Notizie: puoi sempre seguire i nostri aggiornamenti su Twitter (@MozillaItalia) e Facebook (/MozillaItalia)

Autore Topic: TrueCrypt: forse non è open source, forse non è sicuro...  (Letto 17947 volte)

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline bibbolo

  • Post: 833
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #105 il: 24 Ottobre 2016 00:53:15 »
Non ho mai pensato che esista la sicurezza assoluta di qualcosa, men che meno di tutto ciò che riguarda un software. Le mie erano considerazioni e dubbi su una questione importante quanto ancora non chiara. Ad ogni modo io uso e continuo a usare da anni TC 7.1a, ma volevo solo sapere se, a detta dei più esperti, era ragionevole continuare ad affidarsi ad esso o passare a VC, con tutti i limiti e le cautele di cui sopra.

voce di uno che parla nel deserto, o forse doveva essere "voce di uno che parla, nel deserto preparate la strada del S...").
[Spostare una virgola due parole prima o dopo può cambiare il senso a un discorso...]
Qui perdonami, sarà la tarda ora, o sarà che sei più criptico di TC, ma non ti seguo..

Offline deckard

  • Post: 2954
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #106 il: 24 Ottobre 2016 11:03:42 »
voce di uno che parla nel deserto, o forse doveva essere "voce di uno che parla, nel deserto preparate la strada del S...").
[Spostare una virgola due parole prima o dopo può cambiare il senso a un discorso...]
Qui perdonami, sarà la tarda ora, o sarà che sei più criptico di TC, ma non ti seguo..
Vox clamantis in deserto è una frase latina, dal significato letterale: "voce di colui che grida nel deserto" e, in senso traslato, "persona i cui consigli rimangono inascoltati" {[(Miki64)]}.
Inizialmente però la virgola era, o comunque doveva essere, posizionata diversamente, e questo ha cambiato il senso alla frase.
http://www.treccani.it/vocabolario/vox-clamantis-in-deserto/

Poco prima c'era un'altra citazione. Considera che il verbo "to stay" si traduce meglio con "stare", "restare", "rimanere",...

Offline bibbolo

  • Post: 833
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #107 il: 24 Ottobre 2016 16:14:42 »
Bene, allora come si evince dalle mie risposte non sono io il sordo nel deserto.  :lol:
Ma se dovessimo metterla a mo di sondaggio, tu cosa utilizzi tra TC e VC?

Offline deckard

  • Post: 2954
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #108 il: 24 Ottobre 2016 17:11:46 »
Adopero TrueCrypt 7.1a
So che esiste VeraCrypt e so che Cryptsetup/LUKS dovrebbe, e sottolineo pesantemente l'uso del condizionale, essere in grado di gestire il formatoto di TrueCrypt e VeraCrypt.
Ora come ora, Veracrypt non è una alternativa valida per quelle che sono le mie esigenze.
Non posso permettermi che la Legge di Murphy e i suoi corollari colpiscano nel momento e nel modo meno opportuni.
Ricordati che tutte le settimane c'è la vignetta "Le Ultime Parole Famose" (La settimana enigmistica) e che al Monopoli gli imprevisti sono tutti negativi tranne l'"esci gratis di prigione"...
Quando VeraCrypt sarà maturato abbastanza E sara sarà (stramaledizione a me l'accento...) stato sottoposto a un processo di audit e di revisione ne potremo riparlare.
« Ultima modifica: 24 Ottobre 2016 23:10:09 da deckard »

Offline max1210

  • Post: 2599
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #109 il: 24 Ottobre 2016 23:04:05 »
E sara stato sottoposto a un processo di audit e di revisione ne potremo riparlare.
Sono quasi certo che, anzi, sicuro, uscirà a pieni voti  :twisted:

Offline deckard

  • Post: 2954
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #110 il: 24 Ottobre 2016 23:25:13 »
Polvere sono, e un dì (il più tardi possibile, sperabilmente) polvere tornerò ad essere, questa è la mia unica e sola certezza.
Poi sono disposto a fidarmi di te, ma non della tecnologia, non posso permettermi il lusso che mi "tradisca" quando più ho bisogno che mi aiuti ... ...
Il processo di revisione e controllo dovrebbe essere abbastanza approfondito e accurato.

