Сабж. Оффсайт truecrypt.org редиректит на страничку http://truecrypt.sourceforge.net/ на которой предлагается мигрировать с TC на встроенные в ОС средства:
Там же предлагается скачать "новую" версию TC, предназначенную якобы для миграции и подписанную (sic!) официальным GPG ключом проекта. Дифф исходников master ветки и 7.2 (https://github.com/warewolf/truecrypt/compare/master...7.2) также наводит на размышления. Подробности пока неизвестны, представители команды разработчиков TC молчат.
Здравствуйте, wildwind, Вы писали: W>Здравствуйте, kochetkov.vladimir, Вы писали:
W>Поправлю: "сайт Truecrypt разломали" — точнее и без желтизны. W>P.S. Слухи, версии...
И скачали с него GPG ключ проекта, ага Когда хаксоры помимо дефейса сайта, получают также доступ к репозиторию, вносят туда существенные изменения и подписывают новую сборку официальным ключем — это уже как бы чуть дальше взлома сайта, не находишь? Впрочем, есть также вариант, что все это затеяли сами авторы проекта (добровольно или под давлением — хз). Но в любом случае, уже известных на данный момент фактов достаточно, чтобы считать _приложение_ TC скомпрометированным.
А есть ли другая программа для шифрования большого объема информации (организованное множество файлов — диск или каталог), которая умеет по "неправильному" паролю отдавать "фальшивые" данные (аналог hidden volume в TrueCrypt)?
Здравствуйте, jahr, Вы писали:
J>А есть ли другая программа для шифрования большого объема информации (организованное множество файлов — диск или каталог), которая умеет по "неправильному" паролю отдавать "фальшивые" данные (аналог hidden volume в TrueCrypt)?
Тут много разного https://en.wikipedia.org/wiki/Comparison_of_disk_encryption_software. А вот полноценного сравнительного обзораоного я не видел.
Здравствуйте, hi_octane, Вы писали:
KV>>(добровольно или под давлением — хз).
_>Замена U.S. на United States по всем файлам намекает как раз на давление с определённой стороны.
Да, сейчас основной версией как раз и является то, что это их warrant cannary. Но если это так, то это также говорит о том, что в TC таки был бэкдор, которым сейчас хотят воспользоваться (иначе с чего бы им затевать всю эту шумиху?).
KV>Да, сейчас основной версией как раз и является то, что это их warrant cannary. Но если это так, то это также говорит о том, что в TC таки был бэкдор, которым сейчас хотят воспользоваться (иначе с чего бы им затевать всю эту шумиху?).
warrant cannary — что это?
Мне кажется наоборот. Это говорит о том что бэкдора не было. А вот в том что он есть в виндозном BitLocker я практически уверен.
Здравствуйте, kochetkov.vladimir, Вы писали:
BE>>warrant cannary — что это?
KV>Способ косвенно сообщить публике о давлении властей, когда существует юридический запрет делать это напрямую.
Тогда действительно получается что бэкдора не было. Хотя это конечно только догадка
Здравствуйте, kochetkov.vladimir, Вы писали:
_>>Замена U.S. на United States по всем файлам намекает как раз на давление с определённой стороны.
KV>Да, сейчас основной версией как раз и является то, что это их warrant cannary. Но если это так, то это также говорит о том, что в TC таки был бэкдор, которым сейчас хотят воспользоваться (иначе с чего бы им затевать всю эту шумиху?).
Недавно странный момент заметил. Мой проект лежит в сторадже Truecrypt, который лежит в дропбоксе.
Недавно, на этой неделе, в то время как сторадж был замаунчен, дропбокс разродился сообщением, что он не может синкнуть файл стораджа. Откуда пришло это изменение и в чём оно состояло — установить не удалось А фишка в том, что я уже несколько месяцев работаю и меняют этот сторадж только с одной машины и пароль есть только у меня.
Здравствуйте, hi_octane, Вы писали:
_>Замена U.S. на United States по всем файлам намекает как раз на давление с определённой стороны.
Это же не люди вручную чрез find + sed делали. Это IDE втихаря поменяла.
Кто MSVS пользуется, наверняка скажет, что это последствия установки какого-нибудь SP1 для VS2012.
