Страница 4 из 10

Сообщение #61Добавлено: 27.11.2015, 17:31
Xisp
В Германии еще раз исследовали TrueCrypt и серьезных прорех не нашли.
Правильно сделал, что сижу на нём до сих пор. Всё равно лучше не сделали- уже три аудита, и никаких серьёзных дыр.

Сообщение #62Добавлено: 05.09.2016, 18:00
Dissident
В июле этого года была показана возможность установить наличие скрытого тома в TrueCrypt и VeraCrypt.
https://veracrypt.codeplex.com/discussions/657302

Я так понял, что это становится возможным при наличии пароля от внешнего тома.

В связи с этим в последней версии VeraCrypt изменён формат томов и для устранения этой узявимости требуется с помощью новой версии пересоздать те тома, у которые есть скрытые тома .

Сообщение #63Добавлено: 08.09.2016, 19:26
darling
Dissident писал(а) 05.09.2016, 18:00:тановится возможным при наличии пароля от внешнего тома.

В связи с этим в последней версии VeraCrypt изменён формат томов и для устранения этой узявимо
ого, хорошая новость.
апд: вышел вирус-шифровальщик написаный на языке 1С - http://itsecurity-ru.com/news/1s-virus :wacko:

Сообщение #64Добавлено: 23.06.2019, 00:08
Нагаш
С кем можно в лс поговорить по поводу информационной безопасности?

Есть небольшой план, но не хочу постить открыто по ряду причин.

Сообщение #65Добавлено: 23.06.2019, 00:15
Kokovanja
Думаю, с Питером2, Порнослоником, Хиспом.

Сообщение #66Добавлено: 28.06.2019, 00:40
PorNoSloNiK
Нагаш писал(а) 23.06.2019, 00:08:С кем можно в лс поговорить по поводу информационной безопасности?
говори:)

Сообщение #67Добавлено: 02.07.2019, 04:22
Campanula
В очередной раз хочу поднять тему TrueCrypt / VeraCrypt

Как мы помним, разработка TrueCrypt была прекращена при загадочных обстоятельствах, никто так и не понял, что же там произошло, но все согласны, что "что-то не чисто". Очень вероятно, что на разработчиков оказывали давление. Возможно, кто-то влиятельный. Возможно, госструктуры...

Команда VeraCrypt быстро подхватила разработку. Вопрос №1: на них не оказывается давление? Почему? Не потому ли, что они, в отличие от команды TrueCrypt, оказались более сговорчивы? А это, очевидно, может означать, что в продукт добавили бэкдоры -- например, возможность расшифровать контейнер, не зная пароля, если ты работаешь в ФБР.

Исходный код VeraCrypt прошёл независимую проверку (аудит) -- бэкдоров не обнаружено. Вопрос №2: насколько независимой была проверка? Можем ли мы ей доверять? Могут ли бэкдоры быть добавлены после проверки? Тут я не стал бы сильно беспокоиться, потому что пока исходный код открыт, его может проверить кто угодно, и если даже Вася Пупкин что-то подозрительное заметит, будет скандал, а это никому не нужно. Так что, скорее всего, в исходном коде и правда бэкдоров нет.

Но вот что интересно. Мало кто станет собирать продукт из исходников. Большинство (включая, я уверен, и нас с вами) скачают готовую бинарную сборку. Вопрос №3: где гарантия, что бэкдор не добавляется в исполнимый файл во время сборки, после получения исходного кода из репозитория? Как это можно проверить? Взять исходный код, собрать самому и сравнить?

Не тут-то было. Скачиваем исходники, читаем инструкцию по сборке:

At the end of each official .exe and .sys file, there are embedded digital signatures and all related certificates (...) Keep this in mind if you compile VeraCrypt and compare your binaries with the official binaries. If your binaries are unsigned, the sizes of the official binaries will usually be approximately 10 KB greater than sizes of your binaries (there may be further differences if you use a different version of the compiler, or if you install a different or no service pack for Visual Studio, or different hotfixes for it, or if you use different versions of the required SDKs).

То, что вы скомпилируете, заведомо бессмысленно сравнивать с официальными бинарниками, потому что 1) там у них добавлены сертификаты и подписи, которых у вас нет и не может быть; 2) Хэщ-сумма кода зависит от множества факторов, не все из них вы можете контролировать.

Получается, что отсутствие бэкдора в официальных сборках мы проверить не можем. Тяжела ты, жизнь параноика. Что же теперь делать? Всегда собирать самому?

Есть ещё вариант использовать старый TrueCrypt 7.1a, но в нём, якобы, были найдены какие-то баги, в частности, дающие возможность обнаружить скрытый том. К тому же, без всякой поддержки он скоро совсем устареет, например, перестанет работать в новой версии ОС.

Что думаете, диванные спецы по безопасности?

Сообщение #68Добавлено: 02.07.2019, 19:38
Dissident
Из того, что ты написал, следует, что в уже скомпилированной версии под windows проверить отсутствии бэкдоров нельзя. Так что если нужна надёжная windows версия - собирать её самому.

