Iniciatíva chce bezpečnostný audit TrueCryptu, zháňa financovanie

DSL.sk, 16.10.2013

Obľúbený softvér TrueCrypt pre šifrovanie celých diskov, diskových oddielov respektíve obrazov súborových systémov bude mať zrejme v blízkej budúcnosti bezpečnosť preverenú expertami na kryptografiu.

Po niekoľkých týždňoch príprav a septembrovom štarte kampane na menšej službe tzv. ľudového financovania FundFill v pondelok úspešne odštartovala masovejšia kampaň, ktorej cieľom je vyzbierať dostatok prostriedkov na preverenie a garantovanie bezpečnosti tohoto softvéru.

Za iniciatívou stojí profesor kryptografie z Univerzity Johnsa Hopkinsa Matthew Green, ktorý ju predstavil v pondelok.

TrueCrypt je zdarma dostupný kvalitný softvér s otvorenými zdrojovými kódmi, ktorý umožňuje symetrickým šifrovaním chrániť obsah celých diskov, jednotlivých diskových oddielov alebo obrazov súborových systémov v súboroch. K dispozícii je pre všetky tri hlavné OS na PC, Windows, OS X aj Linux.

Medzi užívateľmi je obľúbený a používaný je aj najpokročilejšími užívateľmi a to aj na chránenie dát veľmi vysokej priority. Okrem iného ho používal aj partner britského novinára na zabezpečenie súborov od Edwarda Snowdena v čase, keď ho britská polícia zadržala a prehľadávala na londýnskom letisku Heathrow.

Prvá verzia softvéru bola vydaná ako pokračovanie softvéru E4M v roku 2004, doteraz ale nebol uskutočnený jeho kompletný bezpečnostný audit. V súčasnej atmosfére po zverejnení informácií Snowdenom okrem iného o snahe NSA ovplyvniť bezpečnosť kryptografických štandardov aj jednotlivých implementácií Green stojaci za iniciatívou poukazuje na potrebu overiť bezpečnosť tak dôležitého softvéru ako je TrueCrypt.

Navyše u projektu TrueCrypt je viacero ďalších potenciálnych dôvodov pre uskutočnenie dôsledného auditu. Napríklad jeho autori zostávajú v anonymite a v roku 2011 bolo identifikované odlišné správanie verzie 7.0a vo Windows a v Linuxe.

Iniciatíva chce získané prostriedky použiť na dosiahnutie štyroch cieľov. Chce vypísať odmeny za nájdenie chýb v softvéri a ak vyzbiera dostatočnú finančnú podporu, chce uskutočniť profesionálny bezpečnostný audit celého kódu.

Keďže samozrejme väčšina užívateľov získava TrueCrypt v podobe binárnych inštalačných súborov, chce zvýšiť bezpečnosť TrueCryptu zavedením deterministického vytvárania inštalačných súborov. Užívatelia tak získajú istotu, že inštalujú naozaj softvér, ktorého zdrojové kódy boli overené.

Iniciatíva chce tiež nechať právne analyzovať licenciu softvéru a overiť jej kompatibilitu s GPL a ďalšími OSS licenciami.

Prispieť k iniciatíve je možné na Indiegogo a FundFill, doteraz vyzbierala už viac ako 23 tisíc dolárov. Podľa vyjadrenia osôb za iniciatívou po 10-tisícovom záväzku od Adama Ghettiho z Ionic Security by už aj táto čiastka mala stačiť na plný audit a ciele sa teda zrejme podarí naplniť.




Najnovšie články:



inzercia



Diskusia:

Pekne ale... Od: ParaNoik | Pridané: 16.10.2013 12:35 Profesionalny audit, znie to pekne ale kto zaruci, ze je naozaj nezavisly a kompetentny? NSA ma prsty vsade. Odpovedať Známka: 7.2 Hodnotiť:

Re: Pekne ale... Od: zradniak | Pridané: 16.10.2013 12:44 sak NSA si pocka na vykonanie auditu, nasledne podplati alebo povydiera tych spravnych ludi a nasledne s pocitom strasneho uspokojenia tam slavnostne za ucasti setkych zradnikov, tam vlozi backdoor..... Odpovedať Známka: 8.4 Hodnotiť:

Re: Pekne ale... Od: el nino | Pridané: 16.10.2013 16:37 ten tam už dávno je tak ako v tých D-Linkoch Odpovedať Známka: -2.0 Hodnotiť:

Re: Pekne ale... Od: Houston | Pridané: 16.10.2013 20:44 Na Dlinku DI-524, ktory ma byt tiez zranitelny s FW3.12 sa mi s danym UA nepodarilo dostat do administracie, stale pyta meno/heslo. Upozornujem, ze UA bol odhaleny testom na emulatore kodu s FW pre DIR-100 firmware 1.13 pre HW reviziu A. Odvtedy sa predavali HW revizie B,C,D,E, ktorym zodpovedaju firmwary verzii 2.x,3.x,4.x,5.x. Tie sa vsak akosi neskumali. Dalej je samozrejme jasne, ze bezne nemaju DLINKy na WAN rozhrani otvorene administracne porty, teda ani neprijimaju HTTP poziadavky. Odpovedať Známka: 6.0 Hodnotiť:

