Zian

Stawiam na podmianę strony, a jeśli nie podmianę, to na przekabacenie autora przez służby. Zamknięte programy alternatywą? Nigga, pliz!

grzegorz_brzeczyszczykiewicz

@Zian: W szczegolnosci namawianie do Bitlockera... Ale juz wczesniej spotkalem sie ze stwierdzeniami ze TC przestanie byc rozwijany i na pewno nie planuje sie wsparcia dla win 8.

Writer

@Zian: BTW jakieś otwarte alternatywy, anyone?

Zian

@Writer: Równie prosty, ale nie tak rozwinięty, jest Diskcryptor (Windows). Poza tym są klony TC na Linuksa z inną licencją, np. RealCrypt.

akerro

@Kuraito: AxCrypt nie jest alternatywą dla TC. AxCrypt nie szyfruje dysków ani wolumenów ani kontenerów, a jedynie pliki, a ogólnie jest polecany, jest wygodny i przyjazny użytkownikom.

akerro

@grzegorz_brzeczyszczykiewicz: Stwierdziłem, że nie wrzucam tego do treści, bo raz mnie to nie obchodzi, dwa jak ktoś używa TC i ufa jego anonimowym deweloperom to jest sam sobie winny, jest kilka alternatyw, które mają wykonane audyty, deweloperzy są znani. Licencja TC wbrew obiegowej opinii ekspertów wykopów NIE JEST OPENSOURCE, nie jest również free-software. Jeśli ktoś ufa TCowi, to nie powinien mieć żadnych problemów by zaufać BitLockerowi od M$.

grzegorz_brzeczyszczykiewicz

@akerro: A masz jakiekolwiek dowody na to że nie można mu ufać? Bo wiesz korzystasz z bitcoina który również został stworzony przez anonima :P. Do tej pory nie było żadnych podstaw żeby oskarźać TC o cokolwiek, ani jednego dowodu na przełamanie zabezpieczeń czy złośliwe działanie kodu. Audyt tego też nie potwierdził.

borysses

@akerro: BitLocker był określany jako niebezpieczny i posiadający backdoora od samego początku. Z tego co pamiętam to miał potencjalnie dwa backdoory, jeden z poziomu systemu i jeden z poziomu TPM czy też obecność tegoż w TPM wpływa na bezpieczeństwo BL. Ale może coś mi się merda.

akerro

A masz jakiekolwiek dowody na to że nie można mu ufać? Bo wiesz korzystasz z bitcoina który również został stworzony przez anonima

@grzegorz_brzeczyszczykiewicz: To oczywiście nieprawda, specyfikacja techniczna kryptowalut została stworzona przez anonimową osobę, ale kod źródłowy został napisany przez znaną wszystkim społeczność, a potem oddany do Bitcoin Foundation.

A masz jakiekolwiek dowody na to że nie można mu ufać?

Identyczna sytuacja jak z BitLockerem... jednak BL został certyfikowany, kilkukrotnie zaudytowany, stworzony przez znanych z imienia i nazwiska programistów pracujących dla M$. TC stworzony przez nikogo, domena kupiona w Czechach, a serwer w USA. Czemu ktoś miałby kupować domenę w Czechach? Ano bo prawo w Czechach zezwala na nietrzymanie logów. za żadną usługę cyfrową nie musisz mieć rachunku, ani danych kupcy, ani daty kiedy doszło do handlu.

Masz podstawy, żeby ufać/nie ufać BitLockerowi?

akerro

@borysses: Czytałem, że obsługę TMPw BL można wyłączyć, a zewnętrzne audyty nie wykazały słabości. Na rzecz BL wpływa, też to, że jest wbudowany w OS więc trudniej "podrobić" pliki binarne, bo musisz też zmodyfikować API OS.

Audyt tego też nie potwierdził.

