id: Гость   вход   регистрация
текущее время 12:24 12/12/2024
Владелец: ressa (создано 25/10/2013 18:54), редакция от 26/10/2013 11:41 (автор: SATtva) Печать
Категории: криптография, уязвимости, исходные тексты
https://www.pgpru.com/Новости/2013/АудитСборкиTrueCrypt71aНеВыявилРасхожденияСИсходнымиТекстами
создать
просмотр
редакции
ссылки

25.10 // Аудит сборки TrueCrypt 7.1a не выявил расхождения с исходными текстами


Опубликованы результаты результаты сравнения официальной бинарной сборки TrueCrypt 7.1a для Windows и сборки, сформированной собственными силами из исходных текстов. Анализ различий показал, что в официальная бинарная сборка не содержит скрытых функций и тождественна поставляемым исходным текстам. Разница наблюдается только в элементах, связанных со сборочным окружением и используемыми на этапе компиляции опциями.


Исследование показало, что правильный подбор используемых при сборке инструментов, воссоздающий оригинальные условия сборки, позволяет сформировать тождественный исполняемый файл и подтвердить, что в распространяемые производителем бинарные сборки не были внесены скрытые изменения. Таким образом удалось подтвердить отсутствие скрытых модификаций без необходимости выполнения трудоёмких операций по обратному инженерингу исполняемых файлов. В настоящее время, усилия по аудиту проекта TrueCrypt могут сосредоточится на изучении исходных текстов и методов шифрования, .


Кроме того, представителям проекта IsTrueCryptAuditedYet удалось связаться с авторами TrueCrypt, которые приветствовали идею проведения независимого аудита безопасности их продукта. Напомним, что в рамках проекта IsTrueCryptAuditedYet создана инициатива для подтверждения отсутствия в TrueCrypt проблем безопасности и скрытых бэкдоров. Одним из подозрений было отсутствие гарантии, что бинарные сборки, которые составляют основную массу загрузок, не содержат закладок и собраны на основании публично доступного исходного кода без внесения скрытых изменений.


Источник: http://www.opennet.ru/opennews/art.shtml?num=38259


 
На страницу: 1, 2, 3, 4, 5, 6, 7, 8 След.
Комментарии [скрыть комментарии/форму]
— ressa (25/10/2013 19:01, исправлен 25/10/2013 19:02)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59

Меня удивили скрины StudPE, черт я им лет пять назад на винде пользовался, и то он уже тогда меня подбешивал, неужели реверс-тулзы не кодились с тех пор)

— unknown (25/10/2013 22:15)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Пока Torproject уже больше года не может осилить детерминистичную компиляцию, в Truecrypt решили этим направлением вообще не заморачиваться и отдать всё на откуп проверяльщикам вручную.
— Гость (25/10/2013 22:37)   <#>
— Гость (25/10/2013 22:49)   <#>
Инжиниренг для производства инжира?
— Гость (25/10/2013 23:11)   <#>
Ванга была права. Все в контейнеры. Не даром же ЪCrypt.
— Гость (26/10/2013 02:43)   <#>

По крайней мере, слова такого типа имеют окончание -инг, а не -енг: кастинг, фистинг, маскарадинг, реверсинг, дебаггинг, пинг, ринг и др.


А если не в стельку в контейнеры ещё, и мозг работает, то выбирают LUKS, а для отрицаемости — dmsetup.
— Гость (27/10/2013 03:01)   <#>
Если LUKS выбирают, то есть уверенность что мозг работает. Если в теме про TrueCrypt LUKS пропагандируют, то уверенности нет.
— Гость (27/10/2013 12:02)   <#>
Скептицизм по отношению к TC (равно как и к loop-aes и др. сторонним средствам шифрования) высказывался здесь впервые unknown'ом ещё лет 5 назад и с тех пор неоднократно повторялся.
— Гость (27/10/2013 21:56)   <#>
Скрытый подтекст твоего поста кагбэ апеллирует к авторитетности автора высказанного скепсиса. Используемая участником unknown платформа, ее ограничения, а также задачи этого участника на данной платформе предполагают использование только LUKS. Участники, работающие на другой платформе, для своих задач могут применять TrueCrypt или DiskCryptor, но не LUKS. Причем для многих непримитивных задач можно использовать только TrueCrypt. Скептические высказывания участника с ником unknown не являются доказательством наличия угрозы в TrueCrypt и отражают лишь его личное мнение. Личное мнение участника unknown ничуть не более авторитетно, чем личные мнения участников с иными никами, которые TrueCrypt все пять лет успешно применяют. Также есть категория участников, предпочитающих собственного мнения не иметь, а идти в фарватере чужого более по их мнению авторитетного, его и цитировать в своих постах, неоднократно повторяя.
— Гость (28/10/2013 06:23, исправлен 28/10/2013 09:05)   <#>

Винда ненужна.



... подкреплённое мнением открытого сообщества и разработчиками Linux kernel internals, в частности.



Личное мнение Шнайера или Шамира ничуть не более авторитетно, чем мнение Васи Пупкина с улицы, который что-то там что-то «успешно» применяет уже 5 лет, ага. Проходили, знаем. Продолжайте применять дальше, кулхацкеры.


[здесь был флейм]

— unknown (28/10/2013 09:40)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Переход на личности завершаем, обсуждаем топик: сборки TrueCrypt.
— Гость (28/10/2013 09:43)   <#>

Интересно, а в LUKS были дыры такого уровня за его историю?
— Гость (28/10/2013 11:11)   <#>
Подскажите пожалуйста, как собрать из исходников в Linux?
Распаковал исходный код, ввожу в консоли:

А в 28й строке находится просто

Спасибо за подсказки.
— Гость (28/10/2013 11:16)   <#>

Кто вас этому научил? cd в директорию, где содержится файл с именем Makefile, потом выполнить make, затем make install.
— SATtva (28/10/2013 11:29)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Ну, и вообще в директории с распакованными исходниками обычно есть файлы INSTALL и/или README с полным описанием процедуры компиляции и установки.
На страницу: 1, 2, 3, 4, 5, 6, 7, 8 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3