Re: Pekne ale... Od: dnes má meniny Vladimíra zajtra | Pridané: 17.10.2013 0:03 Skutočná moc je, keď vieš prejsť cez každú zábranu. Čo by to bol v stredoveku za kráľ, ktorý by mal vedľa svojho hradu les do ktorého by nemohol ísť. To len my sa tu hráme na ... Odpovedať Známka: 6.7 Hodnotiť:

Re: Pekne ale... Od: NooN | Pridané: 16.10.2013 12:59 Kto to zaruci? No predsa bezpeznostny audit bezpecnostneho auditu.... Odpovedať Známka: 9.2 Hodnotiť:

Re: Pekne ale... Od reg.: Co ta Potem | Pridané: 16.10.2013 13:12 Quis custodiet ipsos custodes? Odpovedať Známka: 10.0 Hodnotiť:

Re: Pekne ale... Od: BOLS | Pridané: 16.10.2013 13:52 Kalina: "Skutok sa nestal" Odpovedať Známka: 2.0 Hodnotiť:

Re: Pekne ale... Od: qnijoi2q | Pridané: 16.10.2013 17:30 Inception 2. Scenar: NooN Odpovedať Známka: 10.0 Hodnotiť:

Re: Pekne ale... Od: ezechiel | Pridané: 16.10.2013 13:04 " ale kto zaruci, ze je naozaj nezavisly a kompetentny? " Zarucia to politici. Tym sa predsa da verit, nie? Odpovedať Známka: 5.0 Hodnotiť:

Linux Od: SKl247 | Pridané: 16.10.2013 13:20 Takže TrueCrypt má otvorené zdrojové kódy, ktoré majú niekoľko tisíc riadkov a nevieme, či náhodou NSA do nich nedala backdoor. Keď sa tu ale na diskusii niekto pýtal, ako vieme, že NSA nemá backdoor aj v Linuxe, ktorý má síce otvorené zdrojové kódy, ale má ich stonásobne viac, tak sa všetci Linuxáci tvárili, že to možné nie je, lebo (zrejme oni osobne) by si to všimli. Odpovedať Známka: 6.9 Hodnotiť:

Re: Linux Od: radliak | Pridané: 16.10.2013 13:33 no jasne ze by si to oni osobne vsimli, myslia si totiz ze si tie zdrojaky vytlacia(asi niekde v kancli cez.... sak viete) a tam najdu nieco taketo: /*------------------BACKDOOR-------------------*/ nejaky kod.... /*------------------BACKDOOR OFF---------------*/ elebo ze si ich ulozia do wordu, daju ctrl+f a do okienka napisu backdoor-NSA Odpovedať Známka: 6.2 Hodnotiť:

Re: Linux Od: jozkooo | Pridané: 16.10.2013 13:38 dalsi tunel Odpovedať Známka: -6.7 Hodnotiť:

Re: Linux Od: __fuxo | Pridané: 16.10.2013 13:54 Ale je urcite lepsie pouzivat OS s nejakou, aj ked minimalnou, moznostou vlozenia backdooru, ako OS s potvrdenym backdoorom... Chapem, co si chcel povedat, my linuxaci to obcas prehaname, ale faktom je, ze s bezpecnostou sme niekde uplne inde. Odpovedať Známka: 8.5 Hodnotiť:

Re: Linux Od: ASD_ | Pridané: 16.10.2013 19:12 Problem je, ze do kodu moze prispievat niekto, kto je na vyplatnej listine povedzme NSA. Pride so super hash funkciou, ktora ma ale mali zadrhel. Na preskumanie tej funcie sa hned vrhne 100 ludi. Ale otazkou zostava je tych 100 ludi chytrejsich ako ten cu to dieru vytvoril. Ak nie, tak je len mala sanca, ze pridu na to v com je hacik. Takze ak chces mat istotu, ze ta nesleduju, tak zahodit mobil, platobne karty, cely sucasny zivot, odstahovat sa niekde do strednej Afriky a uz nikdy nazapnut pocitac :) Odpovedať Známka: -2.5 Hodnotiť:

Re: Linux Od: ParaNoik | Pridané: 16.10.2013 14:21 Nie je linuxak ako linuxak. Neverim tomu, ze existuje mnoho ludi na planete, ktori by dokazali zanalyzovat kod na takej urovni, aby backdoor odhalili. A tych par co to dokazu ma lepsie veci na praci. A NSA plati urcite lepsie ako CrowdFunding. Odpovedať Známka: 8.4 Hodnotiť:

