Vlákno názorů k článku
TrueCrypt je bezpečný, potvrzuje i druhá část auditu od Freelancer - Prosimvám přestaňte diskutovat s Jirsákem, to absolutně nemá...

Co byste chtel od zeleneho mozka? Koneckoncu se jedna jen o lidsky material.

ten odkaz je dobře? dal jsem si v něm vyhledat "anonym", což mi způsobilo zacyklení

Tak nevim, jak to bylo s temi trestnymi ciny, kdyz na Wikipedii pisi: "Facing almost certain incarceration for alleged offenses about which the victims, M.I.T. and JSTOR, declined to pursue civil litigation, Swartz committed suicide on January 11, 2013." Vsimnete si hlavne "M.I.T. and JSTOR, declined to pursue civil litigation". Kde neni zalobce, neni soudce, kdyby se do toho nesrali lidi, kteri si na tom chteli nahanet politickou karieru nebo co.

Ale že se to těm Amíkům podařilo, že jo? Zatímco před jejich zásahem každý kdo chtěl, používal TC 7.1a, TC se dál nevyvíjel, dneska každý, kdo chce, používá TC 7.1a, TC se dál nevyvíjí a existuje několik jeho forků, přičemž některé mají ambice dál se vyvíjet. Takže to vypadá, že vlastně Američanům připadalo, že lidé málo šifrují a chtěli šifrovací nástroje trošku zpopularizovat.

Jinak nevidím rozdíl v tom, pokud by soud hypoteticky nařídil ukončit vývoj TC a doporučit přechod na nativní šifrování implementované v OS, a kdyby třeba nařídil ukončit vývoj TC s odůvodněním, že na to autoři nemají čas. Nebo-li pořád si myslím, že pokud někdo donutil autory TC skončit jeho vývoj (což vůbec nedává smysl), ten samý subjekt měl i plnou moc rozhodnout o tom, jak bude stránka s informacemi o ukončení vývoje vypadat. Takže pokud si myslíte, že záměrem tvůrce té stránky bylo vyvolat spekulace, a sám o tom spekulujete, děláte přesně to, co ten subjekt chtěl. A teď může někdo další začít rozvíjet spekulace, co asi americké tajné služby sledují tím, že chtějí, aby Slowthinker spekuloval o důvodech ukončení vývoje TC.

Takže podle vás má NSA možnost přikázat vložit do kódu backdoor, má možnost zakázat o tom mluvit, ale nemá možnost přikázat vložit určitý text do HTML stránky? Můžete alespoň naznačit, jak by taková pravomoc přibližně byla formulována?

Dále ukončení vývoje znamenalo vznik několika forků. Proč na ně ta pravomoc neplatí? A proč stejný postup jednoduše nepoužili autoři TC?

A konečně, jedna věc je mít legální možnost vydat nějaký soudní příkaz, druhá věc je ten soudní příkaz poslechnout. Chápu, že zavření firmy nebo vězení pro majitele, když patří pod jurisdikci USA, je dostatečnou hrozbou. Ale co by bylo tou hrozbou pro autory TC? Že NSA zveřejní jejich identitu?

Takže podle vás má NSA možnost přikázat vložit do kódu backdoor, má možnost zakázat o tom mluvit, ale nemá možnost přikázat vložit určitý text do HTML stránky?

Mike jasně říká, že NSA má omezené pravomoci.
Jedna věc je dosáhnout vložení kódu do softu, ale jiná věc je převzít vývoj nebo webové stránky zcela pod svou kontrolu. To by sotva nějaký soud v USA povolil.

v případě Lavabit taky NSA dokázala získat klíč, ale už nepřinutila Lavabit pokračovat ve vývoji nebo převést firmu na NSA. Takže nakonec se úsilí NSA v podstatě minulo účinkem.

Dále ukončení vývoje znamenalo vznik několika forků. Proč na ně ta pravomoc neplatí? A proč stejný postup jednoduše nepoužili autoři TC?

Já na rozdíl od vás do hlavy autorům TC nevidím, ani netvrdím, že TC 7.2 vydali původní autoři.

