Názory k článku
Audit VeraCryptu odhalil několik chyb

Tak to dopada, kdyz vyvoj kriticky duleziteho SW prevezmou lamy.

Naopak si myslim že na odhalené chyby zareagovali rychle, ne jak jiné subjekty které to nechávaj i roky ležet ladem.
Každý software má bugy, a říkat o někom že je lama jen proto, že dělá chyby ... tak to sme potom lamy uplně všichni.

"Lama" bych asi nepoužil. Ale souhlasím s tím, že audit tak nějak naznačil, že autoři těm věcem až tak moc nerozumí a teprve se učí. Rychlá oprava je sice fajn, ale osm kritických chyb, které tam jsou tak dlouho, že na ně přijde audit? V SW, který se nijak živelně nevyvíjí?

Jinak se zkuste na ten seznam podívat. Já se pocitu, že ten nový bootloader psal někdo, kdo o bezpečnosti ještě moc neví, zbavit nedokážu:
- keystrokes not erased after authentication
- sensitive data not correctly erased
- memory corruption
- null pointer, dead code, inconsistent data reads by ConfigRead, bad pointer in EFIGetHandles, null pointer dereference in the graphic library

To jsou chyby, které bych pochopil u "normálního" programu. Ale tohle je program pro šifrování! Rychlost opravy na jednu stranu naznačuje, že jsou to triviální chyby, ale na druhou stranu to ukazuje, že autor si to po sobě sám moc nezkontroloval a že auditoři byli asi první další lidé, co ten kód viděli.

a co ti brani udelat fork KarelCrypt a "ukazat svetu" jak se to ma delat? ;)

Kupříkladu moje soudnost. Když něco neumím, tak to nedělám. Případně se to učím, ale produkt dodávám s velkým varováním, že se jedná o "učňovský produkt". Vydávat své první nejisté pokusy za produkt připravený na produkční nasazení v oblasti bezpečnosti, to už není jen o odvaze.

jj, já jim říkal ať to nechají na tobě, ale oni neee

Ten report je opravdu pekne cteni, doporucuji.

"Some components of VeraCrypt have not been investigated, as they were already out of the
scope of the Open Crypto Audit Project. That includes the OS X and Linux versions of
VeraCrypt." skoda, na linux-specificky kod se teda nedostalo :( I kdyz, kolik lidi na linuxu pouziva Vera, kdyz je dm-crypt?

Tez mi chyb prijde docela dost, treba jako ponechani starych knihoven,...

Linuxový VeraCrypt mám na šifrování externích disků, které chci používat i na strojích s jinými OS.

Mi se pořád nelíbí, že pod tím je nějaký podivný OS, který může činnost toho programu v podstatě monitorovat... A pod tím je ještě HW, ten to obecně může dělat taky...

Je to hovadina. Jako "critical" tam oznacuji uplne ptakoviny. Windows EXE instalator pouziva zastaralou zlib. Koho to tankuje? Ze muze pretect PIM kdyz udelate container na linuxu a prenesete ho na Windows. To je taky bezpecnostni chyba jak stehno. Ze se key z key-file derivuje pomoci CRC32, pry to neni dostacujici. Proc to neni dostacujici? Snad ten memset na Windows, kdy se jeho vykonani muze diky nejake optimalizaci pozdrzet, ale jinak je to cele bullshit, snaha vypadat zajimave...