Мегабайты в никуда

Список разделов

Описание: Решаем технические проблемы

Сообщение #21 Xisp » 26.06.2015, 17:18

Anon-Ra писал(а) 26.06.2015, 00:20:но главный разработчик написал на офсайте, что теперь эта прога не безопасна.

Его вынудили это сделать, очевидно же.
Не думай, что белочки могут сделать для тебя, думай, что ты можешь сделать для них- Я.
Те, кто готов поступиться свободой во имя безопасности, не заслуживают ни свободы, ни безопасности- Бенджамин Франклин.
Xisp M
Сообщения: 13831
Зарегистрирован: 20.01.2013

Сообщение #22 Гость » 26.06.2015, 18:06

Dissident писал(а) 26.06.2015, 12:58:Результаты независимого аудита опубликованы.
Знаю, сегодня перечитывал, форумы по этой шняге. Но что тогда это за шуточки, его предупреждение. Хотя для меня это ноль проблем - есть другие спосбы шифрования, правда уже не динамического, но все равно более "надежные". Талис ведь включает в себя эти две точки сомнения ТруКрипт и какой-то модифицированный PGP. Хотя можно их не использовать.
Xisp писал(а) 26.06.2015, 17:18:Его вынудили это сделать, очевидно же.
Это ясен пень, но закладки были или нет. Аудит можно при их бабле (АНБ) и купить.
Последний раз редактировалось Гость 26.06.2015, 18:07, всего редактировалось 1 раз.
Гость

Сообщение #23 Dissident » 27.06.2015, 00:02

Anon-Ra писал(а) 26.06.2015, 00:20:Что с того, что исходники открыты - мне это никак, я не смогу сделать аудит.
В случае с этим и другим открым ПО разница в том, что всё в твоих руках.
А вот когда ПО закрытое, хоть ты 10 раз программист, ничего особо не сделаешь.
мы в ответе за тех, кого приручили
Dissident
Сообщения: 1904
Зарегистрирован: 22.01.2013

Сообщение #24 Xisp » 27.06.2015, 00:06

Dissident писал(а) 27.06.2015, 00:02:ничего особо не сделаешь.

Дебаггер же.
Не думай, что белочки могут сделать для тебя, думай, что ты можешь сделать для них- Я.
Те, кто готов поступиться свободой во имя безопасности, не заслуживают ни свободы, ни безопасности- Бенджамин Франклин.
Xisp M
Сообщения: 13831
Зарегистрирован: 20.01.2013

Сообщение #25 Dissident » 27.06.2015, 00:09

Anon-Ra писал(а) 26.06.2015, 18:06:Это ясен пень, но закладки были или нет. Аудит можно при их бабле (АНБ) и купить.
Независимый аудит ПО с открытым кодом, которое всегда было таковым - это в принципе мера излишняя, но на неё пошли.
Как я понимаю, частью любого криптографического ПО являются собственно алгоритмы шифрования, которые как правило берутся готовыми в виде исходников. Авторам ПО остаётся дописать интерфейс ну и ещё может какие примочки, т.е. в общей сложности не так уж много и не столь критичные для безопасности элементы, которые легко поддаются аудиту.

Добавлено спустя 1 минуту 23 секунды:
Xisp писал(а) 27.06.2015, 00:06:
Dissident писал(а) 27.06.2015, 00:02:ничего особо не сделаешь.

Дебаггер же.
Это малопригодный способ для аудита.
мы в ответе за тех, кого приручили
Dissident
Сообщения: 1904
Зарегистрирован: 22.01.2013

Сообщение #26 Xisp » 27.06.2015, 00:21

Dissident писал(а) 27.06.2015, 00:09:Как я понимаю, частью любого криптографического ПО являются собственно алгоритмы шифрования, которые как правило берутся готовыми в виде исходников. Авторам ПО остаётся дописать интерфейс ну и ещё может какие примочки, т.е. в общей сложности не так уж много и не столь критичные для безопасности элементы, которые легко поддаются аудиту.