(Ne)autoři TC nejenom že neforkovali, ale dokonce před forky varují.
o tom proč by to mohli dělat spekuluje Mike. Vyhledejte si "Mohli sice jednoduše zavřít krám, tak jako to udělal Lavabit"

On by ten soud nepovolil ani nutit někoho k obecné úpravě software. Navíc pořád nevidím ten rozdíl mezi "napište do programu tohle" a "napište na webovou stránku tohle".

tom proč by to mohli dělat spekuluje Mike
To je sice hezké, ale to pořád vychází z předpokladu, že někdo autory TC k něčemu nutil a oni tomu částečně podlehli. Jenže já jsem zatím nezaznamenal jediné věrohodné vysvětlení, proč by takový předpoklad měl být splněn. Zatím nejvěrohodnější vysvětlení bylo: Možná asi by v USA teoreticky mohl platit zákon, který by umožnil soudu přikázat vložení backdooru do kódu - přičemž případ Lavabit ukazuje, že takový zákon neexistuje, ale toho si nebudeme všímat - a zároveň ten neexistující zákon umožňuje přikázat autorům, aby na webu doporučili BitLocker, ale už neumožňuje přikázat, aby to udělali tak, aby tomu věřil i Slowthinker. Když zároveň uvážíme, že není úplně vyloučeno, že všichni autoři TC spadají pod jurisdikci USA, máme tu velmi silné podezření, že by se možná někdo i třeba mohl domnívat, že má nejasné tušení, že se možná něco trošku to. A určitě v tom jede NSA, tím pádem je všechno jasné. Nezlobte se na mě, ale když to porovnám s variantou, že autoři už dva roky nevydali novou verzi, nemají už na ten projekt čas, navíc už existují alternativy zabudované přímo v OS, tak se rozhodli, že než ten projekt nechat potupně vyhnít, že ještě jednou udělají co je správné, a ten projekt prostě férově ukončí a uživatelům dají jasně najevo, ať už od nich nic nečekají - vidíte ten rozdíl? Žádné nadpřirozené jevy, žádné neexistující zákony, žádná neschopná všehoschopná NSA, a jediný předpoklad - že autoři na TC prostě už neměli čas. Což musí napadnout každého, kdo se podívá na časovou osu vydání jednotlivých verzí a vidí to nápadné prázdno na konci.

Mno v takovem pripade komunikovali svoje stanovisko znacne nestastne.

Proč?

Protoze hodili do placu spatne zduvodnene informace.

Kdyby napsali neco jako "Je nam lito, nemame na to cas. TC je funkcni, o zadne chybe nevime, ale doporucujeme migraci jinam, protoze zadne dalsi chyby opravovat nebudeme." *), tak samozrejme stale bude spousta spekulaci, ale bylo by celkem jasne, co se snazi zdelit. Z toho, co psali nebylo jasne, zda o nejake vazne chybe vedi, zda tim mysli proste to, ze neni podpora...

O tom, ze dat volnou ruku dalsim lidem k udrzbe kodu (trebas i s tim, ze by nesmeli pouzivat brand TC) by neuskodilo nemluve.

Nekomunikovali zretelne stav, duvody, prakticky nic. Samozrejme je to jejich pravo, ale pochvalu si to nezaslouzi. Dost lidi jim dalo svou duveru a asi by si zaslouzili maximum informaci pro dalsi rozhodovani.

*) nebo trebas i "...vime o chybe, ktera dela TC nebezpecny za tech a tech podminek. Detaily zverejnime tehdy a tehdy, do te doby je dost casu pro migraci..."

Přesně tak to cítím, jak to Ondra Satai Nekola říká, uživatelé si zaslouží (třeba hodinu práce navíc s vysvětlením)
Já osobně mám radost z toho, že můj bezplatný soft někdo užívá. A i když z toho nemám ani korunu, snažím se uživatelům vyjít v rámci možností vstříc.

Ale tvůrci TC samozřejmě mají právo na jiný úhel pohledu.