@grzegorz_brzeczyszczykiewicz: Audyt nie został skończony, a zespół audytujący ma nam ogłosić coś ważnego w ciągu tygodnia.

grzegorz_brzeczyszczykiewicz

@akerro:

Masz podstawy, żeby ufać/nie ufać BitLockerowi?

Hmmm jakies 2 backdoory + oswiadczenie programisty BL o tym ze chciano od niego by umiescil jednego? Oraz znane podejscie M$ do wspolpracy z agencjami? Pokaz mi dowody ze TC jest niebezpieczny, chociaz jeden przypadek ze ktos poplynal na jego bezpieczenstwie, lub ktos probowal przy nim majstrowac. Poki co o takim nie slyszalem. A chyba by nie przeszlo bez echa.

Identyczna sytuacja jak z BitLockerem... jednak BL został certyfikowany,

Wez prosze Cie, google tez jest certyfikowane ;]

TC stworzony przez nikogo, domena kupiona w Czechach, a serwer w USA. Czemu ktoś miałby kupować domenę w Czechach?

To też nie jest do końca prawdą:

Portions of this software are based in part on the works of the following people: Paul Le Roux, Bruce Schneier, John Kelsey, Doug Whiting, David Wagner, Chris Hall, Niels Ferguson, Lars Knudsen, Ross Anderson, Eli Biham, Joan Daemen, Vincent Rijmen, Phillip Rogaway, Hans Dobbertin, Antoon Bosselaers, Bart Preneel, Paulo Barreto, Brian Gladman, Wei Dai, Peter Gutmann, and many others.
Portions of this software:
Copyright © 2003-2012 TrueCrypt Developers Association. All Rights Reserved.
Copyright © 1998-2000 Paul Le Roux. All Rights Reserved.
Copyright © 1998-2008 Brian Gladman. All Rights Reserved.
Copyright © 2002-2004 Mark Adler. All Rights Reserved.
This software as a whole:
Copyright © 2012 TrueCrypt Developers Association. All rights reserved.
A TrueCrypt Foundation Release

http://fossies.org/dox/TrueCrypt-7.1a-Source/AboutDialog_8cpp_source.html

Audyt nie został skończony, a zespół audytujący ma nam ogłosić coś ważnego w ciągu tygodnia.

Audyt zostal skonczony. A to ogloszenie nie tyczy sie TC info od autora:

@Costly no idea. The announcement was about a
new Open Crypto Audit Project initiative, not TC
~Kenn White

Zespol audytowy potwierdzil ze nie znalazl nic podejrzanego w TC. Jak dla mnie sa 2 najbardziej realne opcje. TC konczy w stylu Lavabit czyli jednak autor/autorzy nie dochowali anonimowosci i panownie w garniturach zlozyli im propozycje na ktora nie mogli przystac, dlatego calkowity shutdown porojektu. Druga opcja jest rage quit developerow ktorzy nie dostawali z tego takiej kasy jaka by chcieli (takie cos juz sie zdarzalo w historii). W nocy naszego czasu mial byc wywiad ze Snowdenem ktory mial poruszyc kwestie TC. Nie wiem czy juz jest na necie ale niektorzy uwazali ze to dziwny zbieg okolicznosci.

borysses

@akerro: No i tutaj dochodzimy do kwestii prawnych. Wcześniejsza ustawa o eksporcie technologii zabrania twórcom których firmy znajdują się na terenie USA oferowaniu produktów poza stanami z tym samym poziomem bezpieczeństwa (jeśli masz program szyfrujący w 1024bit to poza USA możesz oferować wersje z maksymalnie 768bit). A patriot act z pobocznościami wymaga od firm z siedzibami na terenie USA tworzenie backdoora dla służb. Nie dotyczy to firm bez siedziby w USA, ale za to ich produkty dostarczane na rynek USA muszą być backdoorowane.

Nie wiem jak jest to wymuszane, nie wiem czy dzieje się tak z automatu czy dopiero na wyraźne polecenie służb. Faktem jest, ze ufanie produktom z kraju "wolności" jest niebezpieczne.

