CipherShed - egy TrueCrypt fork

( trey | 2014. 09. 20., szo - 07:19 )
Szerszám

Mint az ismert, a TrueCrypt fejlesztése misztikus körülmények közt befejeződött. Forkjaként elindult a CipherShed, amely az elődjéhez hasonlóan Windowsra, Linuxra és OS X-re is elérhető lesz. A projekt jelenleg az első kiadáson dolgozik és a TrueCrypt 7.1a rebrandelésével tölti idejét.

A projekt weboldala itt található.

( pehsa | 2014. 09. 20., szo - 10:48 )

Jo lenne mar tenyleg valami ertelmes (NSA biztos) TrueCrypt-fork.

( nevergone v | 2014. 09. 20., szo - 11:33 )

Remélem a rebrandelésen kívül más is fog történni. Vajon a hozzáadott kód is lesz olyan minőségű, mint az eredeti?

-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
rand() a lelke mindennek! :)
Szerinted…

( mogorva v | 2014. 09. 20., szo - 21:04 )

Remek. És mi a garancia, hogy tiszta forráskódból dolgoznak?

Jogos, csak pont te írtad, hogy csak abban bízol, amit te írtál.

Tehát nekem is át kellene nézni a forráskódot, majd az alapján dönteni. Nyilván se hozzáértés, se idő nincs rá.

Átfutottam az oldalt, hogy honnan szedték a kódot, de nem találtam róla infót. Az lett volna kicsit megnyugtató, ha az auditot végző prof végül kiad egy közleményt, hogy az általa vizsgált kód minden szempontból tiszta és azt a kódot a leendő forkok rendelkezésére bocsájtja. Persze nyilván őt is megvehették/megzsarolhatták megfelelő helyről, hogy mit ne vegyen észre. Szóval gémóver.

Azert, hogy ha kapcsolatban allnak veluk akkor biztos nem azt fogjak irni, hogy a kod szarmazasi helye a National Security Agency.

Amugy meg ha a TrueCryp-tben is vannak NSA szamara fenntartott kiskapuk, akkor sem hiszem ,hogy nyiltan beleteszik abba a forraskodba ami mindenki szamara olvashato. A binarisban mar mas kerdes, hogy azon belul mi van.

Naná, de a manyeyeballs lényege, hogy célzottan senki nem keresi (azaz pl. nem kap azért pénzt valaki, hogy auditálja a kódot, mert ezt ugye zárt forrású cuccokkal is megteheti a gyártója), hanem előbb-utóbb észreveszi valaki. És tényleg. De főleg utóbb. :)

De mindegy, a TCnext-es arcok állítólag célzottan auditálnak, ami saját bevallásuk szerint is még mindig "ongoing" folyamat, pedig van már TCnext egy ideje. Mi a garancia arra, hogy tényleg csinálnak valamit? Mi a garancia arra, hogy az NSA még nem vette át az egészet, és fogja majd azt mondani, hogy az audit nem talált backdoort? Mi a garancia arra, hogy nem eleve az NSA kezdte a projektet? Stb.

tl;dr attól, hogy lehetőséged van auditálni a kódot, még nem lesz hozzá automatikusan erőforrásod/szakértelmed is

Nem feltétlen neked kell auditálni a kódot. A kód elérhető. Megfizethetsz egy hozzáértőt, hogy auditálja neked. Ha nincs pénzed, csinálhatsz rá egy közösségi finanszírozási kampányt és az érdektársaiddal együttműködve megteremthetitek az alapján az auditnak. Ezernyi lehetőség van.

https://twitter.com/matthew_d_green/status/472395898597556225

A nyílt forrás nem arról szól, hogy minden ingyen van. Ja és a nyílt forrás az nem kötelezvény. Senki sincs kötelezve az auditálásra. A nyílt forrás egy lehetőség, amivel lehet igény esetén élni.

