Vlákno názorů k článku Konec TrueCryptu: co je za ním? (aktualizováno) od Radek999 - Podle toho, co sleduji posledního 1.5 roku, tak...
-
Radek999 (neregistrovaný)
Podle toho, co sleduji posledního 1.5 roku, tak se mi zdá, že:
- nebylo vybráno dostatek peněz (z cílového limitu jenom 19%)
- i když byl zrušen limit pro výběr financí a hláška o dar integrována do instalátoru, tak se stále nedařilo vybrat dostatek financí pro další vývojJedná se o můj názor...
-
Filip JirsákStříbrný podporovatelJak jinak se to tedy dělá?
Kdyby ve vývoji autoři nechtěli pokračovat a nechtěli absolvovat (potenciálně až do nekonečna) kolečka „bez podpory končíme“ – odpověď „komunity“ „nekončete, podpoříme vás“ – autoři „nikdo nás nepodpořil, opravdu končíme“ – odpověď „komunity“ „tentokrát vás fakt podpoříme, nekončete“, jak by ten projekt jinak měli ukončit? Nabídli alternativu, která je podle jejich nejlepšího svědomí adekvátní náhradou. Zároveň vědí, že už nebudou bezpečnost TrueCryptu řešit a ověřovat, tím pádem sami nadále nepovažují TrueCrypt za bezpečný – a to také napíšou na web.
Mně to připadá jako férové vyjádření od lidí, kteří bezpečnosti rozumí a kteří nevěří, že neudržovaný software je bezpečný.
-
sachy (neregistrovaný)
A smazání předchozích verzí, zdrojáků a deface webu okecáte jak?
Seriozní vyjádření je "hosting je zaplacený do xx.yy.zzzz, tak sbohem a díky za ryby." + třeba vyjasnění co s licencí po datu opuštění.
Kdybyste se podíval na diff zdrojáků 7.1a a 7.2, uvidíte i vývoj a refaktoring nové verze, která už nevyšla.
-
Filip JirsákStříbrný podporovatel
A smazání předchozích verzí, zdrojáků a deface webu okecáte jak?
Jste si jist, že ty předchozí verze dříve byly zveřejněné? Že nebyla ke stažení k dispozici vždy jen aktuální verze?Pokud si autor není jist bezpečností, je logické, že nebude potenciálně nebezpečné verze publikovat. Možná autor nevyznává alibismus „sice to považuju za nebezpečné, ale zodpovědnost za použití je na vás“.
Kdybyste se podíval na diff zdrojáků 7.1a a 7.2, uvidíte i vývoj a refaktoring nové verze, která už nevyšla.
Kolik toho kódu je a jak je starý? Nikdo neříká, že se autoři rozhodli projekt ukončit hned po vydání verze 7.1a. -
"Nabídli alternativu, která je podle jejich nejlepšího svědomí adekvátní náhradou."
No a to mi na celé věci nesedí nejvíc. Kdyby prostě TrueCrypt skončil, tak ok. Ale proč doporučují prorietální software od firmy, u které je prokázané (a ani se tím moc netají), že spolupracuje s třípísmenovýma agenturama? Na druhou stranu, kdyby je někdo z MS "dostal", tak udělat takouvouto "reklamu" na vlastní produkt je mimořádná hloupost. Uživatelé TrueCryptu na Windows jistě o BitLockeru vědí a vybrali si právě TC. Na BitLocker se jim asi moc chtít přecházet nebude (a obvzlášť po takto zvláštním doporučení).
Tolik můj tok myšlenek, sám v tom příliš jasno nemám, celá ta věc nějak nedává smysl.