Re: Linux Od: .em | Pridané: 16.10.2013 14:24 pytal sa 'ako viete, ze NSA MA backdoor v linuxe' :) ... a potom dodal, ze moze byt aj hocikde... aj v kompileri aj v transfunkcioneri kontinua, hocikde... sak ked si tam vie dat maly makky velke cecky, moze si tam dat hocikto hocico... hovoril len, ze zatial nebol (priamy) dokaz o existencii analu do linuzu a ohovaraca sa pytal na dokaz, takze neprekrucajte jak 0xF1C0... Odpovedať Známka: 7.8 Hodnotiť:

Re: Linux Od: Demeter_Hromozvodev | Pridané: 16.10.2013 15:21 Pokial viem tak B15B00B5 boly odhalené, backdoor od NSA ešte nie. Ktovie, možno raz... Odpovedať Známka: 6.0 Hodnotiť:

Re: Linux Od: Alino: | Pridané: 16.10.2013 17:29 Možno Torvalds o tom aj vie, preto krútil hlavou a hovoril niečo iné, chcel nám dať znamenie! Potom povedal že si robil srandu. Je donuteny ich poslúchať možno mu vyhrážali že ho umucia a zabijú mu rodinu. Odpovedať Známka: 5.4 Hodnotiť:

Re: Linux Od: quix_ | Pridané: 16.10.2013 20:15 holy shit, daj my aspon liznut z toho tvojho matrosa Odpovedať Známka: 8.5 Hodnotiť:

Re: Linux Od: fdadsfadsfas | Pridané: 17.10.2013 7:42 nooo bacha na to vole, pred 30 rokmi to ani tu na slovensku nebolo inak.... tu si ale skoncil v uranovych baniach Odpovedať Známka: 10.0 Hodnotiť:

Re: Linux Od: Alino: | Pridané: 17.10.2013 8:10 Sa mi smeješ ale môže to byť pravda. Nehral si splinter cella? :) Odpovedať Známka: 2.0 Hodnotiť:

Re: Linux Od: quix_ | Pridané: 17.10.2013 8:34 ni, ja mam linux a preto mi nejdu hry. locicke nie? :D Odpovedať Známka: -4.3 Hodnotiť:

Re: Linux Od: kekeket | Pridané: 17.10.2013 9:49 tak to si nejaky slaby odvar ITckara, ja mam linux, win aj mac a kadejake virtualky po esxi Odpovedať Známka: 6.7 Hodnotiť:

Re: Linux Od: jebek | Pridané: 17.10.2013 14:10 nj Tom Clancy :) ten pisal celkom realne veci, skoda ze zomrel par tyzdnov dozadu. Neprekvapilo by ma keby to co pisal bola z velkej casi pravda o NSA. Odpovedať Hodnotiť:

Re: Linux Od: jsdkfjs | Pridané: 16.10.2013 15:08 cize ak ta chapem spravne, jedine spravne riesenie je pouzivat Win a zmierit sa faktom ze sa tomu nevyhnem ? OK teda, do toho! Odpovedať Známka: -1.1 Hodnotiť:

Re: Linux Od: ParaNoik | Pridané: 16.10.2013 17:14 Chapes tomu zle. Jedine riesenie je pozivat zdravy rozum a plutonium kupovat offline. Odpovedať Známka: 8.5 Hodnotiť:

Re: Linux Od reg.: Podme spolu trolit, pozri ja uz trolim | Pridané: 16.10.2013 19:54 Chapes tomu zle??? Chapes tomu zle????? Chapes TO zle!!! Uz sa to konecne nauc, ty de*ent! Odpovedať Známka: 0.0 Hodnotiť:

Re: Linux Od: quix_ | Pridané: 16.10.2013 20:22 dakujem, mal som nutkanie napisat mu to :) Odpovedať Známka: -2.5 Hodnotiť:

Re: Linux Od: __fuxo | Pridané: 17.10.2013 9:48 Nie som ziadny grammar nazi, ale toto aj mne vzdy "kole oci" :) Bud: "Chapes TO zle" alebo "Rozumies TOMU zle" Odpovedať Hodnotiť:

Re: Linux Od: na sak ja | Pridané: 18.10.2013 11:45 Nie nie, chapes tomu zle a rozuniies to zle Odpovedať Hodnotiť:

Re: Linux Od: alfabet | Pridané: 17.10.2013 13:08 pytaj sa otazkou: "nechapes comu?" odpoved "tomu" a nie "to" chapem to - ono chapem tomu - čomu Odpovedať Hodnotiť:

Re: Linux Od: chapensie | Pridané: 17.10.2013 11:19 nechapem tomu, ako tomu mozes nechapat... Tomu je nepochopitelne... Odpovedať Známka: 6.7 Hodnotiť:

Pridať komentár