KV>Да, сейчас основной версией как раз и является то, что это их warrant cannary. Но если это так, то это также говорит о том, что в TC таки был бэкдор, которым сейчас хотят воспользоваться (иначе с чего бы им затевать всю эту шумиху?).
А если бэкдор был только в том что авторов заставили сдать все приватные ключи и сертификаты для подписей? Тогда можно втюхивать целевым пользователям (или тотально раздавать всему миру) честно подписанные кастом-билды с бэкдорами через "файрволл посередине всех", и готово. Имхо это самый лёгкий путь при наличии бесконечного административного ресурса.
Здравствуйте, Nikе, Вы писали:
N>Недавно странный момент заметил. Мой проект лежит в сторадже Truecrypt, который лежит в дропбоксе. N>Недавно, на этой неделе, в то время как сторадж был замаунчен, дропбокс разродился сообщением, что он не может синкнуть файл стораджа. Откуда пришло это изменение и в чём оно состояло — установить не удалось А фишка в том, что я уже несколько месяцев работаю и меняют этот сторадж только с одной машины и пароль есть только у меня.
То есть, это намек на то, что кто-то на стороне дропбокса изменил контейнер?
Здравствуйте, Michael7, Вы писали:
N>>Недавно, на этой неделе, в то время как сторадж был замаунчен, дропбокс разродился сообщением, что он не может синкнуть файл стораджа. Откуда пришло это изменение и в чём оно состояло — установить не удалось А фишка в том, что я уже несколько месяцев работаю и меняют этот сторадж только с одной машины и пароль есть только у меня.
M>То есть, это намек на то, что кто-то на стороне дропбокса изменил контейнер?
Здравствуйте, Аноним, Вы писали:
А>Здравствуйте, jahr, Вы писали:
J>>А есть ли другая программа для шифрования большого объема информации (организованное множество файлов — диск или каталог), которая умеет по "неправильному" паролю отдавать "фальшивые" данные (аналог hidden volume в TrueCrypt)? А>Тут много разного https://en.wikipedia.org/wiki/Comparison_of_disk_encryption_software. А вот полноценного сравнительного обзораоного я не видел.
Здравствуйте, kochetkov.vladimir, Вы писали:
W>>Поправлю: "сайт Truecrypt разломали" — точнее и без желтизны.
KV>И скачали с него GPG ключ проекта, ага Когда хаксоры помимо дефейса сайта, получают также доступ к репозиторию, вносят туда существенные изменения и подписывают новую сборку официальным ключем — это уже как бы чуть дальше взлома сайта, не находишь?
Намного дальше, согласен. Но все же не "Truecrypt разломали". Взлом продукта — это нахождение в нем и эксплуатация критической уязвимости, чему пока нет никаких свидетельств.
Здравствуйте, Аноним, Вы писали:
А>Здравствуйте, jahr, Вы писали:
J>>А есть ли другая программа для шифрования большого объема информации (организованное множество файлов — диск или каталог), которая умеет по "неправильному" паролю отдавать "фальшивые" данные (аналог hidden volume в TrueCrypt)? А>Тут много разного https://en.wikipedia.org/wiki/Comparison_of_disk_encryption_software. А вот полноценного сравнительного обзораоного я не видел.
Из поддерживаемого опенсорса, работающего под виндой, — только ProxyCrypt умеет делать hidden-контейнеры, да и вообще под виндой он, похоже, — единственная сравнимая по функциональности альтернатива.(
Здравствуйте, jahr, Вы писали:
J>Здравствуйте, Аноним, Вы писали:
А>>Здравствуйте, jahr, Вы писали:
J>>>А есть ли другая программа для шифрования большого объема информации (организованное множество файлов — диск или каталог), которая умеет по "неправильному" паролю отдавать "фальшивые" данные (аналог hidden volume в TrueCrypt)? А>>Тут много разного https://en.wikipedia.org/wiki/Comparison_of_disk_encryption_software. А вот полноценного сравнительного обзораоного я не видел.
J>Из поддерживаемого опенсорса, работающего под виндой, — только ProxyCrypt умеет делать hidden-контейнеры, да и вообще под виндой он, похоже, — единственная сравнимая по функциональности альтернатива.(
а в чем проблема форкнуть 7.1а версию даже под той-же самой лицензией, пересобрав бинари и подписав их новыми ключами ?