-
Filip JirsákStříbrný podporovatel
Já předpokládám, že autoři TrueCryptu bezpečnosti docela rozumí. Takže nečekám, že by nějaké řešení zavrhovali jenom proto, že je od Microsoftu, a Microsoft je zlo. Nebo že by věřili konspiračním teoriím (je to vůbec ještě konspirační teorie, když je to zároveň mainstream?) o tom, jak NSA vše ovládá, vše sleduje a všude má zadní vrátka. Že se firmy chovají podle zákonů země, ve které působí, na tom není nic překvapivého, ani nevím, jak a proč by to měly firmy tajit. Co když se autoři TrueCryptu prostě na BitLocker trochu podívali a věří mu?
Je zajímavé, jak lidé dříve autorům TrueCryptu věřili, ale když se objeví něco, co by mělo být od autorů TrueCryptu a zároveň to zpochybňuje jejich víru (o tom, jak MS&Google&NSA jsou jedno velké zlo), ani na vteřinu neváhají, zda nemůže být něco špatně na jejich víře, a okamžitě obrátí, že i autoři TrueCryptu vlastně patří k tomu zlu a vždycky k němu patřili.
Ano, současné dění kolem TrueCryptu je zvláštní. Ale já bych si pořád ještě rád zachoval kritické myšlení a nepodlehl konspiračním teoriím, pro které platí, že jakákoli nesrovnalost v konspirační teorii je považována za další důkaz její platnosti.
-
mankind_boost (neregistrovaný)
"konspiračním teoriím (je to vůbec ještě konspirační teorie, když je to zároveň mainstream?) o tom, jak NSA vše ovládá, vše sleduje a všude má zadní vrátka."
Jenže ona je to skutečnost, viz vyjádření americké vlády (ve stylu "my si můžem sledovat koho chcem").
"Co když se autoři TrueCryptu prostě na BitLocker trochu podívali a věří mu?"
To je myšleno vážně nebo je to vtip?
-
Filip JirsákStříbrný podporovatel
Ve kterém logickém systému věta "my si můžeme sledovat, koho chceme" dokazuje, že "sledujeme, koho chceme"?
Váš názor na BitLocker vám neberu. Akorát silně pochybuju o tom, že by autoři TC nějaký software posuzovali jenom podle toho, kdo je jeho autorem.
-
Filip JirsákStříbrný podporovatel
Jak se základním způsobem ověřovala bezpečnost TrueCryptu? Tak, že se vzal TC kontejner, o které TC tvrdil, že je zašifrovaný určitou šifrou a klíčem, a tento kontejner se rozšifroval nezávislým programem. Jsou k tomu potřeba zdrojáky TC? Jistě, není to kompletní audit, ale jsou i další možnosti.
Každopádně pokud nějaký anonym v diskusi tvrdí, že BitLocker není bezpečný, protože je od Microsoftu a Microsoft je zlo, nemám žádný důvod mu to věřit. Když se na webu objeví doporučení k přechodu na BitLocker od někoho, kdo s největší pravděpodobností má plný přístup k TC a má správné privátní klíče, určitě se nad tím alespoň zamyslím. Nemusím tomu hned uvěřit, ale je dobré zvážit, na čem se zakládá moje víra, že BitLocker je špatný, na čem se může zakládat víra autorů TC, že BitLocker je ta nejlepší možná náhrada, a jak je pravděpodobné, že je to opravdu vyjádření autorů.
Jaká je tedy vaše představa o těch událostech? Všemocná NSA donutila autory ukončit vývoj a vydat doporučení k přechodu na BitLocker, dala jim čas na vyrobení odstupové verze, a pak už si nedokáže pohlídat, jak bude vypadat jediná webová stránka s oznámením ukončení TC? NSA má páky na to donutit autory TC, aby na tu informační stránku nenapsali pravdu, ale když tam dali něco, o čem bude spousta lidí pochybovat, NSA je za to pochválí? Mně pořád nějak nesedí představa té všemocné a zároveň úplně neschopné NSA.
-
Field (neregistrovaný)
Já si nemyslím, že by je k tomu NSA nutila, proč? Jestli vyhmátli autory a donutili je vytvořit backdoor, tak by naopak měli zájem na tom, aby uživatelé slepě věřili v úplnou bezpečnost a používali TC namísto jiných open alternativ..
