Topic: TrueCrypt: forse non è open source, forse non è sicuro...

[deckard]

TrueCrypt, brace sotto le ceneri
Articolo odierno di Gaia Bottà
Il progetto di verifica del codice del fu software di cifratura non è stato abbandonato: al via la seconda fase dell'analisi che potrebbe gettare le basi per fork che sappiano metterne a frutto l'eredità.

Progetto che se va a buon fine dovrebbe essere d'aiuto a chi sta realizzando fork e prodotti derivati da Truecrypt e aiutare nella risoluzione di eventuali difficoltà.
Difficoltà di cui si parlava nell'articolo citato da Gialloporpora.

[Iceberg]

Confermato il grave bug di TrueCrypt.

http://www.ilsoftware.it/articoli.asp?tag=TrueCrypt-e-sicuro-terminate-le-verifiche-tecniche_12062

Chiudendo la sua analisi, Green ha spiegato come nessuna falla importante sia emersa durante la lunga analisi tecnica che ha visto come protagonista TrueCrypt. Nell'applicazione non v'è alcuna backdoor né sono presenti lacune di sicurezza importanti che possano pregiudicare, a livello generalizzato, la riservatezza dei dati protetti con TrueCrypt.

Simili caratteristiche sono inaccettabili. Rimuovete il programma se ancora lo usate.

[miki64]

Che schifo 'sto TrueCrypt!
Viva le soluzioni di codificazione proprietarie installate su sistemi chiusi perché sono più sicure!
E pensare che la gente non si fida di BitLocker, incompetenti!
--------------------------------

Quindi è chiarissimo adesso (ma lo era anche prima) perché hanno costretto i programmatori di TrueCrypt a chiudere il programma: non presentava nessuna falla!!!
Per quanto mi riguarda... TRUE CRYPT A VITA (per quel poco che lo utilizzo)!!!!

[Sokak]

Ricordatevi sempre di lasciare qualche esca. Scansionate un foglio quasi bianco con un paio di righe scarabocchiate. Esagerate con i dpi ma salvate in png scala di grigi. E poi usate questo trucchetto. Nell'archivio mettete file a casaccio, meglio se danneggiati o finti, tipo false lettere, falsi documenti, foto rovinate et similia (magari dei file danneggiati recuperati da qualche vecchia pennetta rovinata vanno benissimo). Accumulate abbastanza roba da creare un archivio di dimensioni credibili per una scansione a 1200 dpi (tra i 20 e i 35 mb di dimensione finale tra immagine e archivio).

Salvate piú copie dell'esca con nomi sospetti in posizioni abbastanza imboscate. (Magari "incartate" l'archivio originale in un altro archivio con altra password piú volte).

Ci ho fatto sclerare per mesi amici che dicevano "te li trovo io i file nascosti". Possono clonarti dischi e pennette, rovistarli per giorni, usare costosissimi software ma non troveranno nulla. Perché non c'é nulla da trovare.

Personalmente usavo anche io truecrypt, ma mi sembrava di avere sempre troppa roba da archiviare e troppo poco spazio per fare backup altrettanto discreti.

Cosí per adesso lo uso come ulteriore esca. Del mio tesssoro, ci sono due chiavette che verifico e aggiorno di tanto in tanto e un piccolo hard disk da notebook. Rigorosamente nascosti altrove. Ah e qualcosa su carta. E tutti i supporti sono nascosti in posti dove se non posso accedervi a lungo, ci sono altissime probabilità che vengano distrutti da un rovistatore occasionale.

So che sono andato ampiamente e clamorosamente offtopic, ma volevo chiudere chiarendo questo. In un'era digitale, l'unica sicurezza é analogica (dove per sicurezza intendo ragionevole grado di negabilità). Sarà l'amara conclusione dovuta alla mia abitudine di lavorare sotto l'occhio della telecamera, ma in caso di dubbio, l'unica certezza é quella di essere costantemente monitorati. Salvo rare eccezioni in cui sono in gioco i diritti umani e la libertà, vale veramente la pena arrabattarsi nel tentativo di vincere una partita impari, oppure conviene prendere amorevolmente per il naso il "grande fratello" senza farsi prendere dalla paranoia, seppellendolo in una mole sterminata di nulla che possa annusare e sbirciare a piacimento? (Chi ha detto tor alzi la mano)

[bibbolo]

Confermato il grave bug di TrueCrypt.

http://www.ilsoftware.it/articoli.asp?tag=TrueCrypt-e-sicuro-terminate-le-verifiche-tecniche_12062

Chiudendo la sua analisi, Green ha spiegato come nessuna falla importante sia emersa durante la lunga analisi tecnica che ha visto come protagonista TrueCrypt. Nell'applicazione non v'è alcuna backdoor né sono presenti lacune di sicurezza importanti che possano pregiudicare, a livello generalizzato, la riservatezza dei dati protetti con TrueCrypt.

