id: Гость   вход   регистрация
текущее время 12:39 28/03/2024
Владелец: ressa (создано 17/10/2013 22:01), редакция от 18/10/2013 08:09 (автор: SATtva) Печать
Категории: софт, политика, truecrypt, ошибки и баги, лицензирование
https://www.pgpru.com/Новости/2013/ПроведениеПолногоАудитаИсходниковTrueCrypt
создать
просмотр
редакции
ссылки

17.10 // Проведение полного аудита исходников TrueCrypt


Предположение о fileбекдоре в Windows-версии всем известного TrueCrypt, мутная лицензия и отсутствие информации о команде разработчиков принесли свои плоды. Специалист в области криптографии Мэттью Грин призвал присоединиться к аудиту исходного кода и пролить свет истины на данный софт. Конечно, не бесплатно, и кроме компании по сбору денежных средств, Мэттью также открыл сайт под данный аудиторский проект IsTrueCryptAuditedYet.com. На данный момент собрано $15,201.00,которые пойдут не только на программный аудит, но и на юридическую проверку лицензии TrueCrypt. В скором будущем можно будет снести здешний многостраничный топик о TrueCrypt.


Источник: http://blog.cryptographyengine.....audit-truecrypt.html


 
На страницу: 1, 2, 3, 4 След.
Комментарии [скрыть комментарии/форму]
— Гость (18/10/2013 02:40)   <#>
Глупый вопрос, но всё же: бинари TC хотя бы подписаны PGP-ключами разработчиков? Или, точнее, оные у последних вообще имеются? В TC уже был баг, позволяющий в ряде конфигураций на винде взламывать шифрование из-за утечки пароля в своп. Было здесь в новостях, баг был найден ntldr'ом. Вскоре после той публикации на pgpru в TC исправили ошибку.
— SATtva (18/10/2013 08:14)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
ressa, оформляйте новости по правилам, не ломайте шаблон. После заголовка должна быть пустая строка, после текста обязательна ссылка на источник, независимо от того, есть эта же ссылка в тексте или нет.


Не преумножайте энтропию, неужели так трудно зайти на сайт и посмотреть? Не будь они подписаны, было бы совсем странно.
— unknown (18/10/2013 09:57, исправлен 18/10/2013 09:57)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Или развести новый, ещё более многостраничный.


Вообще, дурацкий способ потратить деньги: при любом результате и качестве исполнения отчёта они всё равно будут формально потрачены. Если бы проект захотел, ему (или его сторонникам) не пришлось бы собирать деньги на анализ самопальной лицензии, а сделали бы всё стандартно, как остальные. С обычной лицензией, с открытой моделью разработки, публикацией роадмапов, теоретических работ, с гитом, тикетами и пр.

— Гость (18/10/2013 10:16)   <#>
А давайте соберём деньги на аудит того, как будут расходоваться деньги, собираемые на аудит.
— ressa (18/10/2013 10:18)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
SATtva, хорошо, прости, впредь буду внимательнее.
unknown
С обычной лицензией, с открытой моделью разработки, публикацией роадмапов, теоретических работ, с гитом, тикетами и пр.

Мне лично просто интересны мотивы разработчиков, т.е. если все чисто-пушисто, в плане что корявая лицензия сделана для того, чтобы они могли свои труды встраивать в коммерческие продукты – тогда да, согласен, т.к. это их труд и они вправе коммерциализировать его, ведь Open Source дело добровольное. Но мне кажется, что не все так гладко, и если там есть рука АНБ – то все гораздо хитрее, ведь они изначально понимали, что будут параноики, которые и так для себя смотрели код. В лучшем случае у них бинарники выложенные отличались от тех, которые могли быть скомпилированы, а в худшем – хитрая закладка, замаскированная под невинный баг, или просто кусками кода размыта по всем файлам исходников. Ну чего уж там, не буду гадать на кофейной гуще, дождемся вердикта анализирующих энтузиастов. Правда жаль, что сроки не обозначены, а то снова год ждать придется.
— Гость (18/10/2013 11:01)   <#>
TrueCrypt? Why not... Who will be the next?

Вангую отсутствие закладок. А так все путем: доверяй, но проверяй.

Правда жаль, что сроки не обозначены, а то снова год ждать придется.
Снова год простоя, бизнес прогорит же. А если потом еще год, а потом еще, и еще? DC пока юзай.
— Гость (18/10/2013 11:09)   <#>

А для контейнеров, что-н. гуишное и под линукс, существует что-нибудь?

Кто что может посоветовать, а?
— ressa (18/10/2013 11:20)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
Снова год простоя, бизнес прогорит же. А если потом еще год, а потом еще, и еще?

Ты о чем вообще? Какой простой, какой бизнес? На счет DiskCryptor – ты его под линуксом юзаешь, да?)
— Гость (18/10/2013 12:06)   <#>

Простой? Ты же знаешь, парень, я не прост. Простой Обыкновенный простой, сроком в один год, который вы будете пребывать в ожидании результатов аудита.
а то снова год ждать придется у моря погоды


Теневой. Какой же еще?


Я его вообще не юзаю.
— Гость (18/10/2013 13:01)   <#>

Короче, кроме truecrypt нету вообще ничего, кроссплатформенного и с gui, да?
— Гость (18/10/2013 13:01)   <#>
Я извиняюсь, что не в тему, но что вы знаете о zuluCrypt – гуя для cryptsetup? Он и tc-контейнеры может, и даже gpg-encrypted keyfiles. Потому необходимость в truecrypt вообще отпадает. Странно, что на пгпру ни одного упоминания этой программы нет, хотя она аж с 2011 года развивается.
https://code.google.com/p/zulucrypt/
— Гость (20/10/2013 16:27)   <#>
Я предполагаю, что разработчики TrueCrypt отказывают в праве публиковать исходники другим ресурсам потому, что не доверяют им. Большинство пользователей TrueCrypt не проверяют цифровую подпись. В том случае, если исходники и бинарники размещают везде, ничто не мешает владельцу ресурса их "протроянить". Конечно, потом это может вскрыться, но это потом. Никакой ответственности владельцы такого ресурса не понесут перед пользователями, просто создадут новый ресурс – а чей он, никто не узнает.
— Гость (20/10/2013 17:01)   <#>
Разработчиков TrueCrypt, никто и никогда в глаза не видел, также как и команду I2P – только ники в сети, имхо такими и должны быть труъанонимусы.
АНБ остается только биться в истерике. Это кстати касается и всей жидовской кодлы Торпроекта.
— Гость (20/10/2013 17:11)   <#>
А давайте соберём деньги на аудит того, как будут расходоваться деньги, собираемые на аудит.

Сурьёзней товарисчи! Давайте лучше соберите на Ауди SATtv'е
— Гость (20/10/2013 17:22)   <#>

quickfix
На страницу: 1, 2, 3, 4 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3