Topic: TrueCrypt: forse non è open source, forse non è sicuro...

[miki64]

Comunque sia certe misure di sicurezza servono sempre, non fosse altro che per costringere chi vuole avere certi dati ad andarseli a cercare invece che servirli su un vassoio d'argento.

Infatti.
Può sembrare stupido, ma un modo efficace per criptare una chiavetta senza TrueCrypt è quello ad esempio di formattarla in EXt4... giuro che Windows non scova nessun file in essa! 
Insomma, piccoli trucchi (come quello di una password su una cartella zippata con 7-Z) per rendere difficile la vita a ficcanaso, agenti segreti e mogli sospettose...

[gialloporpora]

Visto che siete in argomento:

Breaking News, Cyber Security, Hacking News — thehackernews.com

A senior cryptography expert has claimed multiple fundamental issues in PGP - an open source end-to-end encryption standard to secure email.

[aironeblu_]

Visto che siete in argomento:

Breaking News, Cyber Security, Hacking News — thehackernews.com

A senior cryptography expert has claimed multiple fundamental issues in PGP - an open source end-to-end encryption standard to secure email.

Leggendo questo link di gialloporpora, non ho capito tutto; pero' a parte presunte falle in PGP, dentro c'e' anche un link ad un altro articolo, dove parla di una probabile implementazione del PGP da parte di gmail per mezzo di un addon di Chrome, che mi pare interessante: http://thehackernews.com/2014/06/google-offers-chrome-extension-for-end.html
Tuttavia, da vedere: se google poi ha le chiavi per decrittare le mail che giacciono sui suoi server...

Su questo che dice Geko:

Insomma,mica è detto :
http://it.wikipedia.org/wiki/Pretty_Good_Privacy
https://addons.mozilla.org/it/thunderbird/addon/enigmail/

Io ho letto questi link, non ho capito tutto, pero' quello che mi pare certo e' che riguardi una comunicazione fra due utenti che usano entrambi PGP; se io per es. scambio email con qualcuno che non usa PGP, non mi serve a nulla. E anche se sia io sia il mio interlocutore usano PGP,
quello che non capisco: ma nella webmail di google io le mail scambiate fra me e lui le posso leggere o sono tutte crittografate (e posso leggerle solo nel client di posta)?

[gialloporpora]

Io ho letto questi link, non ho capito tutto, pero' quello che mi pare certo e' che riguardi una comunicazione fra due utenti che usano entrambi PGP; se io per es. scambio email con qualcuno che non usa PGP, non mi serve a nulla. E anche se sia io sia il mio interlocutore usano PGP,
quello che non capisco: ma nella webmail di google io le mail scambiate fra me e lui le posso leggere o sono tutte crittografate (e posso leggerle solo nel client di posta)?
A me non sembrano vere e proprie falle, più che altro sono problemi pratici nell'utilizzo.

Si, entrambi devono usare PGP, esiste anche un'implementazione della cifratura nativa di tutti i client di posta che fa uso di certificati.
Il problema dei certificati è che ci deve essere un'autorità  garante che te li fornisce e li avalla. 
Il vantaggio dei certificati  è che non devi installare software, lo svantaggio è che devi fare affidamento su  un'entità terza (e negli ultimi tempi ci sono stati due tre casi di autorità che si sono fatti fregare le chiavi da hacker).

Su GMail non vedi nulla, se usi i certificati, essendo il messaggio incorporato come allegato, vedrai un allegato, se usi Enigmail vedi dei caratteri incomprensibili.

Credo che l'estensione di GMail memorizzi la chiave privata nel browser, quindi solo con il browser dove hai la chiave privata potrai decifrare il messaggio.



Se vuoi c'è un progetto (devi registrarti e sperare ti diano un invito che a me ancora non è arrivato) che  vuole creare un servizio sicuro per le email, però credo che si potrà usare solo via Web:
https://protonmail.ch/index.php

Secondo me PGP rimane, anche se con qualche problemino, la miglior soluzione al problema.

Edit:
l'estensione c'è anche per Firefox:
https://addons.mozilla.org/en-US/firefox/addon/webpg-firefox/?src=search#
se non ricordo male, c'era anche in passato un'estensione simile, forse con altro nome e autore.

[deckard]

Edit:
l'estensione c'è anche per Firefox:
https://addons.mozilla.org/en-US/firefox/addon/webpg-firefox/?src=search#
se non ricordo male, c'era anche in passato un'estensione simile, forse con altro nome e autore.

Sì, ti ricordi bene.
FireGPG che però non viene più sviluppata.
Funziona fino alla versione 3.X. A partire dalla versione 4.0 ha iniziato ad avere dei problemi.