Mně se v tomhle případě jeví jako nejpravděpodobnější Lavabit scénář, tj. autoři se zašprajcovali a jako jediné východisko se jim zdálo být ukončení projektu. Je také možné, že ten backdoor už tam byl a jeho odhalení vzhledem k probíhajícímu auditu je jen otázkou času, takže tohle byl pokus to celé zastavit.
NSA může mít právní páky na to, aby donutila autory kompromitovat kód nebo službu (viz opět ten Lavabit), ale už je nemůže legálně donutit k tomu, aby s tím prostě nesekli a neprohlásili projekt za ukončený. To se nedá odstíhat ani v současné postdemokracii.
A k tomu bitlockeru - systém může být naprosto korektně zašifrován a přesto může být v systému backdoor v uložení či správě klíče. Prostým zkoumáním šifrovaných dat to nenajdete. Proto se bez znalosti zdrojáku lze k věrohodnosti jakéhokoli systému vyjadřovat jen ve velmi omezené míře.
-
Filip JirsákStříbrný podporovatel
Co by při Lavabit scénáři autorům bránilo napsat skutečné důvody ukončení projektu? Také by to znamenalo, že by po nich někdo chtěl dodatečné vložení zadních vrátek, to opět nevypadá moc pravděpodobně, protože by se to dnes těžko dalo udělat nenápadně. Přičemž kompromitace kódu je něco dost jiného, než vydání šifrovacích klíčů - to by ty právní páky musely dávat NSA neomezenou možnost přikázat komukoli cokoli. Navíc by autoři asi nedoporučovali jiná řešení (s tím, že by měli pádný důvod domnívat se, že tam už backdoory jsou nebo brzy budou), ale doporučili by spíš vyvinout nový bezpečnostní software, a to ještě bezpečnějším způsobem.
Backdoor v uložení nebo správě klíče může být i v operačním systému. Nemyslel jsem, že by autoři TC dělali kompletní audit BitLockeru. Ale mohou být přesvědčeni, že BitLockeru (a nativní řešení v Mac OS a Linuxu) mohou uživatelé důvěřovat stejně, jako důvěřovali TC. Třeba také proto, že autoři TC vědí, že na ně NSA žádný nátlak nevyvíjela, že tedy nejspíš žádný nátlak nevyvíjela ani na MS, takže TC i BL chrání především v oblasti soukromého sektoru a nedemokratických režimů, a tam by byl MS sám proti sobě, kdyby jeho řešení bylo děravé.
-
Filip JirsákStříbrný podporovatel
Co by při Lavabit scénáři autorům bránilo napsat alespoň obecně skutečné důvody ukončení projektu, a nutilo je namísto toho si (podle mnohých) vymýšlet něco o konci podpory Windows XP a doporučení přechodu na nativní implementace?
Podle kterého zákona kterého státu může soud přikázat ukončení vývoje software nebo vložení zadních vrátek? Mimochodem, co by měl podle vás ten soudní příkaz vlastně obsahovat, aby jej současné řešení splnilo? Příkaz vložit do kódu zadní vrátka a klidně před nimi varovat prohlášením „TC není možné považovat za bezpečný“? Opravdu myslíte, že jsou ta zadní vrátka tak dobře ukrytá, že nikdo z diffu mezi verzemi 7.1a a 7.2 zatím nepojal ani podezření?
-
Anonym (neregistrovaný)
Hmmm, ukecávačka aka-Lavabit je velice jednoduchá. Tady na foru se vcelku veřejně uvádějí konkrétkní fyzické osoby. Zda jsou nebo nejsou autoři, nebudu spekulovat. Být ale já autor podobného SW, který poněkud "vadí" některým službám, tak po návštěvě usměvavých pánů z trojpísmenné agentury, majíc zaměstnání, děti, hypotéku, projekt bych zavřel a důvody bych také nešířil. Možná je to trochu varování pro ostatní. Pokud má projekt se nějak dotýkat agentur "však víte kterých", tak buď autorství musí být maximálně anonymní, nebo naopak velká skupina autorů a maximální otevřenost. TC zjevně nesplňoval první možnost a druhá zatím nepřipadá v úvahu.