Здравствуйте, mike_rs, Вы писали:
_>Здравствуйте, jahr, Вы писали:
J>>Здравствуйте, Аноним, Вы писали:
А>>>Здравствуйте, jahr, Вы писали:
J>>>>А есть ли другая программа для шифрования большого объема информации (организованное множество файлов — диск или каталог), которая умеет по "неправильному" паролю отдавать "фальшивые" данные (аналог hidden volume в TrueCrypt)? А>>>Тут много разного https://en.wikipedia.org/wiki/Comparison_of_disk_encryption_software. А вот полноценного сравнительного обзораоного я не видел.
J>>Из поддерживаемого опенсорса, работающего под виндой, — только ProxyCrypt умеет делать hidden-контейнеры, да и вообще под виндой он, похоже, — единственная сравнимая по функциональности альтернатива.(
_>а в чем проблема форкнуть 7.1а версию даже под той-же самой лицензией, пересобрав бинари и подписав их новыми ключами ?
В том, что непонятно — будет ли форк поддерживаться. Микрософт много интересного в своих операционках еще придумать может, да и не он один.) Если найдутся разработчики, которые подхватят форк трукрипта, — будет хорошо, хотя определенные опасения на их счет, конечно, будут.)
Re[5]: ProxyCrypt
От:
Аноним
Дата:
29.05.14 12:27
Оценка:
Здравствуйте, mike_rs, Вы писали:
_>а в чем проблема форкнуть 7.1а версию даже под той-же самой лицензией, пересобрав бинари и подписав их новыми ключами ?
Ситуация с трукриптом вообще непонятная.
1. Трукрипт известен тем, что новые версии появлялись чрезвычайно редко и без шумихи. Сейчас появляется нечто с большим шумом под неким странным обоснованием несовместимости с Windows новее XP (что ложь, ну почти).
2. Непонятно, есть ли дыра в старых версиях или она внесена в новую или вообще это спланированная атака против трукрипта.
3. Смущает уже даже то, что местный "главный по безопасности" вбросил и ничего взамен не предложил. Очень странный вброс в стиле местной "Политики" и местных админов с модераторами.
4. Если есть дырка в старых версиях трукрипта, то в чем она заключается. А если неизветсно, то какой смысл в форке.
Ну и напоследок интересно, что мыщьх скажет, или он опять грибы жрет и не в курсах с труккриптом.
Здравствуйте, wildwind, Вы писали:
W>Намного дальше, согласен. Но все же не "Truecrypt разломали". Взлом продукта — это нахождение в нем и эксплуатация критической уязвимости, чему пока нет никаких свидетельств.
Это не взлом, это разлом. Когда ты, скажем, стул разламываешь на шесть частей, так что он становится негодным — только выкинуть, так и тут — разломали.
Здравствуйте, <Аноним>, Вы писали:
А>3. Смущает уже даже то, что местный "главный по безопасности" вбросил и ничего взамен не предложил.
Я хз, кто меня тут выбирал главным и почему меня не спросили, но мне неизвестны какие-либо альтернативы TC, которым можно было бы доверять настолько же, насколько можно было доверять этому продукту.
А>Очень странный вброс в стиле местной "Политики" и местных админов с модераторами.
Я в политике не участвую и даже ее не читаю, уж извини — не понял, о чем ты
Здравствуйте, Nikе, Вы писали:
M>>То есть, это намек на то, что кто-то на стороне дропбокса изменил контейнер?
N>Не исключено.
Странно это. Потому что зачем им палиться с изменениями, если уж нашли способ вскрывать, делали бы это тихо.
Более похоже на какой-нибудь сбой при передаче данных.
Здравствуйте, Michael7, Вы писали:
M>Странно это. Потому что зачем им палиться с изменениями, если уж нашли способ вскрывать, делали бы это тихо. M>Более похоже на какой-нибудь сбой при передаче данных.
Я не настаиваю, просто отметил такой глюк за несколько дней до этого сообщения. Других глюков с труекриптом не помню уже года два.
Нужно разобрать угил.
Re[7]: ProxyCrypt
От:
Аноним
Дата:
29.05.14 13:28
Оценка:
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Я хз, кто меня тут выбирал главным и почему меня не спросили, но мне неизвестны какие-либо альтернативы TC, которым можно было бы доверять настолько же, насколько можно было доверять этому продукту.