Simili caratteristiche sono inaccettabili. Rimuovete il programma se ancora lo usate.

Immagino tu sia sarcastico, Iceberg..

p.s. anche se avessero trovato qualche piccolo bug io avrei usato questo fantastico programma ancora per molto tempo...

[gialloporpora]

Devo dire che sono abbastanza d'accordo con @Sokak

In un'era digitale, l'unica sicurezza é analogica (dove per sicurezza intendo ragionevole grado di negabilità). Sarà l'amara conclusione dovuta alla mia abitudine di lavorare sotto l'occhio della telecamera, ma in caso di dubbio, l'unica certezza é quella di essere costantemente monitorati. Salvo rare eccezioni in cui sono in gioco i diritti umani e la libertà, vale veramente la pena arrabattarsi nel tentativo di vincere una partita impari, oppure conviene prendere amorevolmente per il naso il "grande fratello" senza farsi prendere dalla paranoia, seppellendolo in una mole sterminata di nulla che possa annusare e sbirciare a piacimento? (Chi ha detto tor alzi la mano)

con gente che può inserire backdoor a livello hardware o di OS, che senso ha  preoccuparsi di backddor in Truecrypt?
Un senso ce l'ha, ovviamente, però se ci hanno inserito un bel programma nel BIOS che registra le password utilizzate per creare le partizioni o per accedere ai dati cifrati, davvero possono fare tutto quel che vogliono.

[Geko]

con gente che può inserire backdoor a livello hardware o di OS, che senso ha  preoccuparsi di backddor in Truecrypt?
Un senso ce l'ha, ovviamente, però se ci hanno inserito un bel programma nel BIOS che registra le password utilizzate per creare le partizioni o per accedere ai dati cifrati, davvero possono fare tutto quel che vogliono.

Motivo di più per diffidare dello standard  BIOS UEFI voluto da Microsoft ed adottato senza farsi  tanti problemi anche da Linux.
Ovviamente non abbiamo (ancora?) le prove, ma perché sostituire con qualcosa di più sofisticato un qualcosa che alla fin fine deve solo far partire il sistema operativo?
Come dicono, se non è rotto non lo aggiustare...

Ma poi tornando a TrueCrypt, accetta solo password digitate o gli si può far usare anche un keyfile?

[miki64]

1) Concordo con Sokak (che adoro ancora di più quando scrive queste cose!), creare delle "esche" è sempre un'idea furba. Mettere i dati sotto il naso è più semplice che nasconderli. Depistare gli intrusi è meglio che criptare i file. Me ne riparleremo...

2) Sì, bibbolo, quello di Iceberg era sarcasmo. Ho usato pochissimo TrueCrypt, ho persino una pennetta bi-funzione con TrueCrypt (purtroppo la uso pochissimo) ma in ogni caso consiglio anche io di utilizzarlo per molto, molto tempo (tu pensa che funziona anche su Linux!).

3) Cari geko e gialloporpora, sono rimasto deluso quando Canonical ha accettato lo standard UEFI. Proprio perché  il BIOS non dovrebbe servire ad altro che a far partire un s.o.
Virus o altro sono solo delle scuse per imporre delle cose nascoste, così come lo furono all'epoca gli standard post-DVD con la scusa della qualità (in realtà si volevano introdurre più robusti sistemi di criptaggio dei file).
Scusate la parola, ma reputo SecureBoot/UEFI una grande porcata. Purtroppo sui computer in vendita nei centri commerciali c'è quello e amen... Del resto, se la gente è contenta di spiattellare i fatti intimi su un social network è anche naturale che se ne infischi di avere delle botole nascoste nel proprio apparecchio di connessione ad Internet (PC desktop, notebook, smartphone)...   

[Iceberg]

Ma poi tornando a TrueCrypt, accetta solo password digitate o gli si può far usare anche un keyfile?

Anche un keyfile, come si legge nella guida:
https://www.grc.com/misc/truecrypt/TrueCrypt%20User%20Guide.pdf

[bibbolo]

Ma soprattutto pensate alla sicurezza di usare una doppia o tripla password di cui una keyfile... e quando ci devono trovare...