--
trey @ gépház

(paranoia-irónia on)...majd megfizetsz/közösségifinanszíroztatsz egy másik szakértőt, hogy auditálja, hogy a Nálad lévő bináris ennek a kódnak megfelel-e?
Emiatt inkább nem a binárist használod, hanem magad fordítod forrásból.
Akkor viszont kell egy még drágább szakértő, aki megvizsgálja, hogy a fordítóprogramod nincs-e megbabrálva és valóban azt állítja elő a forrásból, amit kell. Utána pedig elégedetten hátradőlhetsz, hiszen biztos lehetsz benne, hogy az operációs rendszeredben nincs olyan "furcsaság", amely a truecryptben található "furcsasággal" (nem hiba, ezért a szakértőd nem veszi észre...) együtt képez veszedelmes kombinációt... s.í.t.
A processzorod mikrokódjában található tisztességtelen szándékú kód pedig csendben teszi tovább a dolgát...
(paranoia-irónia off)

Mai ajánlott olvasmányunk:
Friedrich Dürrenmatt: A MEGBÍZÁS, AVAGY A MEGFIGYELŐK MEGFIGYELŐJÉNEK MEGFIGYELÉSÉRŐL

Üdv,
Marci

Én nem, mert én nem töltöm az időm ilyen dolgokkal. Viszont aki szeretne ezzel foglalkozni, annak megvan erre a lehetősége. Ha nincs is 100%-os biztonság, én ettől függetlenül üdvözlök minden olyan dolgot, ami a biztonság fokozását célozza, vagy elősegíti azt.

--
trey @ gépház

> Ott lesz a forraskod. Barki atnezheti.

Istenemmá'. Ha mindig kapnék egy dollárt, amikor valaki ezt mondja, megvehetném belőle a Google-t.

Nem. Tévedsz. Ott lesz a forráskód, és elméletileg bárki átnézheti. Ez olyannyira igaz, hogy a TCnext-nél _csapatosan_ álltak neki auditálni a kódot, mégsem jutottak kb. semmire. Ha akár csak messziről láttál volna valaha programkódot, akkor tudnád, hogy egy ilyen "fussuk át backdoorok után kutatva" az k*rva sok embernap, amit ki fog fizetni? Te? Vagy neked, személy szerint pehsa-nak megvan az ideje és szakértelme, hogy egyedül "átnézze" a kódot, és megtalálja benne a biztonsági réseket?

Ha ez így lenne, akkor nem találnának 20+ éves backdoorokat mondjuk az X-ben.

> Ha olyan van akkor ki is vehet (NSA-) modulokat belole

Az tuti, mert biztos úgy lesz elnevezve a backdoor, hogy NSA_BACKDOOR_DO_NOT_REMOVE.c... :)

Nem azt mondtam, hogy en magam napi 24 oraban ilyeneket csinalok. Csak valaszkent irtam, hogy van ilyenre lehetoseg. Ha nagy projektrol van szo akkor meg igen, ott van a TCnext meg egyebek, akik ezt csinaljak. Am mivel nem tudunk semmit arrol, hogy naluk a hatterben mik folynak, igy meg a kijott eredmenynek sem hihetunk 100%-osan.

"Ott lesz a forraskod. Barki atnezheti."

At, csak azt ne felejtsd el, hogy a kod hibamentessegerol meggyozodni minimum egy, de inkabb ket nagysagrenddel tobb munka, mint megirni.

"Csak olyan programban bizok amelyiket en irtam"

Jo annak, aki sosem hibazik. A vilag maradek 100.000%-a sajnos erre nem kepes.

--
"You're NOT paranoid, we really are out to get you!"

( zitev v | 2014. 09. 21., v - 19:29 )

sub

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

( noss | 2014. 09. 22., h - 23:54 )

úgy emlékszem, truecryptet marha nehéz volt fordítani. ha ez már gondtalanul fordul, egyel jobb.
tc-nél nem ismertünk senkit,
(gyönyörűen megmaradt ez a történet elejétől a végéig, nem kizárt hogy 50-80 év múlva feloldják az aktáját) ;)
ha itt esetleg ismerünk majd valakiket, kettővel jobb.

truecrypthez még: próbálta valaki utánuk csinálni, hogy népszerű szoftvert ennyire névtelenül frissítget (akár fele) ennyi ideig?