Vlákno názorů k článku MiniLock: šifrovátko do každé rodiny od šifra - Však ten program už je prakticky "mrtvý" -...
-
šifra (neregistrovaný)
Však ten program už je prakticky "mrtvý" - vývoj skončil v květnu 2014 a samotní tvůrci už ho dále nedoporučují používat kvůli možnému výskytu bezpečnostních rizik...
Když není jiné možnosti, tak prosím, ale bylo by to alespoň dobré zmínit!
Mimochodem pro linux existuje zajímavá náhrada za TC viz http://www.dyne.org/software/tomb/ -
j (neregistrovaný)
Ze neco nekdo nevyviji neznamena, ze to je nebezpecny. Ostatne stale jeste bezi bezpecnostni audit truecryptu a zatim vse nasvedcuje tomu, ze krom par drobnosti a pripominek ke kodu je zcela OK.
Naopak, pokud ten audit dopadne, tak je "umrtvenost" naprosto dokonalou vyhodou - nikdo do toho nenaseka dalsi bordel a potencielni diry.
-
Filip JirsákStříbrný podporovatelvse nasvedcuje tomu, ze krom par drobnosti a pripominek ke kodu je zcela OK.
Vy jste viděl nějaké zatím nezveřejněné výstupy z toho auditu, mimo zatím zveřejněné analýzy programovacího stylu a formátu kontejneru? Nebo tak soudíte jenom z toho, že výsledek auditu zatím nebyl zveřejněn? -
Filip JirsákStříbrný podporovatel
Nebo taky ne, aby byla šance chybu opravit, a zveřejní se až po té.
Byl by nějaký odkaz na ten starší audit? Já znám akorát analýzu pana Klímy i Zámostného, která rozhodně není kompletním bezpečnostním auditem, a pak tuto analýzu, která je místy podivná, analyzovala jen Linuxovou verzi a rozhodně bych ji neinterpretoval jako důkaz toho, že je TrueCrypt bezpečný. -
Filip JirsákStříbrný podporovatel
Můžete uvést konkrétní projekty, kde se to tak dělalo? Já osobně bych stejně kontaktoval původní vývojáře a na postupu bych se s nimi domluvil. Navíc existují forky TrueCryptu, které deklarují snahu pokračovat, takže jejich autoři by měli dostat šanci na odhalené chyby zareagovat dřív, než je bude umět zneužít každý trouba.
Navíc nepředpokládám, že výstup z bezpečnostního auditu TrueCryptu bude odrážkový seznam bezpečnostních chyb, ideálně s číslem řádku v kódu, kde chyba je. Spíš očekávám analytický text, kde budou popsané možné slabiny, nejrůznější interakce, případně i s důkazy nebo odhady, o jak závažnou chybu se jedná. Jenže když už máte tenhle analytický text připravený, je hotový ten výstup a je možné jej zveřejnit. A dokud tohle připravené není, obratem zveřejněné oznámení o chybě by bylo „za určitých okolností možná může s neznámou pravděpodobností dojít k něčemu, co by mohlo být považováno za bezpečnostní incident“. K čemu by takové prohlášení bylo?
ČLÁNKY DO MAILU