25.10 // Аудит сборки TrueCrypt 7.1a не выявил расхождения с исходными текстами
Опубликованы результаты результаты сравнения официальной бинарной сборки TrueCrypt 7.1a для Windows и сборки, сформированной собственными силами из исходных текстов. Анализ различий показал, что в официальная бинарная сборка не содержит скрытых функций и тождественна поставляемым исходным текстам. Разница наблюдается только в элементах, связанных со сборочным окружением и используемыми на этапе компиляции опциями.
Исследование показало, что правильный подбор используемых при сборке инструментов, воссоздающий оригинальные условия сборки, позволяет сформировать тождественный исполняемый файл и подтвердить, что в распространяемые производителем бинарные сборки не были внесены скрытые изменения. Таким образом удалось подтвердить отсутствие скрытых модификаций без необходимости выполнения трудоёмких операций по обратному инженерингу исполняемых файлов. В настоящее время, усилия по аудиту проекта TrueCrypt могут сосредоточится на изучении исходных текстов и методов шифрования, .
Кроме того, представителям проекта IsTrueCryptAuditedYet удалось связаться с авторами TrueCrypt, которые приветствовали идею проведения независимого аудита безопасности их продукта. Напомним, что в рамках проекта IsTrueCryptAuditedYet создана инициатива для подтверждения отсутствия в TrueCrypt проблем безопасности и скрытых бэкдоров. Одним из подозрений было отсутствие гарантии, что бинарные сборки, которые составляют основную массу загрузок, не содержат закладок и собраны на основании публично доступного исходного кода без внесения скрытых изменений.
Источник: http://www.opennet.ru/opennews/art.shtml?num=38259
Да, такой вопрос мною уже поднимался, но у меня нет готового ответа, а у вас есть. Остался только один вопрос — можно ли вам верить. ☺
могут где-то кэшироватьсякэшируются в /etc/lvm/archive на корневом разделе.Fxd. Да, в самом сильном сценарии надо добиться того, чтобы сняв дамп оперативной памяти с живой шифрованной системы, нельзя было доказать, что неподключенные (на момент атаки) места дискового пространства реально иногда используются. Тут даже с виртуалками может оказаться непросто этого добиться (во всяком случае, в конвенциональных системах).
На самом деле, клятый udev можно выпилить, если это принципиальный вопрос жизни и смерти, но не хотелось бы так глубоко вмешиваться в автоматику того же Debian. Иногда udev даже служит добрую службу, когда диск на новом железе определеяется как sdY, а не sdX, и всё взлетает автоматически благодаря ему, но у всего есть обратная медаль.
P.S. Вспомнилось к слову. Делал копию системы, и сделал там VG с тем же именем, что и на основной. А потом вдруг понадобилось её подключить. И вот коллизия VG-имён, ничего не получается сделать. Теоретически должно разруливаться по uuid'ам, но я как ни пытался, у меня не взлетело (вбивать uuid'ы вручную в аскетичной консоли загрузчика, где нет ни мыши, ни screen — ещё то удовольствие). В итоге взял, загрузился с LiveCD, переименовал, всё прошло успешно. Позже потом надо было загрузиться с диска с переименованным VG. Он грузит корень с того, что указано в настройках, и в итоге дропается в initramfs/initrd на стадии загрузки (нужная VG не найдена). К счастью, там есть консоль и нужные тулзы, так же запустил lvm и в открывшейся среде через vgrename восстановил исходное имя. Udev как бы был призван решить множество подобных половых проблем...