[gialloporpora]

Grazie @deckard
Ora vedo di installare e provare Web PGP, anche se io preferisco di gran lunga il client di posta rispetto alla web mail.

Potrebbero però correggere quel “Moizilla Firefox” nella descrizione dell'estensione, è proprio bruttino e toglie autorevolezza all'estensione.

[deckard]

L'ultimo numero della rivista digitale Full Circle Magazine parla della questione.
http://fullcirclemagazine.org/issue-86/

Il numero 87 prosegue sull'argomento Truecrypt.
http://fullcirclemagazine.org/issue-87/

[bibbolo]

Azz... sono in ritardo non ero informato... oggi ho appreso questa batosta... che botta ragazzi, per me TrueCrypt non era un programma di crittografia, era IL programma...

[deckard]

In breve e con qualche approssimazione TC aveva il vantaggio di poter creare dei volumi contenitori cifrati riconoscibili anche a livello di Kernel e dotabili di una certa negabilità plausibile.
Nella versione 7.1a non c'era alcuna backdoor né era stato usato codice malevolo in tutte le varie aree oggetto di verifica, ma alcune parti di codice erano sicuramente migliorabili e probabilmente lo sono ancora.
A me aveva suscitato qualche dubbio il fatto che la distribuzione Tails per l'anonimato abbia pianificato di trovare un sostituto a Truecrypt in tempo per il rilascio della versione 2.0 e pare che avessero iniziato a lavorarci sopra l'anno scorso a Ottobre, se non prima addirittura (in tempi meno sospetti). Quindi pochi mesi dopo l'inizio del Datagate e qualche mese prima che Truecrypt venisse dichiarato "non insicuro" in prima istanza e "completamente insicuro" con il rilascio della nuova versione.
Diciamo che portare avanti lo sviluppo di un programma del genere e con la possibilità di creare dei volumi dotati di crittografia plausibilmente negabile è molto delicato.

[bibbolo]

Scusate ma giusto per indenderci, per "negabilità plausibile" si intende la sua resistenza ad attacchi di tipo brute force?

Comunque io continuerò ad usare, penso per molto tempo ancora, questo fantastico programma..

[miki64]

Scusate ma giusto per indenderci, per "negabilità plausibile" si intende la sua resistenza ad attacchi di tipo brute force?

Credo che deckard intendesse il fatto che il volume nascosto non fosse per nulla rilevabile. E questa caratteristica qui per me ne vale 100.000 di altre caratteristiche dei concorrenti (oltre al fatto di essere multipiattaforma).
Io, ad esempio, ho una chiavetta USB con il contenitore nascosto e le istruzioni di come decriptare il file  - non mi ricordo mai come funziona perché TrueCrypt lo utilizzo raramente. Ti sembrerà strano che io le abbia accluse, ma la cosa importante è che io mi devo ricordare la password "vera" e non quella di "adescamento!"!   

Comunque io continuerò ad usare, penso per molto tempo ancora, questo fantastico programma..

E non solo tu... 

[deckard]

Per "negabilità plausibile" intendo che posso negare l'esistenza del volume cifrato ed essere plausibile.
Cioè il volume cifrato viene creato senza che compaia una metaforica insegna al neon con tanto di freccia che indica dove cercarlo.
Devi sapere che il volume esiste e dove E come andare a cercarlo.

[bibbolo]

Ah se vi riferite a quella fantastica caratteristica di poter creare due volumi separati di cui uno "nascosto", o meglio, accessibile solo con la giusta password, direi che è una trovata geniale.. Da quello che ho capito tale volume è accorpato a quello di "adescamento", come un volume criptato dentro un altro volume criptato, per cui un malintenzionato può vedere un intero spazio cifrato pensando che sia unico e non diviso in due parti corrispondenti a password diverse e, se si è costretti a dover far vedere tale volume, ovviamente si da la password del volume irrilevante. Grandiosa "feature".

[deckard]

No non facciamo confusione, per cortesia.
Io mi riferrisco al fatto che io posso negare la loro esistenza a una generica persona che mi chiede se ci sono dei volumi cifrati.
Accorpare i volumi con password distinte è una ulteriore caratteristica.

[Iceberg]

Potrei sbagliarmi ma credo che.
Con negabilità plausibile in questo caso si intende la funzione illustrata da @bibbolo.
Che sia difficile capire se un file è in realtà un volume cifrato è un'altra cosa e in questo caso affermare che non c'è un volume cifrato è negare e basta, si può essere smentiti se chi analizza è bravo.