А на чем основывается твое такое доверие?
В любом продукте могут быть баги (и с вероятностью близкой к 1 они там есть).
Ну и есть куча еще подобных продуктов, ссылку на Вики я уже приводил.
Ну и нет уверенности, что трукрипт скомпроментирован, а не попытка его скомпроментировать таким образом (стиль изменения их сайта в корне отличается от подачи новостей ими ранее — сейчас там подаче в стиле "ааааа, все пропало и хавайся у бульбу").
KV>Такие дела
у меня такое очучение, что современные продукты связанные с безопасностью нужно делать от анонимного лица, только через какой-нить tor и размещать непонятно где, чтобы никто никогда не понял кто это делает и как это можно забанить
Здравствуйте, __kot2, Вы писали:
KV>>Такие дела __>у меня такое очучение, что современные продукты связанные с безопасностью нужно делать от анонимного лица, только через какой-нить tor и размещать непонятно где, чтобы никто никогда не понял кто это делает и как это можно забанить
С этим будут бороться, там размещая анонимно триллионы вариантов левого софта. Создание ложных целей дешево.
Здравствуйте, FireShock, Вы писали:
FS>Потом отпишись, что нашел
Да я вроде как уже, чуть ниже — ProxyCrypt.) Правда, у меня требования специфические — винда, опен-сорс, хидден-разделы.)
Выглядит, кстати, на первый взгляд неплохо. И, боюсь ошибиться, но, поскольку это прослойка между пользователем и драйвером виртуального диска, — потенциал к кроссплатформенности есть, как мне кажется.
Здравствуйте, Sharowarsheg, Вы писали:
S>Это не взлом, это разлом. Когда ты, скажем, стул разламываешь на шесть частей, так что он становится негодным — только выкинуть, так и тут — разломали.
Предлагаю остановиться на формулировке "взломали разработчиков Truecrypt".
Немного конспирологии. Truecrypt — продукт с большим потенциалом. Он стабильный, заслуживший некоторую репутацию, востребованный на рынке. Причем востребованность в подобных продуктах растет с каждым годом. Но массовый рынок он не завоевал. От массового распространения, в том числе в корп. и гос. секторе, его долгое время удерживало отсутствие нормального аудита и сертификаций. И вот, наконец, собрали деньги, начали аудит, и скоро он уже должен завершиться с вердиктом (предположим) "Все чисто". Дальше начнется массовое распространение TC везде и всюду, и, как следствие, продукт получит дальнейшее развитие (появятся новые фичи, будет улучшен интерфейс, интеграция в ОС и т.д.). Получается, что этот странный ход (как бы он ни был технически осуществлен) направлен против массового применения TC и увеличения его доли на рынке. И тот, кто этот ход провернул, знал предполагаемые результаты аудита. (Если бы результат был "все плохо", никакого дополнительного хода не требовалось бы.)
Если задавать вопрос "кому выгодно", то из этого списка значимых игроков только трое: Microsoft, McAfee и Symantec. Правда их доли именно в этой нише неизвестны. Плюс еще одна контора, трехбуквенная, куда ж без нее. Где-то в слайдах снежного человека проскакивало, что это большое шило в заднице, одно из.
Здравствуйте, wildwind, Вы писали:
W> Получается, что этот странный ход (как бы он ни был технически осуществлен) направлен против массового применения TC и увеличения его доли на рынке. И тот, кто этот ход провернул, знал предполагаемые результаты аудита. (Если бы результат был "все плохо", никакого дополнительного хода не требовалось бы.)
Посмотрим за развитием событий, потому что я так понял, что деньги на вторую фазу аудита имеются и отказываться от него никто не собирается. То есть, скорее всего, будет проведен. Лицензия на TC позволяет его любому распространять. Можно и форкнуть даже, но под другим именем.
Ну значит или в битлокере троян, или в трукрипте.