-
Filip JirsákStříbrný podporovatel
Pokud byste měl manželku, děti, hypotéku, a na při výběru peněz na vývoj TC by se nevybralo prakticky nic, opravdu byste potřeboval ještě návštěvu nějakých pánů proto, abyste ten projekt ukončil?
Že se na nějakém fóru vcelku veřejně uvádějí konkrétní jména, to má dokazovat co? Vymyslete si sebevětší pitomost, a na nějakém fóru už se o ní dávno bude vcelku veřejně psát. Na fórech se toho napíše...
-
j (neregistrovaný)
Netreba resit kdo je ceho autorem, treba resit do jake legislativy spada. Cokoli co pochazi legislativne z US nemuze byt z principu bezpecne a pokud nahodou nejaka verze je, pristi uz byt nemusi. Proste proto, ze dotycny bude "pozadan" by kod upravil.
Navic M$ se tim ani nijak zvlast netaji.
-
Lael Ophir (neregistrovaný)
Ad dotycny bude "pozadan" by kod upravil - existuje nějaká možnost, jak k tomu firmu právně donutit? Pokud jde o nucení jiného typu, tak to prokazatelně nastává i v ČR.
http://www.root.cz/clanky/konec-truecryptu-co-je-za-nim/nazory/502537/Ad M$ se tim ani nijak zvlast netaji - čím? Zdroj?
-
Petr Ježek (neregistrovaný)
Filipe, váš názor respektuji, protože ne každý zná mocenské struktury tohoto světa a metody jejich práce. Kdybyste věděl, co vím já a moji přátelé, soudil byste velmi odlišně. Netuším, kolik toho víte o financování mravně neukotvených hackerů těmito strukturami a o jejich činnosti. Jakoby tu na Rootu ani neběžel seriál o virech... Já mám jistotu, že šlo o nátlak a snahu rozložit nezávislé bezpečnostní vývojáře a jejich kryptografické algoritmy a jejich použití běžnými uživateli.
-
Seti (neregistrovaný)
"Co když se autoři TrueCryptu prostě na BitLocker trochu podívali a věří mu?"
Jak se jako na něho podívali? To jako že si zobrazili kód v hexaeditoru a řekli si, to vypadá slušně, budem tomu věřit? :-D
BTW "věřit" jakémukoliv SW může jen mamlas. Dneska je ta diskuze zase zábavná :-)
-
Lael Ophir (neregistrovaný)
S "třípísmenkovými agenturami" musí spolupracovat každá firma, která je o to požádána, a to i v ČR. Znáte český zákon 127/2005 Sb. o elektronických komunikacích?
§ 97 odstavec 1
Právnická nebo fyzická osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací je povinna na náklady žadatele zřídit a zabezpečit v určených bodech své sítě rozhraní pro připojení koncového telekomunikačního zařízení pro odposlech a záznam zpráv
a) Policii České republiky pro účely stanovené zvláštním právním předpisem^36),
b) Bezpečnostní informační službě pro účely stanovené zvláštním právním předpisem^37),
c) Vojenskému zpravodajství pro účely stanovené zvláštním právním předpisem^37a).
odstavec 3:
Právnická nebo fyzická osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací je povinna uchovávat po dobu 6 měsíců provozní a lokalizační údaje, které jsou vytvářeny nebo zpracovávány při zajišťování jejích veřejných komunikačních sítí a při poskytovávání jejích veřejně dostupných služeb elektronických komunikací^37b).
http://portal.gov.cz/app/zakony/zakon.jsp?page=0&nr=127~2F2005&rpp=15#seznamDále se v odstavci 3 dozvíte, že provozovatel musí data za daných podmínek vydat orgánům činným v trestním řízení, Policii České republiky, BIS, Vojenskému zpravodajství a ČNB.