Под линуксом результатом сборки VeraCrypt является один исполняемый файл и собрать его проще. Там нет никаких сертификатов и он не устанавливает никуда никаких драйверов. Так что по идее linux версия должна проходить сверку и быть детерминированной.
Под линуксом также есть LUKS в качестве альтернативы, поддерживается ядром.

Сообщение #69Добавлено: 02.07.2019, 19:53
Kokovanja
Dissident писал(а) 02.07.2019, 19:38:Под линуксом также есть LUKS в качестве альтернативы

А есть гайд на русском по его использованию?

Сообщение #70Добавлено: 02.07.2019, 20:34
Xisp
Campanula писал(а) 02.07.2019, 04:22:Команда VeraCrypt быстро подхватила разработку.

На самом деле они пилили форк задолго до тех событий.

Campanula писал(а) 02.07.2019, 04:22:Получается, что отсутствие бэкдора в официальных сборках мы проверить не можем.

Ты забыл Reverce Engenering.

Сообщение #71Добавлено: 03.07.2019, 01:29
Campanula
Dissident писал(а) 02.07.2019, 19:38:Так что по идее linux версия должна проходить сверку и быть детерминированной. Под линуксом также есть LUKS в качестве альтернативы, поддерживается ядром.

Даже под линуксом код может получиться разный из-за разных версий компилятора и библиотек. LUKS -- хорошо, но для меня самая ценная фича -- возможность создать скрытый том.

Xisp писал(а) 02.07.2019, 20:34:Ты забыл Reverce Engenering.

Нет, не забыл. Скорее забил. Даже аудит исходного кода -- большое мероприятие, на которое деньги всем миром собирают. А раскопать что-то в той каше, что выйдет из дизассемблера, настолько сложно, что можно считать эту задачу невыполнимой на практике.

Сообщение #72Добавлено: 03.07.2019, 17:24
kkkkk
Из дизассемблера можно было бы и битлокер проверить, который команда трукрип рекомендовала перед уходом.

Сообщение #73Добавлено: 03.07.2019, 21:28
Xisp
Намного проще проверять с исходниками на руках и собственноручно скомпилированной версией. Функции с совпадающим ассемблерным листингом можно просто выкидывать из рассмотрения.

Сообщение #74Добавлено: 04.07.2019, 13:27
PorNoSloNiK
Campanula писал(а) 03.07.2019, 01:29: LUKS -- хорошо, но для меня самая ценная фича -- возможность создать скрытый том.
Вот прямо сейчас я тебе пишу из виртуалки, установленной в системе, расположенной на скрытом разделе HDD, зашифрованной LUKS.

Сообщение #75Добавлено: 06.07.2019, 02:19
Campanula
Ты имеешь в виду, что у тебя скрытый раздел, существование которого невозможно доказать, и ты его сделал только средствами LUKS?

Сообщение #76Добавлено: 06.07.2019, 12:41
PorNoSloNiK
Campanula писал(а) 06.07.2019, 02:19:Ты имеешь в виду, что у тебя скрытый раздел, существование которого невозможно доказать, и ты его сделал только средствами LUKS?
Доказать возможно всё!
паяльник в жопу или пакет на голову ещё никто не отменял.....
да, именно так я их и делаю :)

Сообщение #77Добавлено: 08.07.2019, 01:51
Dissident
Campanula писал(а) 03.07.2019, 01:29:Даже под линуксом код может получиться разный из-за разных версий компилятора и библиотек.
Я так понимаю, что на линуксе проще поставить нужную версию компилятора и библиотек.

Сообщение #78Добавлено: 08.07.2019, 15:40
Peter2
Dissident писал(а) 08.07.2019, 01:51:на линуксе проще поставить нужную версию компилятора и библиотек
На линуксе в любом дистре нужные либы найдешь в репах дистра (gcc, Make, YASM, FUSE).
На винде нужен (
Microsoft Visual C++ 2010 SP1 (Professional Edition or compatible)
Microsoft Visual C++ 1.52 (available from MSDN Subscriber Downloads)
Microsoft Windows SDK for Windows 7.1 (configured for Visual C++ 2010)
Microsoft Windows SDK for Windows 8.1 (needed for SHA-256 code signing)
Microsoft Windows Driver Kit 7.1.0 (build 7600.16385.1)
) :wacko:

Добавлено спустя 5 минут:
Campanula писал(а) 06.07.2019, 02:19:только средствами LUKS?
https://blog.linuxbrujo.net/ru/posts/plausible-deniability-with-luks/

Сообщение #79Добавлено: 10.07.2019, 05:08
Campanula
Peter2, спасибо, хорошая статья. Ещё немного поковырять мануалы, и можно всё сделать.
PorNoSloNiK, а у тебя есть какой-нибудь гайд?

Сообщение #80Добавлено: 10.07.2019, 13:08
PorNoSloNiK
Campanula писал(а) 10.07.2019, 05:08:PorNoSloNiK, а у тебя есть какой-нибудь гайд?
Нету.
Но Кубунту из коробки наверное с версии 14, а может и раньше умеет при установке и разметке диска шифровать как весь диск и создавать скрытые тома, так и его часть. При этом загрузчик можно размещать хоть на диске, хоть на флешке....