V každém případě bych pokládal za užitečnější, kdyby tvůrci TC (nebo kdo to byl) věnovali tu hodinku na vysvětlení než celý den na popis jak přejít na bitlocker.

To jste popsal tu alibistickou variantu, kdy si autoři TC umyjí ruce, zbaví se zodpovědnosti a tváří se, že vůbec netuší, co bude následovat. Tak by asi jednala spousta lidí.

Ve skutečnosti se ale autoři zachovali v duchu předchozí tradice TC - jednali tedy podle toho, že hlavní díl zodpovědnosti je na nich jako na odbornících. Když už nedokázali tuto zodpovědnost nadále naplňovat, napsali o TC plnou pravdu ("není bezpečný, protože může obsahovat neopravené bezpečnostní chyby" - k tomu se nedá napsat víc)a udělali vše pro to, aby uživatelé TC přestali používat (tedy aby ta zodpovědnost dál nebyla na autorech TC). Podle mne si to pochvalu zaslouží, protože by se tak nezachoval zdaleka každý a řečmi o tom, jak se přece každý může sám rozhodnout by to nechal vyhnít. Na druhou stranu mne ten jejich postup nijak nepřekvapuje, protože jednali přesně v duchu toho, proč vůbec TC vznikl - že bezpečnost je zodpovědností bezpečnostních expertů, kteří mají uživateli předložit něco, co uživatel prakticky ani nemůže používat jinak, než bezpečně.

napsali o TC plnou pravdu ("není bezpečný, protože může obsahovat neopravené bezpečnostní chyby" - k tomu se nedá napsat víc) a udělali vše pro to, aby uživatelé TC přestali používat

LOL

- "může obsahovat neopravené bezpečnostní chyby" - to ale o TC platí od doby jeho vzniku
- neopravené bezpečnostní chyby může obsahovat každý šifrovací soft

Podle vaší logiky tedy každý zodpovědný autor šifrovacícho softu svůj soft stáhne z webu a doporučí jej nepoužívat (a také autoři TC to měli udělat už dávno) ...

... snad kromě situace, kdy proběhne důkladný audit.
Takže všichni by měli své softy stáhnout, včetně bitlockeru. Jenom TC měl zůstat a vyčkat na výsledek auditu.

Vy evidentně pořád nechápete, co byl TrueCrypt. TrueCrypt vznikl proto, aby uživatelé bez zvláštních znalostí mohli snadno používat šifrování souborů. Proto vznikl jako GUI klikací aplikace pro Windows, která od uživatele nevyžaduje žádné zvláštní znalosti, a zpřístupní mu šifrovaný disk jako další „písmenko disku“, se kterým může pracovat přesně tak, jako pracoval dosud s jinými disky.

Starost o bezpečnost je tím pádem starostí autorů aplikace, to oni jsou ti, kteří si uvědomují, že TC může obsahovat neopravené bezpečnostní chyby, ale oni se starají o to, aby to tak nebylo.

Jenže když přestanou TC podporovat, přestanou se o ty potenciální bezpečnostní chyby starat, tím pádem není bezpečné ten program používat.

Používat bezpečnostní program se známou bezpečnostní dírou je trochu na nic. Jenže když nějaký bezpečnostní program používáte, nikdy nevíte, zda druhý den nebude zveřejněna zásadní bezpečnostní díra. A když se to stane, existují dvě možnosti – buď je ten program udržovaný, a se zveřejněním té díry je už dost možná zveřejněná i záplata, nebo se na ní alespoň pracuje. Druhá možnost je, že program udržovaný není – a v tom okamžiku jste v té situaci uživatele používajícího bezpečnostní software se známou bezpečnostní dírou, a hledáte, jak rychle přejít na nějaký jiný software. To je důvod, proč není bezpečné používat neudržovaný bezpečnostní software, i když zatím není známá žádná jeho bezpečnostní chyba.

Mimochodem, proto také bylo správné přemigrovat uživatele TC jinam ještě před koncem toho auditu – protože právě tím víc hrozilo, že se najde nějaká bezpečnostní díra a spousta uživatelů TC by se ocitla v situaci, že mají děravý software, za který nemají náhradu.