-
M. (neregistrovaný)
Sbírka zákonů č. 273 / 2012, měnilo to patřičně zákon o elektronických komunikacích, o dohledu nad kapitálovými trhy, o vojenských tajných službách, o bezpečnostní a informační službě a trestní zákoník jedním vrzem.
Pak bylo k tomu pár nových vyhlášek. Takže po novu už nefunguje stará finta, že když byl uživatel za NATem, kde na jednu IP se NATovalo celé město, tak byl ISPík vysmátý a řekl "sorry, půlka okresu". Po novu v případě, že provádí NAT, tak musí logovat informace o každém jednotlivé spojení svých uživatelů (pokud neNATuje, ale zákoši mají každý svoji veřejnou IP, tak si jen vede seznam kdy, kdo měl jakou IP přidělenu). -
j (neregistrovaný)
Uz par patku tomu, co evropsky soud zrusil cely narizeni, na zaklade kteryho tahle legislativa fungovala, a oznacil takove zhromazdovani dat jako nelegalni, nebot je v prozporu s tzv evropskou ustavou - specielne tim z cehoz chtel klaus vyjimku - listinou prav a svobod.
Tudiz je tim padem takovy zhromazdovani dat nelegalni i v CR, nebot ona vyjimka byla sice odkyvana, ale nebyla vlozena do legislativy. Defakto sice ta ceska legislativa plati, ale pokud by se nekdo pokusi o jeji vymahani, tak presne na toto dojede. Naopak, pokud by si nekdo stezoval, na sveho providera, tak uspech (nejpozdeji u toho evropskyho soudu) je jisty.
-
Lael Ophir (neregistrovaný)
Pánové, nechcete oba své tvrzení nějak dokládat, například linkem (pls no zvedavec.cz apod.)? Zřejmě je řeč o tomhle:
http://malte-spitz.de/wp-content/uploads/2013/12/CP130157EN.pdfZ linku:
In his Opinion delivered today, Advocate General Pedro Cruz Villalón, takes the view that the Data Retention Directive1 is as a whole incompatible with the requirement, laid down by the Charter of Fundamental Rights of the European Union, that any limitation on the exercise of a fundamental right must be provided for by law.
...
The Advocate General’s Opinion is not binding on the Court of Justice. -
strepty (neregistrovaný)
Ano, to je odposluch. Telefony sa odpocuvali asi od ich vynajdenia, len teraz to rozsirili o datovu komunikaciu holt potrebuju sledovat zlodejov aut, mafianov politickych oponentov.
Ina vec je ziskanie povolenia na vyvoz kryptologickych technologii, to maju asi len v USA. Pochybujem ze TC programatori nejake povolenie mali. Ak je pravda ze boli z USA tak na TC to povolenie mali mat a do krajin na ktore USA uvalila embargo take nieco ani nemali dovolit stiahnut. Mozno to je dovod preco boli taky utajeny. -
Lael Ophir (neregistrovaný)
Export kryptografie je regulovaný ve většině civilizovaného světa, včetně UK a zbytku EU, a samozřejmě US.
https://www.gov.uk/export-of-cryptographic-items -
Lael Ophir (neregistrovaný)
Otevřel jste vůbec ten link? Dozvěděl byste se o tom, že existuje seznam dual-use technologií, vycházející z The Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Goods and Technologies.
http://www.wassenaar.org/controllists/index.htmlA například stránky společnosti Cisco vám vysvětlí, jak to funguje s licencemi na export jejích "dual-use" produktů, a dá linky na legislativu:
http://www.cisco.com/web/about/doing_business/legal/global_export_trade/general_export/encryption.htmlJinými slovy omezení exportu kryptografie není jen věc US a UK. Je to věc celé západní společnosti. Kdybyste se víc zajímal o historii druhé světové války, zřejmě byste viděl důvody k omezení exportu. Jeden příklad za všechny:
http://en.wikipedia.org/wiki/Cryptanalysis_of_the_Enigma -
Seti (neregistrovaný)
No to jsou zase argumenty.
