03.04 // Опубликован окончательный отчёт по результатам аудита TrueCrypt
Проект Open Crypto Audit представил отчёт по результатам проведённого аудита кода TrueCrypt. Вкратце, результаты следующие.
Аудит не выявил каких-либо критических уязвимостей в приложении и криптографической реализации либо бэкдоров в них. В то же время, в отчёте отмечен ряд допущенных разработчиками отступлений от общепринятых подходов в реализации приложений подобного типа, которые в определённых редких случаях способны привести к опасным последствиям.
В частности, реализованный в Windows-версии TrueCrypt генератор случайных чисел одним из источников энтропии использует ГПСЧ Windows Crypto API, который в некоторых ситуациях может не инициализироваться должным образом. Код TrueCrypt в этом случае вместо генерации исключения молча игнорирует такое событие и продолжает генерировать ключи. Тем не менее, программа использует и альтернативные источники энтропии (такие как движения мыши и нажатия на клавиши), что должно в большинстве случаев сгладить опасность ситуации, однако, с точки зрения реализации, этот нюанс весьма иллюстративен. Помимо этого у авторов отчёта есть сомнения в надёжности защиты реализации AES от cache timing attacks, однако противник сможет эксплуатировать эти недостатки только если приложение исполняется в недоверенном окружении.
Источник: http://blog.cryptographyengine.....ruecrypt-report.html
комментариев: 48 документов: 4 редакций: 0
Все равно отвечу: чисто из научного любопытства.
Хочу понять, как файлы совершенно разных размеров относятся к одной и той же версии TC (а может, один из них коварная подделка).
Может, и 2-й дистр тоже хорош, хотя и без подписи, вероятно, она кем-то была утеряна.
Возможно, кто-то сможет сравнить побайтово со своими архивными запасами и найти к нему свой SIG?
комментариев: 271 документов: 0 редакций: 0
может кому пригодится http://rghost.net/6PTXZL8bF
комментариев: 48 документов: 4 редакций: 0
Просто не понимаю, как этой SIG-подписью пользоваться – PGP надо ставить, что ли?
Гуглил, конечно, но еще больше туману образовалось...
PS. Не заливайте больше, пожалуйста, на этот ужасный rghost.net, еле скачал :(
Страницей ранее я уже сообщал классный сайт для заливок, без всяких рекламных заморочек.
комментариев: 11558 документов: 1036 редакций: 4118
Доброе утро, приехали. Обитаете на сайте почти три года и до сих пор не умеете работать с PGP? Подойдёт PGP, GnuPG или любая другая реализация OpenPGP.
комментариев: 48 документов: 4 редакций: 0
Вы меня удивляете: вместо того, чтобы помочь с моим вопросом и сделать идентификацию подписей, уже второй раз задаете потусторонние вопросы, заодно отвлекая других от сути вопроса.
Если вы думаете, что они, ваши вопросы, полезны, то ошибаетесь.
Может, вы перестанете троллить и поможете по сути вопроса?
Или Вы исходите из "Что позволено Юпитеру, то не позволено быку",
и вместо себя за троллинг забаните меня?
комментариев: 11558 документов: 1036 редакций: 4118
Установите GnuPG. В консоли выполните: gpg /path/to/file.sig
комментариев: 48 документов: 4 редакций: 0
Но дело в том, что мне очень бы не хотелось бы ставить на сравнительно чистую систему дополнительный софт, которым я точно пользоваться не буду.
Поэтому и попросил:
У вас же есть этот самый GnupG, и вы в мгновение ока можете сделать эту проверку?
Сделайте, пожалуйста!
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 450 документов: 10 редакций: 13
Православный TrueCrypt Setup 7.1a.exe:
only!
комментариев: 271 документов: 0 редакций: 0
Все так и есть.
truecrypt-7.1a-setup-x86 (linux)
md5: fe3206082ec6a4f5b537f0136f720d84
sha1: b493e2e4601e7600add53d06ff7c9bf2b030ae77
sha256: aa1b646e0a1df37d820f194c3d6c2e7dd7ef1c8dccca02b822407dc91fcee1d3
комментариев: 48 документов: 4 редакций: 0
У меня тоже все хеши виндовозного порта совпали с вашими.
Но по-прежнему интересует, так сказать, родословная этой сборки – TrueCrypt_71a_win.zip
Откуда-то она взялась, и по составу выглядит весьма убедительно, но только с ней не было ни хешей, ни подписного файла, и размер exe в 2 раза меньше.
Может, к кого-то в архивах найдется такая, но с более полным составом и подписью?
Конечно, конечно, тут вы целиком правы.
Особенно если придерживаться мировоззрения, что помогать бескорыстно и тратить свое драгоценное время невыгодно.
Куда приятнее потратить еще больше своего времени, накидав 3 пустопорожних реплики и увести вопрос в ненужную сторону, не правда ли?
SATtva, вы бесспорный лидер на этом сайте. Но иногда полезно смотреться в зеркало.
И тогда вы, быть может, вспомните, что снобизм и звездная болезнь еще никому репутации не добавляли.
комментариев: 11558 документов: 1036 редакций: 4118
You're missing the point. Я Вам предложил решение: поставить GnuPG, сверить подпись. Вы на это заявили, что не хотите ничего ставить в систему, зато я должен искать дистрибутивы программы и что-то с ними делать. То есть у Вас даже в голове не откладывается, что Вы перекладываете на меня решение Вашей же проблемы, а в итоге ещё и обвиняете в снобизме. Ну офигеть вообще.
комментариев: 48 документов: 4 редакций: 0
Но я же не из-за лени не хочу ставить GnuPG, а по другой, более веской причине.
Если вы тоже не хотите тратить свое время на решение моего вопроса, это тоже понятно и вполне резонно с вашей стороны, и никаких претензий к вам не было было. Отмолчались бы, или сослались не нахватку времени, да и дело с концом. Не вы, так кто-то другой пришел бы мне на помощь, и они кстати, спасибо еще раз, таки пришли.
Но одна ваша фраза все испортила:
На самом деле вас никто не вынуждает это делать, а именно так звучит подтекст вашей обиженной фразы, и я вынужден дезавуировать такое предположение, нерационально потратив свое, ваше время и собрав публику на попкорн.
Блин, как мне все-таки нравится PGPRU – на нем обитают исключительно интеллигентные и вежливые люди!
И если даже нахамят, то сделают в такой толерантной и завуалированной форме, что сразу даже не поймешь :)
комментариев: 450 документов: 10 редакций: 13
Это содержимое инсталлятора, так называемая портабельная версия, которую уже кто-то запускал (файл Configuration.xml остался) Инсталлятор предлагает установить (файлы, драйвер) или только распаковать портабельные файлы в нужную папку, вот последнее это оно и есть.
Результат работы православного инсталлятора:
Сравнивайте.
комментариев: 48 документов: 4 редакций: 0
Снова вы выручили.
Все "шашки" сошлись тютелька в тютельку :)
И если это уже "юзаная" версия, то смысла в ее дальнейшем храанении, если уже есть оригинальная с подписью, нет, и можно ее грохнуть?
Правда, тут есть отдельный TrueCrypt Format.exe – это просто формат или шредер?
Если последнее, то иногда возникает возможность использовать отдельную утилиту для зачистки физического без создания криптодиска, но только не знаю, имеет ли смысл брать ее с этого неполноценного дистра.