Отсюда логичный вывод — храните все планы по завоеванию мира втайне от санитаров в трукриптовом контейнере лежащем на битлокеровском диске. И на всякий случай в winrar'овским запароленном архиве с подправленным заголовком, а чтоб никто и не догадался что это winrar — допишите его в хвост к хоумвидео, снятому специально к этому случаю и нигде больше не выложенному. По кр мере если все вышеперечисленные программы окажутся компрометированны, то есть шанс что агент008, добравшись до финального файла — ненадолго отвлечется и вы сможете выпрыгнуть в окно.
Как много веселых ребят, и все делают велосипед...
Здравствуйте, jahr, Вы писали:
J>Да я вроде как уже, чуть ниже — ProxyCrypt.) Правда, у меня требования специфические — винда, опен-сорс, хидден-разделы.)
Здравствуйте, wildwind, Вы писали:
W>Если задавать вопрос "кому выгодно", то из этого списка значимых игроков только трое: Microsoft, McAfee и Symantec. Правда их доли именно в этой нише неизвестны. Плюс еще одна контора, трехбуквенная, куда ж без нее.
Здравствуйте, Аноним, Вы писали:
А>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Я хз, кто меня тут выбирал главным и почему меня не спросили, но мне неизвестны какие-либо альтернативы TC, которым можно было бы доверять настолько же, насколько можно было доверять этому продукту. А>А на чем основывается твое такое доверие?
Мне тоже интересно. (Хе, доверие-то не оправдалось.)
А ещё — могут ли аналогичным образом нагнуть разрабов опенсорцного dmcrypt?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Сабж. Оффсайт truecrypt.org редиректит на страничку http://truecrypt.sourceforge.net/ на которой предлагается мигрировать с TC на встроенные в ОС средства:
<...> KV>Такие дела
<off>
Если можно, небольшое отступление от темы для поднятия настроения. Недавно одна группа исследователей за 2 часа взломала перспективный код шифрования (Researchers crack unassailable encryption algorithm in two hours). Казалось бы, ничего особенного, да только вот первоначально предполагалось, что взлом этого кода потребовал бы работы всех компьютеров на Земле в течение времени, в 40 тысяч раз превышающего возраст Вселенной.
</off>
Здравствуйте, Lazytech, Вы писали:
L><off> L>Если можно, небольшое отступление от темы для поднятия настроения. Недавно одна группа исследователей за 2 часа взломала перспективный код шифрования (Researchers crack unassailable encryption algorithm in two hours). Казалось бы, ничего особенного, да только вот первоначально предполагалось, что взлом этого кода потребовал бы работы всех компьютеров на Земле в течение времени, в 40 тысяч раз превышающего возраст Вселенной. L></off>
А так и бывает когда "перспективный код шифрования" делают полудурки не разбирающиеся в криптографии, зато умеющие умножать возраст вселенной.
Нет. Получается, что де-факто вся годная криптография сделана в америке.
Re[4]: Truecrypt разломали
От:
Аноним
Дата:
06.06.14 12:58
Оценка:
Здравствуйте, Sharowarsheg, Вы писали:
S>Нет. Получается, что де-факто вся годная криптография сделана в америке.
И что? Какое это имеет отношение к свидетельству канарейки в случае трукрипта?
S>Нет. Получается, что де-факто вся годная криптография сделана в америке.
А как же опенбсдишники, смотавшиеся когда-то в Канаду, чтоб крипт. алгоритмы
и протоколы можно было распространять. А у них их целый арсенал, как реализаций,
так и собcтсвенных разработок. Недавно внедрили запилы этого товарища.
И что-то зажимание всего криптохозяйства в openbsd не наблюдается.
Здравствуйте, smeeld, Вы писали:
S>>Нет. Получается, что де-факто вся годная криптография сделана в америке.
S>А как же опенбсдишники, смотавшиеся когда-то в Канаду, чтоб крипт. алгоритмы S>и протоколы можно было распространять. А у них их целый арсенал, как реализаций, S>так и собcтсвенных разработок. Недавно внедрили запилы этого товарища. S>И что-то зажимание всего криптохозяйства в openbsd не наблюдается.
Что-то я не видел никого, кто ради шифрованных дисков ставил бы себе OpenBSD. Всё как-то TrueCrypt да BitLocker. Разрабатывать можно что угодно, а вот заставить кого-то этим пользоваться уже сложнее.