Offline miki64

  • Moderatore
  • Post: 30729
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #111 il: 25 Ottobre 2016 00:53:04 »
Ma se dovessimo metterla a mo di sondaggio, tu cosa utilizzi tra TC e VC?
Sondaggio inutile, caro bibbolo: per adesso non ci sono vere alternative a TrueCrypt all'orizzonte!  :roll:

Quando ci saranno (e se ci saranno, bisogna vedere se gliele lasceranno creare) l'unica vera alternativa per le nuove tecnologie (l'attuale limite di TrueCrypt per il suo futuro) per me sarà un programma open source.
Se un programma del genere non sarà open source, non sarà sicuramente "protetto" dal rischio di backdoor. Facile, no?

Mi dirai che esistono anche esempio di tecnologie closed source che si sono rivelate inviolabili, ma il tempo poi ha svelato che non è così (il telefonino del terrorista con software Apple è stato poi violato dall'agenzia di sicurezza statunitense anche se questa non ha ottenuto la collaborazione di Apple e un programma che a suo tempo fece scalpore per la sua "tenuta ermetica" come Skype proprio di recente è stato violato).

Quindi lunga vita a TrueCrypt!  :D
Non per nulla, disponibile anche su Linux, il che dovrebbe dirla tutta...   ;)

Offline deckard

  • Post: 2954
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #112 il: 25 Ottobre 2016 10:08:07 »
Volumi criptati LUKS - Creazione e uso con cryptmount
LUKS gestione manuale dei volumi: cryptsetup
https://en.wikipedia.org/wiki/Dm-crypt
https://en.wikipedia.org/wiki/LUKS
dm-crypt/LUKS è il futuribile erede ed è in grado di gestire il formato di TrueCrypt ed è open source (GNU  General Public License).
VeraCrypt è tra le quattro alternative la soluzione "meno peggio", le altre tre sono GostCrypt, TCNext, CipherShed.
Ripeto, VeraCrypt è la soluzione "meno peggio"... almeno per ora.
VeraCrypt è Apache License 2.0 e TrueCrypt License Version 3.0 (legacy code only).
https://veracrypt.codeplex.com/license
La precedente licenza, se possibile, è peggio ancora, la Microsoft Public License (Ms-PL).

http://librecrypt.eu/
https://github.com/t-d-k/librecrypt
LibreCrypt  (anche questo open source) può essere utilizzato su Windows per gestire i volumi creati con dm-crypt/LUKS.
La situazione si sta evolvendo.
In che direzione? Verso Cassandra Crossing, ovvio....
Citazioni a parte, ai posteri l'ardua sentenza...

Offline bibbolo

  • Post: 833
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #113 il: 25 Ottobre 2016 15:15:27 »
Appunto perché, come dici anche tu, Vera Crypt è open source ed è al momento l'alternativa "meno peggio" non capisco perché dovrebbe essere un "sondaggio" inutile, specie in un momento di transizione (o se lo si guarda da altri punti di vista, di stallo) come questo sulla vicenda. Per il resto è ovvio che tutto ciò che non sia open è per sua natura meno sicuro in campo di privacy e crittografia.

Offline deckard

  • Post: 2954
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #114 il: 25 Ottobre 2016 17:52:31 »
Prova a dare un'occhiata alla voce di Wikipedia dedicata a LUKS.
Sotto Microsoft Windows, i dischi cifrati con LUKS possono essere utilizzati con LibreCrypt.
Non dico che i tempi sono maturi, ma, se TrueCrypt difficilmente reggerà a lungo a causa degli aggiornameni di Windows e del Kernel di Linux, serve che nel frattempo si lavori qualcosa.
Se niente va bene, ci si ritrova poi con un bel "niente" ... "das Nichts"...
Cifrare parte di un disco è solo una parte del "lavoro per mettere in sicurezza i propri dati" e forse, per quanto importante sia, non è nemmeno la più importante.