"Právnická nebo fyzická osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací" rozhodně není každá firma. A srovnávat odposlechy s tím, že v USA výrobce SW musí na pokyn vládních agentur přidat zadní vrátka do svého díla, je už úplně mimo.
-
Lael Ophir (neregistrovaný)
OK, ne "každá firma, která je o to požádána", ale "právnická nebo fyzická osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací".
Ad v USA výrobce SW musí na pokyn vládních agentur přidat zadní vrátka do svého díla - zdroj?
-
Ad v USA výrobce SW musí na pokyn vládních agentur přidat zadní vrátka do svého díla - zdroj?
www.always-true.com/nsa-vehemently-denies-backdoors-in-sofware.html
www.microsoft.com/we-do-not-collaborate-with-agencies.htm -
Lael Ophir (neregistrovaný)
Jinými slovy výrobce zákon nenutí přidat backdoor. Samozřejmě je k tomu může někdo dotlačit, a to nejen v USA. Jistě znáte tenhle případ z ČR:
http://www.ceskatelevize.cz/ct24/domaci/101227-agenti-bis-nabizeli-firme-za-sifrovaci-system-nezdanene-penize/ -
strepty (neregistrovaný)
Nepoznal som to, cize ked to zhrniem BIS predpokladala ze firme ide o peniaze a firme islo o princip, takych je ale malo. Inak keby som bol na ich mieste a zobral peniaze od BIS tak by som bol celkom rad ze ich nemusim uviest v danovom priznani, mohlo by to poskodit moje dobre kryptovacie meno :-).
-
Lael Ophir (neregistrovaný)
Ano, zcela správně. A s tím pak majitele firmy v případě potřeby dotlačí k čemukoliv, co za těch pár korun nedostali.
BTW nepodařilo se mi nikde dohledat, jak případ CircleTech nakonec skončil. Sněmovní komise pro kontrolu BIS se usnesla, že musí počkat na závěr státního zástupce. Pokud má někdo informace o dalším vývoji, rád si počtu.
BTW2 majitel mohl být i drsnější: zdokumentovat převzetí peněz, předat je do úschovy notáři, podat trestní oznámení a kopii obojího poslat novinářům. Ale asi nechtěl příliš riskovat.
-
Seti (neregistrovaný)
V zákoně samozřejmě není přesně toto specifikováno, nicméně každý musí - je zákonem tlačen - spolupracovat s vládními agenturami. V USA mají navíc oproti ČR třípísmenkové agentury mnohem vyšší pravomoci než naše BIS a rovněž tam mají nejsilnější zaklínadlo všech dob "v zájmu národní bezpečnosti", které umožňuje i takové věci, jako zbavit svobody občana USA bez časového omezení a bez nároku na právní pomoc - advokáta.
Linkovaný případ neznám, ale to není žádné "tlačení" pod pohrůžkou likvidace firmy nebo vězení. My na tom, přes všechen ten bordel, co zde máme, ještě nejsme tak špatně. ČR je stále jedna z nejsvobodnějších zemí na světě, díky Bohu :-)
-
Matěj (neregistrovaný)
A to že se vybralo jen 19% z nějaké sumy tam opravdu bylo?
Měli to asi uděláno nějak divně, mě můj prohlížeč vždy ukazoval jen to že žádají o finanční pomoc, ale požadovaná suma ani současný stav tam nikdy nebyl zobrazen. Navíc jsem web považoval za neaktualizovaný (z důvodu že stále nevyšla nová verze) a tedy i onu žádost o podporu.
To že žádost o podporu přidali i do instalátoru (alespoň pro Windows), to mne také docela zarazilo a přemýšlel jsem jak na tom projekt asi je. Dokonce jsem autory chvíli podezříval, že jediná změna mezi verzemi 7.1 a 7.1a byla právě ta žádost.
