03.04 // Опубликован окончательный отчёт по результатам аудита TrueCrypt
Проект Open Crypto Audit представил отчёт по результатам проведённого аудита кода TrueCrypt. Вкратце, результаты следующие.
Аудит не выявил каких-либо критических уязвимостей в приложении и криптографической реализации либо бэкдоров в них. В то же время, в отчёте отмечен ряд допущенных разработчиками отступлений от общепринятых подходов в реализации приложений подобного типа, которые в определённых редких случаях способны привести к опасным последствиям.
В частности, реализованный в Windows-версии TrueCrypt генератор случайных чисел одним из источников энтропии использует ГПСЧ Windows Crypto API, который в некоторых ситуациях может не инициализироваться должным образом. Код TrueCrypt в этом случае вместо генерации исключения молча игнорирует такое событие и продолжает генерировать ключи. Тем не менее, программа использует и альтернативные источники энтропии (такие как движения мыши и нажатия на клавиши), что должно в большинстве случаев сгладить опасность ситуации, однако, с точки зрения реализации, этот нюанс весьма иллюстративен. Помимо этого у авторов отчёта есть сомнения в надёжности защиты реализации AES от cache timing attacks, однако противник сможет эксплуатировать эти недостатки только если приложение исполняется в недоверенном окружении.
Источник: http://blog.cryptographyengine.....ruecrypt-report.html
Дак ведь они проводиди аудит, сейчас начнут чухаться
если есть желание присоединяйтесь https://truecrypt.ch/2015/03/r.....coming-along-nicely/
Secure Encryption Software
это уже реальная рабочая альтернатива ТС7.1
Ага, уже реально можно юзать, с поддержкой Windows8 http://yandex.ru/yandsearch?lr=10502&text=CipherShed
комментариев: 1079 документов: 58 редакций: 59
Разве? По-моему это как раз автор говорил, когда ему вопросы по поводу лицензии задавали.
Ну я и говорю, подождем – время покажет. Понятно, что просветленным ТС не нужен, а нам, простым смертным – вполне себе юзабельно.
Да эти тоже альфу запилили с декабря молчат. А там по сути то изменений никаких нет – скомпилировали ТС и все.
Есть изменения в VeraCrypt, но опять же – вопрос доверия. Да и косяк там какой-то с обратной совместимостью по версиям – это меня и смутило в свое время.
Жалко, если их не будут использовать... Даже грустно как-то становится ;(
Винда тоже не нужна, но если сильно надо, есть DiskCryptor. Впрочем, есть проблема того, что почти всё линуксовое домохозяечное небезопасно (разве что Tails — исключение), а безопасная настройка или профессиональные дистры требуют недюжинной квалификации.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 511 документов: 2 редакций: 70
Оно же не в самом шифровании, так что это не настолько страшно. По крайней мере, это не поможет расшифровать оффлайновые диски. Ну, и, что случись, всегда можно будет сказать, что «они же предупреждали»:
комментариев: 3 документов: 1 редакций: 0
комментариев: 11558 документов: 1036 редакций: 4118
Мастер-ключ (т.е. ключ, которым непосредственно зашифровано содержимое) у каждого диска уникален, но сам мастер-ключ зашифровывается ключом, выведенным из пароля. Так что помимо того, что, получив один пароль, противник сможет прочитать содержимое всех дисков, иных рисков нет.
P.S. Кросс-постинг и офф-топик — зло. Не делайте так больше.
комментариев: 48 документов: 4 редакций: 0
Уважаемые, подскажите, какой из этих двух дистрибутивов TrueCrypt 7.1a является настоящим?
Залил их сюда на 5 дней:
Первый Второй
Понадобилось установить TrueCrypt, в своем архиве обнаружились два дистрибутива, и оба брались из надежных источников.
Но смущает разные EXE-файла – как такое вообще может быть для одной и тоже версии? Один из них с SIG-подписью, другой без, но все равно интересно, почему такая разница в размерах.
PS. Оба проверил NOD32.
комментариев: 11558 документов: 1036 редакций: 4118