Ale oceňuju, že jste ten argument konečně vzal na vědomí a začal se jím zabývat.

Vás to baví, pořád se točit v kruhu? Vysvětlení, proč je chování vydavatelů verze 7.2 podivné, jste už dostal několikrát.

Vysvětlení, proč je chování vydavatelů verze 7.2 podivné, jste už dostal několikrát.
Ovšem já jsem na to vysvětlení několikrát reagoval, že na něm nic podivného nevidím, naopak mi připadá správné. A podrobně jsem vysvětloval proč.

V kruhu se netočím já, já na vaše argumenty reaguju. To vy to vracíte zpět, kdy mé argumenty ignorujete a pouze zopakujete své původní tvrzení. Rozporoval jste snad nějak, že zodpovědné je snažit se uživatele přesvědčit, aby software přestali používat? Nerozporoval, jenom jste zopakoval, že chování autorů je podivné. Reagoval jste nějak na to, že autoři zdůvodnili ne-bezpečnost tím, že může obsahovat neopravené bezpečnostní chyby? Ne, nereagoval, pouze dál tvrdíte, že to autoři nijak nezdůvodnili. Mohl byste napsat, že to pro vás odůvodnění není a proč, mohl byste napsat, že to pro vás není relevantní důvod, mohl byste na to reagovat spoustou jiných způsobů. Ale vy ne, vy se dál tváříte, že ta věta na stránkách vůbec neexistuje.

Navíc pořád nevidím ten rozdíl mezi "napište do programu tohle" a "napište na webovou stránku tohle".

Vysvětlím to podruhé a jinými slovy:
"napište na webovou stránku tohle" se možná i stalo. Ale to je něco jiného než "předejte webové stránky do rukou NSA, ať si tam píšou co chtějí".

Srovnejte si to, když se někdo soudí s novinami a chce omluvu. Soud přikáže text omluvy, ale už nepředá noviny do rukou žalobce ani nezabrání vydavateli aby k textu omluvy nepřidal svůj komentář.

autoři už dva roky nevydali novou verzi, nemají už na ten projekt čas, navíc už existují alternativy zabudované přímo v OS, tak se rozhodli, že než ten projekt nechat potupně vyhnít, že ještě jednou udělají co je správné, a ten projekt prostě férově ukončí a uživatelům dají jasně najevo, ať už od nich nic nečekají

To je ale taky spekulace, stejně jako je spekulace to o NSA. Zatímco já připouštím, že to o NSA je jenom spekulace, vy jste od začátku přesvědčený, že vaše křišťálová koule nebo z čeho to věšíte nelže.

O tom, proč vaše spekulace kulhá, se tu už mluvilo několikrát:
ukončení je náhlé a bez varování, zastánci open source najednou doporučují closed source, varují před svým software ale neřeknou nám proč, nepřejí si forky, stáhnou zdrojáky, nemají už na vývoj čas a přesto vydají novou verzi 7.2, která nepřináší nic nového

Ale to se pořád točíme v kruhu. Oba opakujeme, co jsme už řekli. Vás to ještě baví?

a ještě dvě podivnosti přidám:
- ukončení je nejenom náhlé, ale hlavně bez komunikace
- ukončení TC a vyjádření, že TC není bezpečný, přichází v době, kdy probíhá audit TC. Pokud by audit prokázal zásadní chyby, dávalo by ukončení smysl. Ale v opačném případě je ukončení TC a ukončení komunikace ještě podivnější.

Já jsem ale nepsal nic o předání webové stránky do rukou NSA. Psal jsem přesně o tom "napište tam tohle".