Offline miki64

  • Moderatore
  • Post: 30729
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #115 il: 26 Ottobre 2016 00:35:32 »
A parte questo, io sono del parere che quando un programma di criptazione è insufficiente, si può sempre tentare la strada del camuffamento (ma qui entriamo in un altro campo).   :)

Giusto per la cronaca, sul blog di gialloporpora troverete un po 'di consigli di tecnica di steganografia.
Io ne ho inventata una mia personalissima che va una bomba (però non inganna Linux...) e credo che ognuno di noi con un po' di fantasia possa comunque sottrarre i propri file personali agli intrusi, con l'uso di 7-Zip, LibreOffice o gli strumenti nativi di Windows e Linux.

Offline deckard

  • Post: 2954
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #116 il: 16 Novembre 2016 10:50:57 »
Giusto qualora fosse servito dare una conferma a ciò che Iceberg diceva sull'estensione Web Of Trust e sul suo codice sorgente:
A caldo.

Inutile avere codice open source se nessuno lo legge.
[...Omissis...]
Queste verifiche debbono avvenire a ciel sereno e fatte da soggetti quarti, televisione tedesca che prende un colpo di sole per esempio. Gli enti predisposti sono inutili se non dannosi.
[...Omissis...]

Linux: in una implementazione di LUKS c'è una falla di sicurezza
Inserito su 16 novembre 2016 da Marco Bonfiglio in Notizie //
Citazione
Una delle caratteristiche che più apprezziamo dell'OpenSource è la sicurezza: se c'è un problema nel codice, chiunque può accertarlo e correggerlo. Ma dare accesso al codice non vuol dire avere qualcuno che davvero lo legga, e quindi alcuni errori, sebbene lampanti, rimangono in giro per molto tempo.

LUKS (ne abbiamo già parlato) è un sistema molto potente per crittografare il proprio hard disk; come spesso accade con le grandi distribuzioni, viene fornito con degli script che ne rendono semplice e automatico l'utilizzo.

Offline miki64

  • Moderatore
  • Post: 30729
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #117 il: 05 Giugno 2017 11:13:00 »
In questo articolo Paolo Attivissimo traduce molto bene i motivi per i quali non andrebbe mai ostacolato un programma sicuro e senza backdoor come TrueCrypt.
Questo passaggio è fondamentale:
Citazione
“Ordineremo a tutti i creatori di software che riusciamo a raggiungere di introdurre nei loro strumenti delle 'porte sul retro' (backdoor) per noi”. Questo comporta problemi enormi: non esistono porte sul retro che fanno entrare soltanto i buoni. Se nel tuo Whatsapp o Google Hangouts c'è un difetto inserito intenzionalmente, allora le spie straniere, i criminali, i poliziotti corrotti [...] prima o poi scopriranno questa vulnerabilità. Saranno in grado anche loro -- e non solo i servizi di sicurezza -- di usarla per intercettare tutte le nostre comunicazioni. Che includono cose come le foto dei tuoi bimbi che fanno il bagnetto e che mandi ai tuoi genitori o i segreti commerciali che mandi ai tuoi colleghi.


EDIT: la traduzione di Paolo Attivissimo, in alcuni paragrafi, può sembrare forzata, approssimativa o sbagliata. Chi conosce Paolo Attivissimo però sa bene che anche se traduce di fretta non è mai così impreciso. Ebbene, quei termini inadatti sono voluti: è un riscontro che Paolo Attivissimo utilizza per scovare online degli pseudo-traduttori che spacciano per proprie le traduzioni altrui.
« Ultima modifica: 05 Giugno 2017 11:30:41 da miki64 »