Ниправильна. Там свои заморочки с генерацией случайных чисел, с фиговой энтропией получаемого шифра, да вообще дофига всего, как ни странно.

Dissident писал(а) 27.06.2015, 00:09:Это малопригодный способ для аудита.

Что да то да. Но в коммерческом софте же находят дыры, именно этим способом.
Не думай, что белочки могут сделать для тебя, думай, что ты можешь сделать для них- Я.
Те, кто готов поступиться свободой во имя безопасности, не заслуживают ни свободы, ни безопасности- Бенджамин Франклин.
Xisp M
Сообщения: 13831
Зарегистрирован: 20.01.2013

Сообщение #27 Dissident » 27.06.2015, 00:55

Xisp писал(а) 27.06.2015, 00:21:Ниправильна. Там свои заморочки с генерацией случайных чисел, с фиговой энтропией получаемого шифра, да вообще дофига всего, как ни странно.
Это значит тогда, что аудит нужно проводить не криптографического ПО, а этих алгоритмов и их реализаций.
мы в ответе за тех, кого приручили
Dissident
Сообщения: 1904
Зарегистрирован: 22.01.2013

Сообщение #28 martos » 27.06.2015, 01:01

ну криптоалгоритмы по сути постоянно проверяются на устойчивость.
martos
Сообщения: 3976
Зарегистрирован: 24.01.2013

Сообщение #29 Xisp » 27.06.2015, 01:52

Dissident писал(а) 27.06.2015, 00:55:Это значит тогда, что аудит нужно проводить не криптографического ПО, а этих алгоритмов и их реализаций.

Да нет. Вот забудут где- нибудь обнулить переменную, и из- за этого всё под откос пойдёт. Вполне ПОшная ошибка. Или например память не затирается перед отдачей её ОС, и оттуда её сможет скомуниздить любой процесс хоть с правами гостя.
Почитай о дырках, которые закрывают в подобном софте.
Не думай, что белочки могут сделать для тебя, думай, что ты можешь сделать для них- Я.
Те, кто готов поступиться свободой во имя безопасности, не заслуживают ни свободы, ни безопасности- Бенджамин Франклин.
Xisp M
Сообщения: 13831
Зарегистрирован: 20.01.2013

Сообщение #30 Гость » 27.06.2015, 05:00

Xisp писал(а) 27.06.2015, 01:52:Да нет. Вот забудут где- нибудь обнулить переменную, и из- за этого всё под откос пойдёт. Вполне ПОшная ошибка...
Правильно мыслишь, но и у меня есть прием, хотя я и лох в програмировании - это алгоритм выбора криптографического ПО. Например, нет заявленных сомнений в стойкости 7z. Вот им и нужно пользоваться, не так удобно как ТруКрипт, но вполне годное решение
Гость

Сообщение #31 Xisp » 27.06.2015, 05:51

Anon-Ra писал(а) 27.06.2015, 05:00:Например, нет заявленных сомнений в стойкости 7z.

Лол. Потому что это не криптографическое ПО.

Anon-Ra писал(а) 27.06.2015, 05:00:Например, нет заявленных сомнений

А с трукриптом что?
Не думай, что белочки могут сделать для тебя, думай, что ты можешь сделать для них- Я.
Те, кто готов поступиться свободой во имя безопасности, не заслуживают ни свободы, ни безопасности- Бенджамин Франклин.
Xisp M
Сообщения: 13831
Зарегистрирован: 20.01.2013

Сообщение #32 Гость » 27.06.2015, 13:23

Xisp писал(а) 27.06.2015, 05:51:А с трукриптом что?
А х/з что теперь думать. Есть ПО работе с зашифрованными разделами другое. Умная фраза так звучит - ПО которе пока не скомпрометировано в глазах пользователей.
Гость


Вернуться в Тех.помощь