Здравствуйте, Аноним, Вы писали:
А>Здравствуйте, Sharowarsheg, Вы писали:
S>>Нет. Получается, что де-факто вся годная криптография сделана в америке. А>И что? Какое это имеет отношение к свидетельству канарейки в случае трукрипта?
Что трукрипт, будучи в америке, потому что больше ему неоткуда быть, вынужден подчиняться законодательству своего государства.
S>Что-то я не видел никого, кто ради шифрованных дисков ставил бы себе OpenBSD. Всё как-то TrueCrypt да BitLocker. Разрабатывать можно что угодно, а вот заставить кого-то этим пользоваться уже сложнее.
Скажите, а среди какой аудитории и категории пользователей вы наблюдали пользование и непользование?
Здравствуйте, smeeld, Вы писали:
S>>Что-то я не видел никого, кто ради шифрованных дисков ставил бы себе OpenBSD. Всё как-то TrueCrypt да BitLocker. Разрабатывать можно что угодно, а вот заставить кого-то этим пользоваться уже сложнее.
S>Скажите, а среди какой аудитории и категории пользователей вы наблюдали пользование и непользование?
Среди девелоперов и всяких полукриминальных элементов.
Здравствуйте, Sharowarsheg, Вы писали:
S>Среди девелоперов и всяких полукриминальных элементов.
Не хочется капитанить, но openbsd идеально подходит для
шифрования данных, их хранения и обмена ими. Тем более, что для
слабых/средних ноутбуков, этаких рабочих инструментов, эта ОС тоже идеальна.
На западе эта ОСь втихую используется по назначению много где, включая недры
корпораций вроде гугла и adobe. Не понимаю как, для хранения конфиденциальных
можно использовать монстрообразные, блобастые Win и Mac, и инструменты из этих ОС,
вроде сабжа.
Здравствуйте, smeeld, Вы писали:
S>>Среди девелоперов и всяких полукриминальных элементов.
S>Не хочется капитанить, но openbsd идеально подходит для S>шифрования данных, их хранения и обмена ими.
Данные надо не только хранить, но и работать с ними. Тут OpenBSD не очень, и приходится пользоваться монструозной вендой.
Здравствуйте, Sharowarsheg, Вы писали:
S>Здравствуйте, smeeld, Вы писали:
S>>>Среди девелоперов и всяких полукриминальных элементов.
S>>Не хочется капитанить, но openbsd идеально подходит для S>>шифрования данных, их хранения и обмена ими.
S>Данные надо не только хранить, но и работать с ними. Тут OpenBSD не очень, и приходится пользоваться монструозной вендой.
а чем плох вариант взять реализацию криптования из OpenBSD а самим сделать только драйвера для win
Здравствуйте, sergey2b, Вы писали:
S>>Данные надо не только хранить, но и работать с ними. Тут OpenBSD не очень, и приходится пользоваться монструозной вендой. S>а чем плох вариант взять реализацию криптования из OpenBSD а самим сделать только драйвера для win
Вот это точно не получится, в openbsd реализации тесно связаны с ядром, содержат
работающие в пространстве ядра составляющие. Так что просто портировать не получится.
Тот же openssh в openbsd особенный, с эталонной, так сказать, реализацией. Для других
ОС предоставлена другая его реализация, без привязки к ядру именно openbsd. К слову эти
реализации для других ОС считается не только "хуже", но и вообще, как утверждает Тео,
содержат серьёзные дыры.
Здравствуйте, sergey2b, Вы писали:
S>>>openbsd идеально подходит для шифрования данных, их хранения и обмена ими.
S>>Данные надо не только хранить, но и работать с ними. Тут OpenBSD не очень, и приходится пользоваться монструозной вендой. S>а чем плох вариант взять реализацию криптования из OpenBSD а самим сделать только драйвера для win
Всем хорош, кроме того, что если это и сделают, то опять американцы придут и потребуют бэкдор.
Когда хаксоры помимо дефейса сайта, получают также доступ к репозиторию, вносят туда существенные изменения и подписывают новую сборку официальным ключем — это уже как бы чуть дальше взлома сайта, не находишь? Впрочем, есть также вариант, что все это затеяли сами авторы проекта (добровольно или под давлением — хз). Но в любом случае, уже известных на данный момент фактов достаточно, чтобы считать _приложение_ TC скомпрометированным.