Offline deckard

  • Post: 2954
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #118 il: 13 Giugno 2017 16:47:22 »
Shoshana Zuboff è stata Charles Edward Wilson Professor of Business Administration presso la Harvard Business School.
Shoshana Zuboff ha ottenuto un dottorato di ricerca Ph.D. in psicologia sociale e ha indagato i rapporti sociali tra uomini e macchine.
https://en.wikipedia.org/wiki/Shoshana_Zuboff (Grazie anche a Matteo G.P. Flora)
Grazie a lei abbiamo le Leggi di Zuboff, leggi che recitano quanto segue:
  • Everything that can be automated will be automated.
  • Everything that can be informated will be informated.
  • Every digital application that can be used for surveillance and control will be used for surveillance and control.
Cioè, tradotte in Italiano, affermano che:
  • Tutto ciò (Ossia, cioè ogni processo o procedimento) che può essere automatizzato sarà automatizzato.
  • Tutto ciò che può essere informatizzato sarà informatizzato.
  • Ogni applicazione digitale che possa essere usata per sorveglianza e controllo sarà usata per sorveglianza e controllo.
La terza legge ha alcune implicazioni profonde... Se una tecnologia ha, almeno potenzialmente, una applicazione nel campo della sorveglianza e del controllo, sarà utilizzata a tal fine anche se tale tecnologia non ha avuto esplicitamente e intenzionalmente tali finalità nella ideologia di chi l'ha creata.
Le reti sociali sono un esempio. I datori di lavoro sono interessati a ciò che una persona pubblica per capire il grado di affidabilità. Le compagnie assicurative sono interessate a fare previsioni su malattie, alcolismo e incidenti stradali in base al comportamento delle persone. Analisi predittive in un certo senso. E via discorrendo. E sia le aziende che stanno dietro alle reti sociali sia le compagnie assicurative perseguono fini commerciali anche quando hanno a cuore l'interesse pubblico e della loro clientela.
Un altro esempio è dato dai dati raccolti dal navigatore satellitare della macchina o dalla scatola nera (a scopi assicurativi), probabilmente il contratto prevederà esplicitamente una clausola che autorizza la compagnia a fornire tali dati alle amministrazioni municipali per elevare contravvenzioni al codice della strada.
Il comminato disposto di questa legge e di quanto detto da Cory Doctorow e ribadito da Paolo Attivissimo in tale articolo apre i miei occhi a una possibile interpretazione.
Ogni tecnologia può essere utilizzata con finalità di controllo e sorveglianza e <<Questo comporta problemi enormi: non esistono porte sul retro che fanno entrare soltanto i buoni.>> e non abbiamo la certezza che chi entra persegua finalità benefiche a vantaggio dei titolari di quei dati per quanto anonimi. Sì, mi riferisco ai dati raccolti tramite i sistemi di telemetria delle applicazioni, di analisi di integrità, di rapporto sui crash, e, no, non mi riferisco solo e soltanto a quelli relativi a prodotti specifici, per quanto questi siano quelli pertinenti alle finalità del presente forum.
Sicuramente tali strumenti nascono con delle finalità e queste sono perfettamente legittime. Io non voglio creare allarmismi o motivare paranoie, ma essere prudente e adoperare sempre e comunque le giuste cautele, anche quando qualcuno desidera fare cosa a me gradita al fine di migliorare la mia esperienza utente.
Se vengono stabilite delle connessioni a un server (quelli adoperati a tal fine) queste possono essere intercettate sapendo della loro esistenza.
Se vengono raccolti dei dati, questi possono essere intercettati nei vari passaggi e potenzialmente deanonimizzati.
Ogni porta d'accesso ai propri dati è potenzialmente pericolosa ed è pericolosa anche quando si cerca di anonimizzarli perché se ci sono falle e vulnerabilità sicuramente qualche persona le scoprirà e le sfrutterà. E non c'è modo di essere sicuri che siano solo i buoni a farlo e che le finalità siano a vantaggio dell'utenza.
Ci tengo a ribadire che Io non voglio creare allarmismi o motivare paranoie, ma per me è importante avere un approccio consapevole e responsabile all'ecosistema formato dalle tecnologie informatiche e telematiche, approccio che sia attivo, reattivo e, nel limite del possibile,
 proattivo.

Offline deckard

  • Post: 2954
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #119 il: 03 Luglio 2017 10:35:07 »
VeraCrypt 1.20: 64-bit optimization, new home
By Martin Brinkmann on July 1, 2017 in Software - Ghacks.net

Citazione
VeraCrypt 1.20 featuring 64-bit optimization, support for Secure Desktop for password entry on Windows, and more, was released on June 29, 2017.
The encryption software was one of the programs that came to life after the developers of the open source encryption software TrueCrypt stopped development under mysterious circumstances.
VeraCrypt is based on TrueCrypt source code, and compatible with encrypted containers and drives as a consequence.
The software is available for Windows, Linux and Mac OS X, and also open source.

0 Utenti e 1 Visitatore stanno visualizzando questo topic.