id: Гость   вход   регистрация
текущее время 21:06 28/03/2024
Владелец: SATtva (создано 03/04/2015 11:28), редакция от 03/04/2015 11:28 (автор: SATtva) Печать
Категории: софт, инфобезопасность, защита дисков, truecrypt, ошибки и баги, уязвимости, исходные тексты
http://www.pgpru.com/Новости/2015/ОпубликованОкончательныйОтчётПоРезультатамАудитаTrueCrypt
создать
просмотр
редакции
ссылки

03.04 // Опубликован окончательный отчёт по результатам аудита TrueCrypt


Проект Open Crypto Audit представил отчёт по результатам проведённого аудита кода TrueCrypt. Вкратце, результаты следующие.


Аудит не выявил каких-либо критических уязвимостей в приложении и криптографической реализации либо бэкдоров в них. В то же время, в отчёте отмечен ряд допущенных разработчиками отступлений от общепринятых подходов в реализации приложений подобного типа, которые в определённых редких случаях способны привести к опасным последствиям.


В частности, реализованный в Windows-версии TrueCrypt генератор случайных чисел одним из источников энтропии использует ГПСЧ Windows Crypto API, который в некоторых ситуациях может не инициализироваться должным образом. Код TrueCrypt в этом случае вместо генерации исключения молча игнорирует такое событие и продолжает генерировать ключи. Тем не менее, программа использует и альтернативные источники энтропии (такие как движения мыши и нажатия на клавиши), что должно в большинстве случаев сгладить опасность ситуации, однако, с точки зрения реализации, этот нюанс весьма иллюстративен. Помимо этого у авторов отчёта есть сомнения в надёжности защиты реализации AES от cache timing attacks, однако противник сможет эксплуатировать эти недостатки только если приложение исполняется в недоверенном окружении.


Источник: http://blog.cryptographyengine.....ruecrypt-report.html


 
На страницу: 1, 2, 3, 4 След.
Комментарии [скрыть комментарии/форму]
— Гость (03/04/2015 15:18)   <#>
от wwwпервопроходчиков форков, хотя их wwwрепозиторий молчит уже 10 месяцев.


Дак ведь они проводиди аудит, сейчас начнут чухаться
— Гость (03/04/2015 15:19)   <#>
Все на мази, надо токмо исправить генератор, и все в ажуре
— Гость (03/04/2015 15:22)   <#>
Первопроходчики ищут шарющих людей как раз по вопросу генератора,
если есть желание присоединяйтесь https://truecrypt.ch/2015/03/r.....coming-along-nicely/
— Гость (03/04/2015 15:27)   <#>
CipherShed
Secure Encryption Software

это уже реальная рабочая альтернатива ТС7.1
— Гость (03/04/2015 15:34)   <#>
CipherShed
Secure Encryption Software

это уже реальная рабочая альтернатива ТС7.1


Ага, уже реально можно юзать, с поддержкой Windows8 http://yandex.ru/yandsearch?lr=10502&text=CipherShed
— ressa (03/04/2015 16:16, исправлен 03/04/2015 16:16)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59

Разве? По-моему это как раз автор говорил, когда ему вопросы по поводу лицензии задавали.


Ну я и говорю, подождем – время покажет. Понятно, что просветленным ТС не нужен, а нам, простым смертным – вполне себе юзабельно.


Да эти тоже альфу запилили с декабря молчат. А там по сути то изменений никаких нет – скомпилировали ТС и все.
Есть изменения в VeraCrypt, но опять же – вопрос доверия. Да и косяк там какой-то с обратной совместимостью по версиям – это меня и смутило в свое время.

— Гость (03/04/2015 21:15)   <#>
Очень интересно было бы увидеть коментарии пользователя ntldr. Учитывая что он описывал некоторые баги, неуказанные в первом этапе аудита, боюсь аудиторов выбрали некудышных.
— Гость (04/04/2015 01:33)   <#>
А мне в TC иконка нравится и название TrueCrypt.
Жалко, если их не будут использовать... Даже грустно как-то становится ;(
— Гость (04/04/2015 19:21)   <#>

Винда тоже не нужна, но если сильно надо, есть DiskCryptor. Впрочем, есть проблема того, что почти всё линуксовое домохозяечное небезопасно (разве что Tails — исключение), а безопасная настройка или профессиональные дистры требуют недюжинной квалификации.
— SATtva (30/09/2015 10:52)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Вот вам и аудит.

Несмотря на то, что недавний проект по аудиту покойного TrueCrypt отчитался об отсутствии серьезных уязвимостей, член гуглевской команды Project Zero Джеймс Форшоу (James Forshaw) обнаружил две серьезные уязвимости в драйверах, которые TrueCrypt устанавливает в Windows. Уязвимости позволяют пользователю с ограниченными правами повысить свой уровень доступа.

Рассчитывать на исправления TrueCrypt уже не приходится, но по крайней мере в его потомке VeraCrypt эти уязвимости уже исправлены.
— pgprubot (01/10/2015 08:19)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Оно же не в самом шифровании, так что это не настолько страшно. По крайней мере, это не поможет расшифровать оффлайновые диски. Ну, и, что случись, всегда можно будет сказать, что «они же предупреждали»:

Using TrueCrypt is not secure as it may contain unfixed security issues
— 17garcol17 (02/11/2015 17:59)   профиль/связь   <#>
комментариев: 3   документов: 1   редакций: 0
Знатоки TrueCrypt, подскажите. Вредно ли держать несколько шифрованных дисков с одним паролем? Сможет ли злоумышленик сравнивая их получить полезную информацию для взлома?
— SATtva (02/11/2015 18:45, исправлен 02/11/2015 18:46)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

Мастер-ключ (т.е. ключ, которым непосредственно зашифровано содержимое) у каждого диска уникален, но сам мастер-ключ зашифровывается ключом, выведенным из пароля. Так что помимо того, что, получив один пароль, противник сможет прочитать содержимое всех дисков, иных рисков нет.


P.S. Кросс-постинг и офф-топик — зло. Не делайте так больше.

— meticulous (06/12/2015 18:16, исправлен 06/12/2015 18:19)   профиль/связь   <#>
комментариев: 48   документов: 4   редакций: 0

Уважаемые, подскажите, какой из этих двух дистрибутивов TrueCrypt 7.1a является настоящим?
Залил их сюда на 5 дней:


Первый Второй


Понадобилось установить TrueCrypt, в своем архиве обнаружились два дистрибутива, и оба брались из надежных источников.
Но смущает разные EXE-файла – как такое вообще может быть для одной и тоже версии? Один из них с SIG-подписью, другой без, но все равно интересно, почему такая разница в размерах.


PS. Оба проверил NOD32.

— SATtva (07/12/2015 10:48)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Если один из файлов подписан ключом 0xF0D6B1E0, то зачем Вам другой вообще?
На страницу: 1, 2, 3, 4 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3