Нимфетомания

Anon-Ra писал(а) 26.06.2015, 00:20:но главный разработчик написал на офсайте, что теперь эта прога не безопасна.

Его вынудили это сделать, очевидно же.

Dissident писал(а) 26.06.2015, 12:58:Результаты независимого аудита опубликованы.

Знаю, сегодня перечитывал, форумы по этой шняге. Но что тогда это за шуточки, его предупреждение. Хотя для меня это ноль проблем - есть другие спосбы шифрования, правда уже не динамического, но все равно более "надежные". Талис ведь включает в себя эти две точки сомнения ТруКрипт и какой-то модифицированный PGP. Хотя можно их не использовать.

Xisp писал(а) 26.06.2015, 17:18:Его вынудили это сделать, очевидно же.

Это ясен пень, но закладки были или нет. Аудит можно при их бабле (АНБ) и купить.

Anon-Ra писал(а) 26.06.2015, 00:20:Что с того, что исходники открыты - мне это никак, я не смогу сделать аудит.

В случае с этим и другим открым ПО разница в том, что всё в твоих руках.
А вот когда ПО закрытое, хоть ты 10 раз программист, ничего особо не сделаешь.

Dissident писал(а) 27.06.2015, 00:02:ничего особо не сделаешь.

Дебаггер же.

Anon-Ra писал(а) 26.06.2015, 18:06:Это ясен пень, но закладки были или нет. Аудит можно при их бабле (АНБ) и купить.

Независимый аудит ПО с открытым кодом, которое всегда было таковым - это в принципе мера излишняя, но на неё пошли.
Как я понимаю, частью любого криптографического ПО являются собственно алгоритмы шифрования, которые как правило берутся готовыми в виде исходников. Авторам ПО остаётся дописать интерфейс ну и ещё может какие примочки, т.е. в общей сложности не так уж много и не столь критичные для безопасности элементы, которые легко поддаются аудиту.

Добавлено спустя 1 минуту 23 секунды:

Xisp писал(а) 27.06.2015, 00:06:

Dissident писал(а) 27.06.2015, 00:02:ничего особо не сделаешь.

Дебаггер же.

Это малопригодный способ для аудита.

Dissident писал(а) 27.06.2015, 00:09:Как я понимаю, частью любого криптографического ПО являются собственно алгоритмы шифрования, которые как правило берутся готовыми в виде исходников. Авторам ПО остаётся дописать интерфейс ну и ещё может какие примочки, т.е. в общей сложности не так уж много и не столь критичные для безопасности элементы, которые легко поддаются аудиту.

Ниправильна. Там свои заморочки с генерацией случайных чисел, с фиговой энтропией получаемого шифра, да вообще дофига всего, как ни странно.

Dissident писал(а) 27.06.2015, 00:09:Это малопригодный способ для аудита.

Что да то да. Но в коммерческом софте же находят дыры, именно этим способом.

Xisp писал(а) 27.06.2015, 00:21:Ниправильна. Там свои заморочки с генерацией случайных чисел, с фиговой энтропией получаемого шифра, да вообще дофига всего, как ни странно.

Это значит тогда, что аудит нужно проводить не криптографического ПО, а этих алгоритмов и их реализаций.

ну криптоалгоритмы по сути постоянно проверяются на устойчивость.

Dissident писал(а) 27.06.2015, 00:55:Это значит тогда, что аудит нужно проводить не криптографического ПО, а этих алгоритмов и их реализаций.

Да нет. Вот забудут где- нибудь обнулить переменную, и из- за этого всё под откос пойдёт. Вполне ПОшная ошибка. Или например память не затирается перед отдачей её ОС, и оттуда её сможет скомуниздить любой процесс хоть с правами гостя.
Почитай о дырках, которые закрывают в подобном софте.

Xisp писал(а) 27.06.2015, 01:52:Да нет. Вот забудут где- нибудь обнулить переменную, и из- за этого всё под откос пойдёт. Вполне ПОшная ошибка...

Правильно мыслишь, но и у меня есть прием, хотя я и лох в програмировании - это алгоритм выбора криптографического ПО. Например, нет заявленных сомнений в стойкости 7z. Вот им и нужно пользоваться, не так удобно как ТруКрипт, но вполне годное решение

Anon-Ra писал(а) 27.06.2015, 05:00:Например, нет заявленных сомнений в стойкости 7z.

Лол. Потому что это не криптографическое ПО.

Anon-Ra писал(а) 27.06.2015, 05:00:Например, нет заявленных сомнений

А с трукриптом что?

Xisp писал(а) 27.06.2015, 05:51:А с трукриптом что?

А х/з что теперь думать. Есть ПО работе с зашифрованными разделами другое. Умная фраза так звучит - ПО которе пока не скомпрометировано в глазах пользователей.