"napište na webovou stránku tohle" se možná i stalo
Takže to možná schválně NSA udělala tak, aby o tom Slowthinker a další spekulovali. A Slowthinker o tom spekuluje, záměr NSA se tedy daří. Každý konspirační teoretik se tedy musí ptát, co tím Slowthinker sleduje, že naplňuje plány NSA?

vy jste od začátku přesvědčený, že vaše křišťálová koule nebo z čeho to věšíte nelže.
Nikoli. Já jenom tvrdím, že není spekulace jako spekulace. Že to, že se někdo v určité době věnuje opensource, ale později už na to nemá čas, se stalo už mnohokrát, takže není důvod, proč by se to nemohlo stát znova. A že proti tomu stojí spekulace, ve které mimo jiné Slowthinker plní plány NSA, a že takovýchhle spekulací si dokážu navymýšlet miliony, navzájem si odporujících.

ukončení je náhlé a bez varování
Jistě, dva roky bez jakékoli verze, nevyslyšená žádost o podporu, ale zapomněli praštit Slowthinkera lopatou po hlavě, takže to bylo náhlé a bez varování.

zastánci open source najednou doporučují closed source
Autoři TC nebyli žádní zastánci opensource, opensource pro ně byl jenom nástroj, ne moc podstatný. Vždyť začali vyvíjet software pro Windows, zdrojáky zveřejnili jen kvůli možnosti bezpečnostního auditu, ty nebyly určené k tomu, aby se z nich program běžně překládal, a už vůbec se nepočítalo s tím, že bude do projektu přispívat někdo další. Kdyby byli autoři TC zastánci opensource, naprogramují šifrování do Linuxového jádra (což později udělal někdo jiný). Navíc oni nedoporučují closed source, oni doporučují nativní šifrování na dané platformě. Které např. na Linuxu není closed source.

varují před svým software ale neřeknou nám proč
"it may contain unfixed security issues" Umíte tu větu přečíst? Rozumíte jejímu významu?

nepřejí si forky, stáhnou zdrojáky
Samozřejmě, protože už za to nechtějí nést zodpovědnost. Alibista by prohlásil, že uživatelé už bezpečnosti rozumí stejně dobře, jako on, a ať se sami rozhodnou. Zodpovědný bezpečnostní expert udělá vše pro to, aby to lidé přestali používat.

nemají už na vývoj čas a přesto vydají novou verzi 7.2, která nepřináší nic nového
Ta verze ukončuje TC.

Oba opakujeme, co jsme už řekli.
Přesněji řečeno vy jste něco napsal, já jsem na to reagoval, a vy tu reakci ignorujete a tvrdíte pořád dokola to samé.

napadli mě "zasraný američani"
http://wtfk.cz/temp/vyvadil_cerman.png

já to taky nevím. Ale to asi bude tím, že ani jeden z nás není odborník na právo USA.

ale vzhledem k tomu, že se o té možnosti mluví jako o reálné možnosti, asi nějaký právní rámec existuje.

Co treba nepravni zaklad? Neco ve stylu "vaseho syna zavreme za drzeni heroinu" (ktery jsme mu predtim dali do tasky).

Nemelo, jiste. Nicmene bych vsadil boty, ze k tomu dochazi. Akorat by bylo tezke ziskat dukazy pro i proti, tak by se nevedelo, kdo vyhral. A co vas vede k domnence, ze by vam to nahravani povolili? Zas tak blbi, jako BIS, snad nejsou.

Co by při neprávním základu bránilo NSA nebo komukoli jinému nadiktovat si, jak přesně má to ukončení vývoje vypadat? Tedy že stránka s oznámením o ukončení vývoje bude vypadat tak, aby jí důvěřoval i Slowthinker? (A nebo to v podmínkách bylo a Slowthinker má teď na svědomí zatčení syna autorů TC za držení heroinu.)

<konspiracni_te­orie> Treba presne to udelali. Vyvolali kontroverzi, nasledne nikdo neeri TC, spousta uzivatelu vezme doporuceni vazne a skonci u BL. A BL treba maji dostatecne osefovany. Veci jsou presne tak, ja je soudruzi z NSA chteli. </konspiracni_te­orie>

Tak jsme si krasne zakonspirovali, tak toho nechme, nez skoncime u sedych ufonu. I kdyby to nakrasne byla pravda, tak dukazy neziskame, pokud bych ziskali, mohli bychom se tesit jeste tak asi na pul hodinu zivota.