комментариев: 9796 документов: 488 редакций: 5664
Пока
шифрпанкивсякие энтузиастынасилуютмучают наследие TrueCrypt и пытаются перевопроизвести егокостыльнымиподручными средствами Linux, исследователи уже формализовали модель HIVE (HIdden Volume Encryption) и реализовали в средствах работы с блочными устройствами Linux, что описано в работе Toward Robust Hidden Volumes using Write-Only Oblivious RAM.В отличие от
шифрпанковскойнеформализованной модели TrueCrypt, они добились формализации свойства задания максимально возможного количества скрытых контейнеров и их заполнения в режиме произвольной записи. Это избавляет пользователя от необходимости использовать только оффлайновый режим работы и позволяет размещать контейнер (или по крайней мере его сырые бэкапы) на недоверяемом удалённом сервере, не раскрывая количество использованного места и количество вложенных контейнеров в случае атак анализа трафика и сравнения множества копий шифрованного содержимого (атаки мультискан и любопытных уборщиц).А пока этого нет в стандартной поставке Linux,
шифрпанкипродвинутые пользователи могут продолжать мучить оффсеты.могут где-то кэшироватьсякэшируются в /etc/lvm/archive на корневом разделе.Именно в /etc/lvm. Курочить изкоробочные конфиги для заметания следов этого безобразия не предлагать. ☺
Спасибо за ссылку, не знал про такое. Как раз собираю библиографию по TC-техникам, и упомянуть это будет очень в тему.
...то работать оно не будет, будь оно хоть трижды безопасно теоретически. Одни из первых требований к таким механизмам — встроенность в ОС по умолчанию и распространённость. К счастью, ни у dmsetup, ни у LUKS сейчас с этим проблем нет. А самопальный или редкий софт будет палевным просто по факту своего инсталла в системе.
http://blog.cryptographyengine.....truecrypt-audit.html
комментариев: 271 документов: 0 редакций: 0
Зашифрован системный раздел. Произошел сбой загрузки ОС из-за одного из драйверов (происходит останов загрузки). Можно ли открыть снаружи раздел, чтобы достать информацию? Пробовал с флешки загрузится (Линукс) и с установленного ТС подмонтировать, но ничего не получилось.
Кто даст дельный совет, может опыт подобный был?
комментариев: 11558 документов: 1036 редакций: 4118
Ничего себе. А это что?
Касаемо существа вопроса, Вы же при зашифровании диска должны были создать Recovery CD.
"Ничего не получилось" — крайне неинформативный способ описания проблемы. Что не получилось? Программа вернула какую-то ошибку или сами ниасилили?
Помимо использования TC, в Линуксе зашифрованный Трукриптом диск можно открыть с помощью свежей версии cryptsetup, читайте его документацию.
комментариев: 271 документов: 0 редакций: 0
Пользовался Поиском с выводом до 30 ссылок. Данная тема увы не попала в выборку.
Конечно должен и создавался, но где он.. ищу. Система ставилась в 2012.
1. Запускаю ТС
2. Выбираю раздел с установленной системой для монтирования.
3. Предлагается ввести пароль. Вылетает ошибка о невозможности.
Процетировать в настоящее время не представляется возможным, т.к. линукс запущен на другой машине.
Сейчас перезагружусь на "проблемной" машине и отпишусь.
))) Здесь как раз обсуждалась попытка обновить cryptsetup до последней версии. В репозиториях (у меня wheezy 7.9x32) 1.4.3, а актуальная вроде 1.6. Закончилось переустановкой системы.
комментариев: 271 документов: 0 редакций: 0
Как мне кажется, допущены мною ошибки:
1. ТС нужно было запускать от root
2. Не было учтено следующее, т.е. не поставлена галочка:
Note: If you are attempting to mount a partition located on an encrypted system drive without pre-boot authentication or to mount the encrypted system partition of an operating system that is not running, you can do so by selecting 'Options >' > 'Mount partition using system encryption'
Указал путь монтирования. Вылетает ошибка – "mount: вы должны указать тип файловой системы".
В строке параметров монтирования указал – t ntfs. Не помогло.
Если ставить галочку на "Do not mount", то раздел появляется в слоте ТС.
Далее в терминале:
# mount -t ntfs /dev/mapper/truecrypt1 /media/111
Результат – куча текста об ошибках монтирования.
Что-то не так делаю.
комментариев: 511 документов: 2 редакций: 70