабочий процесс так, чтобы он не требовал его личного вмешательства. Если начальник вынужден делать работу своих подчинённых, это плохой начальник. Хорошего начальника вообще не видно — он чисто репрезентативная фигура, которая влияет на принятие ключевых решений в развитии, но не лезет в мелочёвку — механизм работает без него. PGPru, конечно, не организация типа фирмы, а клуб по интересам, но какая-то аналогия с этим прослеживается.
[/offtop]
— Гость (04/11/2013 02:35)   <#>
какая-то аналогия с этим прослеживается
— Гость (04/11/2013 05:24)   <#>
Винда не нужна... винда не нужна... ню-ню
http://www.blogcdn.com/www.eng.....-2013-1383358988.jpg
При такой статистке TrueCrypt может оказаться в итоге гораздо более популярным, нежели любой его аналог в линухах.


Я затрудняюсь сходу назвать круг тем, которые здесь обсуждаются, и в обсуждении которых я активно не участвовал. Наверное, такие существуют.

Одни дебилы вопрашають в нежелании просвещаться самостоятельно. Другие живота не щадя кое-как через пень колоду и потратив уйму времени таки им отвечают. Через некоторое время набираются гонору и начинают тяфкать на остальных, по сравнению с которыми сами являются дебилами. Так нудно и настойчиво лают, что люди разворачиваются и уходят. На ресурсе остаются лишь дебилы и модераторы, а когда первым становится скучно — тогда начинается нытье и скулёж о тяжелой судьбе, потраченном времени.
— SATtva (04/11/2013 11:03)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Прекращайте оффтопить. Позиции всех участников дискуссии уже давно понятны.
— Гость (08/11/2013 22:19)   <#>
Кстати насчет линукса, папку home/user я зашифровал как отдельный диск, монтируется на этапе загрузки системы
/etc/mdm/Init/Default (это для Минт папка mdm. для гнома Убунты gdm)
if !(echo `mount` | grep -q "/home/user type")
then
truecrypt /dev/sda2 /home/user
fi

Если пароль ввести то попадаем в папку пользователя со всем зашифрованным включая закладки/пароли браузера и конфиги всего софта и моих файлов.
Если пароль не вводить, то попадаем в папку того же пользователя, но со всем по дефолту и без моих файлов
— unknown (08/11/2013 22:37)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Это стандартное замещение содержимого каталога при монтировании. Конкретно к truecrypt никакого специфического отношения не имеющее.

Так и для cryptsetup/LUKS можно делать и вручную, и автоматически. Это не отменяет того факта, что это всё заметно. И по настройкам, и потому, что сам факт монтирования и время обращения к дискам оседают в логах.
— Гость (09/11/2013 00:29)   <#>
Какие варианты? Работать с ливсиди?
— Гость (09/11/2013 01:06)   <#>

А всякие ошибки, имена файлов и прочее могут утекать в /var.
locate в системе есть? ☺


Полнодисковое шифрование. Debian его умеет искоробки.
— Гость (09/11/2013 01:20)   <#>
А NetBSD больше не comme il faut?
— Гость (09/11/2013 01:20)   <#>

И если /tmp можно повесить на память (tmpfs) и не писать на диск вообще, то /var писать придётся.


Можно, но неудобно. Лучше виртуалки, на каждую задачу своя ОС + амнезия для виртуальных ОС, т.е. они должны каждый раз перед запуском восстанавливаться из чистого бэкапа.
— Гость (09/11/2013 01:28)   <#>

Кто вам такое сказал?
— Гость (09/11/2013 02:28)   <#>

Вопросом на вопрос.
Linux. C'est une tendance de fond. Паренек, который здесь рекомендовал NetBSD, перестал упоминать NetBSD. Зато упоминание Linux (Debian, Gentoo) стремится в бесконечность. Linux станавится panacéa для всех проблем hors de la boîte. Que celui qui a des yeux pour voir, voit.
— Гость (09/11/2013 03:19)   <#>

Она должна упоминаться каждый день? Судя по гуглу, за 2013ый год:
Получается, в среднем раз в 2-3 месяца упоминается.


Кеши, рейсы рессы, другие новички и прочие старички. Толковых систем мало, что ещё обсуждать? Убунту? Но и её регулярно тут поминают, в основном за упокой.


А что ещё есть пригодное для безопасности помимо Linux или BSD? MINIX? OpenSolaris? Здесь ещё и UNIX упоминается часто. Неужели у кого-то стоит AIX?
На страницу: 1, 2, 3, 4, 5, 6, 7, 8 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3