Názory k článku MiniLock: šifrovátko do každé rodiny
-
ekosystém (neregistrovaný)
Možná jednodušší než některý jiný možnosti šifrování, ale mít důvěru v Chrome nebo Android (a soukromnostně sniffovací Google) je "vtipný".
Moji důvěru např. nemá už dávno vůbec žádnou (samozřejmě, stejně jako většina dalších), a autor by si mohl alespoň odpustit to bezdůvodný plácání o nějakym bezpečnym ekosystému. -
Ray (neregistrovaný)
Proč hned tak hrrr ? Vždyť má v zásadě pravdu, existuje ještě jedna horší věc, než nulové "soukromí". A tou je pocit falešného soukromí, nebo bezpečnosti. A ať už se ti to libí nebo ne, neodmyslitelně k tomu patří i to co předřečník nadhodil. Ne nadarmo se k (de)šifrování často používají systémy, naprosto odpojedné od netu, nebo sloužící jen k jedné konkretní věci :)
Googlu se, už hodně dlouhých let, když to jde, vyhýbám. Zatím ta možnost je :) Nejspíš ne však nadlouho...
R.
-
Nein (neregistrovaný)
Zvláštní, odkaz pro stažení na stránce https://minilock.io/ po mně nechtěl login do Google Accounts.
-
Audit je navic jen pentest, nikdo neauditoval kod, jak je videt z https://minilock.io/files/cure53.pdf.
Nadim predtim dokazal nasekat chyby vedouci k uplnemu desifrovani cryptocat - http://tobtu.com/decryptocat.php
-
šifra (neregistrovaný)
Však ten program už je prakticky "mrtvý" - vývoj skončil v květnu 2014 a samotní tvůrci už ho dále nedoporučují používat kvůli možnému výskytu bezpečnostních rizik...
Když není jiné možnosti, tak prosím, ale bylo by to alespoň dobré zmínit!
Mimochodem pro linux existuje zajímavá náhrada za TC viz http://www.dyne.org/software/tomb/ -
j (neregistrovaný)
Ze neco nekdo nevyviji neznamena, ze to je nebezpecny. Ostatne stale jeste bezi bezpecnostni audit truecryptu a zatim vse nasvedcuje tomu, ze krom par drobnosti a pripominek ke kodu je zcela OK.
Naopak, pokud ten audit dopadne, tak je "umrtvenost" naprosto dokonalou vyhodou - nikdo do toho nenaseka dalsi bordel a potencielni diry.
-
Filip JirsákStříbrný podporovatelvse nasvedcuje tomu, ze krom par drobnosti a pripominek ke kodu je zcela OK.
Vy jste viděl nějaké zatím nezveřejněné výstupy z toho auditu, mimo zatím zveřejněné analýzy programovacího stylu a formátu kontejneru? Nebo tak soudíte jenom z toho, že výsledek auditu zatím nebyl zveřejněn? -
Filip JirsákStříbrný podporovatel
Nebo taky ne, aby byla šance chybu opravit, a zveřejní se až po té.
Byl by nějaký odkaz na ten starší audit? Já znám akorát analýzu pana Klímy i Zámostného, která rozhodně není kompletním bezpečnostním auditem, a pak tuto analýzu, která je místy podivná, analyzovala jen Linuxovou verzi a rozhodně bych ji neinterpretoval jako důkaz toho, že je TrueCrypt bezpečný. -
Filip JirsákStříbrný podporovatel
Můžete uvést konkrétní projekty, kde se to tak dělalo? Já osobně bych stejně kontaktoval původní vývojáře a na postupu bych se s nimi domluvil. Navíc existují forky TrueCryptu, které deklarují snahu pokračovat, takže jejich autoři by měli dostat šanci na odhalené chyby zareagovat dřív, než je bude umět zneužít každý trouba.
Navíc nepředpokládám, že výstup z bezpečnostního auditu TrueCryptu bude odrážkový seznam bezpečnostních chyb, ideálně s číslem řádku v kódu, kde chyba je. Spíš očekávám analytický text, kde budou popsané možné slabiny, nejrůznější interakce, případně i s důkazy nebo odhady, o jak závažnou chybu se jedná. Jenže když už máte tenhle analytický text připravený, je hotový ten výstup a je možné jej zveřejnit. A dokud tohle připravené není, obratem zveřejněné oznámení o chybě by bylo „za určitých okolností možná může s neznámou pravděpodobností dojít k něčemu, co by mohlo být považováno za bezpečnostní incident“. K čemu by takové prohlášení bylo? -
me (neregistrovaný)
> Zdrojové kódy miniLocku jsou samozřejmě k dispozici, jako tradičně na GitHubu.
> Bohužel však není k dispozici mobilní verze a zdá se, že ani není v plánu.
Zdrojove kody jsou k dispozici, takze nrknucte a zvednete se z gauce a bezte naprogramovat mobilni verzi! Na co jeste cekate??