Zauważ, że po tym jak ogłoszono, ze Skype jest praktycznie niemożliwy do podsłuchiwania w ciągu kilku miesięcy został kupiony przez MS i zrezygnowano z P2P na architekturę z centralnym serwerem. Od tego czasu juz nie mówi się, że Skype jest bezpieczny (mimo, że wcześniej należał do Ebaya to jednak deweloperzy mieli wolną ręke i Ebay nie ingerował w to co robili zbytnio)

akerro

@grzegorz_brzeczyszczykiewicz:

Portions of this software are based in part on the works of the following people: Paul Le Roux, Bruce Schneier, John Kelsey, Doug Whiting, David Wagner, Chris Hall, Niels Ferguson, Lars Knudsen, Ross Anderson, Eli Biham, Joan Daemen, Vincent Rijmen, Phillip Rogaway, Hans Dobbertin, Antoon Bosselaers, Bart Preneel, Paulo Barreto, Brian Gladman, Wei Dai, Peter Gutmann, and many others.
Portions of this software:

no właśnie, posprawdzaj sobie w wiki kim są ci ludzie ;) jeden to współtwórca powershella, inny scandiska, inny to kryptograf, jeszcze inny to developer PGP na windowsa... to autorzy, którzy pisali kod albo recenzje kodu, który został użyty przy tworzeneniu TC, czy ludzie, którzy piszą Qt są też twórcami Skype (który jest napisany w Qt)? Pośród tych nazwisk nikt nie przyznaje się do bycia bezpośrednim autorem TC.

Audyt zostal skonczony. A to ogloszenie nie tyczy sie TC info od autora:

Update April 14, 2014: Phase I of the audit is complete, and report is available. Phase II begins on the formal cryptanalysis. Follow #istruecryptauditedyet on Twitter for updates.

TC konczy w stylu Lavabit czyli jednak autor/autorzy nie dochowali anonimowosci i panownie w garniturach zlozyli im propozycje na ktora nie mogli przystac, dlatego calkowity shutdown porojektu. Druga opcja jest rage quit developerow ktorzy nie dostawali z tego takiej kasy jaka by chcieli (takie cos juz sie zdarzalo w historii).

No i w obu wypadkach nie należy im ufać ;D

W nocy naszego czasu mial byc wywiad ze Snowdenem ktory mial poruszyc kwestie TC. Nie wiem czy juz jest na necie ale niektorzy uwazali ze to dziwny zbieg okolicznosci.

http://www.reddit.com/r/privacy/

Kuraito

jest kilka alternatyw, które mają wykonane audyty @akerro

Podasz?

akerro

A tutaj najciekawszy komentarz na temat TC7.2 :> Tak bardzo przypadek, tak bardzo "koniec rozwoju".

borysses

@akerro:

Visual Studio switched from generating "U.S." to "United States" in VS2010. Hence it is probably just the author having upgraded their VS at some point recently.

akerro

@borysses: I tutaj pytanie... czy VS automatycznie edytuje JUŻ ISTNIEJĄCE komentarze czy tylko te, które piszesz w danym momencie? Na HD ani reddicie nie ma zgodności do tego ;D

borysses

@akerro: Ciekawe. Dziwne by to było gdyby edycja dotyczyła istniejących komci.

Kuraito

@wysuszony: Wyczytałem na truecrypt.ch, że:

There are no signs that there is any known security problem within TrueCrypt 7.1a and the audit will go on uninterrupted. Even though the trust into the developer team has diminshed drastically, we believe that there needs to be an Open Source, Cross plattform fulldisk encryption option.

Czyli niby wszystko jest w porządku.

wysuszony

@Kuraito: Po tej stronie sądząc, to nie ma się co martwić o przyszłość TrueCrypta. Oczywiście jeśli audyt zostanie wykonany do końca i nie wykaże żadnych nieprawidłowości.