Topic: TrueCrypt: forse non è open source, forse non è sicuro...

[Iceberg]

Hai scritto la sceneggiatura del mio soggetto.

C'è stata una richiesta di inserire delle backdoor in TrueCrypt, richiesta che non puoi rifiutare.
Gli autori non hanno ceduto, hanno preferito chiudere bottega.
Probabilmente per eludere la legge che imponeva loro di non parlare di questa richiesta si sono inventati quella pagina farsa. Dove è spiegato per filo e per segno cosa non fare.

Il primo esame riportava dettagliatamente le righe di codice che erano migliorabili. Quello pubblicato dovrebbe essere un rapporto corretto, capire se quei suggerimenti erano veri o falsi dovrebbe essere estremamente facile per un programmatore esperto di crittografia.
Il rapporto conteneva tutto quello che hanno scoperto? Non lo sapremo mai.
Si può ipotizzare che se avessero trovato falle gravi e non lo avessero detto non ci sarebbe stato bisogno di dire che era insicuro. Dal loro punto di vista. Perché avvisare di non usare un programma insicuro quando il tuo obiettivo è fare in modo che l'utenza usi programmi insicuri?
Bella l'uscita su BitLocker, non lo userebbe neanche Fantozzi, ma leghi le mani alla controparte.
Ci sarà un prossimo rapporto? Se ci sarà dovrà essere come il primo. Si dovrà leggere "file x riga y problema perché così cosà" e non grida isteriche.

[Gioxx]

Introvabili Miki?
https://github.com/drwhax/truecrypt-archive

Erano già disponibili 20 secondi dopo che era stata staccata la spina del progetto

[miki64]

Attento, Gioxx!   
1) Sul sito (ex sito) ufficiale di TrueCrypt adesso non c'è più nulla.
2) Ok per Github, avevo anche io quel link. Ma chi ci garantisce che non siano dei file uploadati da qualche Nuova Segreta Agenzia?  Tu? 

Comunque stamattina ho letto il tuo post e ho scaricato i file per Windows e Linux.
Per adesso, corrispondono ai miei checksum MD5, provati con questo programmino.
Per adesso... ssstttt...

[gialloporpora]

Se il livello di paranoia è grande, io di md5 non mi fiderei affatto: è già da una ventina d'anni che viene ritenuto non sicuro, MS ha persino scartato SHA1 che è molto migliore di MD5, quindi

http://www.mscs.dal.ca/~selinger/md5collision/

[gialloporpora]

http://nakedsecurity.sophos.com/2014/06/20/truecrypt-mystery-forking-weirder-than-before/

Versione tradotta da Google Translate

[Gioxx]

Sempre peggio praticamente, fermo restando che nessuno ad oggi ha provato l'inaffidabilità dell'ultima versione di TC, non realmente almeno, non comprovata da fatti di decrittazione dischi senza password o altri metodi poco ortodossi di accesso ai file

[deckard]

L'ultimo numero della rivista digitale Full Circle Magazine parla della questione.
http://fullcirclemagazine.org/issue-86/

[deckard]

In merito c'è anche un articolo di Punto Informatico in cui si faceva il punto della situazione.
Vale la pena leggerlo.

[miki64]

Infatti, è prezioso leggerlo.
Evidenzio questo passaggio:

Il mondo del software libero ed aperto non è tuttavia mai stato con le mani in mano, ed ha prodotto, negli ultimi 10 anni alcuni software come Dm-crypt, Cryptsetup e LUKS, che sono diventati standard di fatto per la creazione e l'utilizzo di dischi crittografati.
Come gli altri software FOSS, la loro affidabilità e robustezza non è assoluta, ma equivalente a quella di OpenSSL e di altri pilastri del cyberspazio, ed incomparabilmente superiore a quella di qualsiasi software proprietario e/o a sorgenti chiusi; le verifiche a cui è stato sottoposto sono state infatti incomparabilmente più approfondite.

[deckard]

Poco sopra viene specificato anche che:

La disponibilità di tutte le versioni del software e dei sorgenti viene preservata grazie agli sforzi di Steve Gibson e molti altri, mentre un'iniziativa di verifica completa dei codici sorgenti è già da tempo iniziata.

La prima cosa la sappiamo già in quanto il sito http://truecrypt.ch/ è stato già indicato in questa discussione, e a questa si aggiunge la pagina di Steve Gibson.
L'iniziativa di verifica a cui si fa riferimento e di cui si parla in questa pagina è interessante.

[miki64]

IlSoftware.it indica delle Alternative a TrueCrypt per creare unità crittografate.
Non sono d'accordo su Bitlocker, DiskCryptor o BestCrypt, visto che non è lungimirante avere delle unità crittografate funzionanti solo con un programma per Windows e basta.

Viva l'ultima versione di TrueCrypt, la 7.1a!

[aironeblu_]

Ciao a tutti, ho letto con interesse questo topic.
Ora, vorrei farvi una domanda, anche se non e' strettamente legata all'oggetto del topic (sono stato indeciso se aggiungerla a questo topic oppure creare un topic nuovo) - non credete che una delle piu' grandi potenziali minacce alla privacy sia il fatto che molti (penso la maggioranza) ha una copia delle proprie mail su un server di posta su cui di fatto non ha alcun controllo ?
Per esempio, gmail...
Voglio dire, uno puo' anche crittografarsi i propri dati sul proprio pc con TrueCrypt o simili, pero'intanto le proprie mail che risiedono sul server, non ha modo di crittografarle...

[Geko]

Insomma,mica è detto :
http://it.wikipedia.org/wiki/Pretty_Good_Privacy
https://addons.mozilla.org/it/thunderbird/addon/enigmail/

[miki64]

Comunque la domanda è interessante.
Sì, io credo che comunque non possiamo mai essere sicuri al 100% di niente a riguardo della privacy delle nostre mail - indipendentemente dai metodi di criptazione dei contenuti.
Basta un nonnulla per impossessarsi di una mail decriptata, quindi... 

È un po' come il discorso dello SPAM. Io posso adottare mille trucchi sul mio sito per non ricevere spam nella mia casella di posta elettronica (ad esempio con un'immagine anziché un link mailto:) e ingannare i BOT; se però tu sul tuo sito riportiil mio indirizzo in chiaro e scrivi ai tuoi lettori che possono rivolgersi a me per l'assistenza su Mozilla, i miei sforzi saranno stati vani.
E se non ci sei tu che involontariamente mi danneggi, sicuramente io ho un amico che conserva il mio indirizzo di posta nella sua rubrica che però è alla mercé  di un eventuale subdolo malware segretamente operante nel suo Windows non aggiornato...

Conclusione: personalmente penso che possiamo solo rendere sicuri determinati file in nostro possesso, nei nostri hard disk. Nel momento in cui questi file li condividiamo o li trasferiamo via web, dimentichiamoci che rimangano totalmente inviolabili...

La questione del palmare di Nadia Desdemona Lioce la dice tutta sulla sicurezza, vi ricordate la vicenda? 

[deckard]

La sicurezza assoluta E in termini di integrità dei dati E in termini di riservatezza dei medesimi è una chimera o una pia illusione.
Comunque sia certe misure di sicurezza servono sempre, non fosse altro che per costringere chi vuole avere certi dati ad andarseli a cercare invece che servirli su un vassoio d'argento.
@Miki64 Edit: ciò che tu scrivi conferma che la sicurezza informatica è come la libertà nel senso che richiede una conquista continua E nel senso che richiede la partecipazione e la collaborazione.