 

[deckard]

Devo dire che sono abbastanza d'accordo con @Sokak

Anche io sono abbastanza d'accordo con @Sokak

In un'era digitale, l'unica sicurezza é analogica (dove per sicurezza intendo ragionevole grado di negabilità). Sarà l'amara conclusione dovuta alla mia abitudine di lavorare sotto l'occhio della telecamera, ma in caso di dubbio, l'unica certezza é quella di essere costantemente monitorati. Salvo rare eccezioni in cui sono in gioco i diritti umani e la libertà, vale veramente la pena arrabattarsi nel tentativo di vincere una partita impari, oppure conviene prendere amorevolmente per il naso il "grande fratello" senza farsi prendere dalla paranoia, seppellendolo in una mole sterminata di nulla che possa annusare e sbirciare a piacimento? (Chi ha detto tor alzi la mano)

Non ci sono solo le telecamere, ci sono anche quelli che si posizionano alle spalle controllando quello che si fa, c'è l'ingegneria sociale (vi ricordate Kevin Mitnik ?!?). Vincere una partita impari è impossibile. Ma la domanda è per quali motivi e con quali finalità ci serve una soluzione del genere ? Aggiungiamoci anche una domanda su quali dati dobbiamo nascondere e da quali sguardi (guardie, ladri o semplici curiosi e rompiscatole)?
La vita non è solo digitale o solo analogica, ma è un insieme delle due cose. 

con gente che può inserire backdoor a livello hardware o di OS, che senso ha  preoccuparsi di backddor in Truecrypt?
Un senso ce l'ha, ovviamente, però se ci hanno inserito un bel programma nel BIOS che registra le password utilizzate per creare le partizioni o per accedere ai dati cifrati, davvero possono fare tutto quel che vogliono.

Il senso è quello di complicare la vita a chi volesse accedere ai miei dati. E comunque una backdoor non è onnipotente e neanche i programmi inseriti a tradimento nel BIOS o nel sistema operativo. Bisogna sempre essere in grado di raccogliere, collezionare e sfruttare quei dati.

Comunque non è necessario Truecrypt per prendere per il naso i curiosoni. Concordo con Sokak e con Miki nel senso che depistare gli intrusi è meglio che criptare i file. 
O comunque si possono fare entrambe le cose.
Esistono le esche, gli specchietti per allodole e le "pastoie per intrusi", cioè quei dati (legali, ma di minor conto) che possono essere lasciati affinché un generico "investigatore telematico" lavori su quei dati tralasciando il resto.

[miki64]

Ma poi tornando a TrueCrypt, accetta solo password digitate o gli si può far usare anche un keyfile?

Anche un keyfile, come si legge nella guida:
https://www.grc.com/misc/truecrypt/TrueCrypt%20User%20Guide.pdf

Ma non è meglio una robusta password? Nessun rischio di keyfile danneggiati e nessun rischio che la chiave o parte di essa venga trovata sul disco.
In questo modo, fino a quando non sarà di moda lasciare le proprie password su Facebook,  ai malintenzionati rimane solo la possibilità di un keylogger.... 

Da lodare comunque i creatori di TrueCrypt che hanno voluto aggiungere anche questa opzione, per chi la apprezzasse. Più si va avanti e più ci si rende conto di quanto erano bravi e professionali coloro che lo hanno scritto.

Quoto!

[Iceberg]

E perché non password più keyfile?
Altro ottimo consiglio: conservate la password e il keyfile indispensabili per aprire il disco cifrato... dentro il disco cifrato.
La morale: è difficile trovare un gatto nero in una stanza buia... specialmente se non c'è.

E file importanti dove li salvo? In un quaderno! Carta penna e calamaio.

[miki64]

E perché non password più keyfile?

Ripeto: il keyfile si può corrompere, la password che è nel tuo cervello no (a meno che non impazzisci...).
Certo, se ti fai un backup di questo keyfile allora è un altro discorso. 

[Sokak]

Il keyfile migliore? Il keyfile che non c'é. Finché non serve.

Tutti abbiamo quella citazione, quella frase, che ricordiamo a memoria lettera per lettera, interpunzione compresa.

Al momento del bisogno apri un terminale e digiti

Codice: [Seleziona]

echo lamiacitazionechericorderóinpuntodimorte > banana.dat
Uso la mia password e il mio keyfile banana.dat per aprire il mio cesto dei segreti. Lo chiudo. Ripeto la procedura precedente digitando abbondanti caratteri a caso per sovrascrivere. Cancello il file con rm.

Ah, e se il keylogger avesse nel frattempo registrato tutto nel frattempo, beh

Il mio vero cesto dei segreti é la scatola dei biscotti danesi in salotto. Quella tonda e blu, immancabile.

O magari il vano nel tallone del mio scarpone da lavoro dove tengo le chiavi di scorta della macchina.

O forse era sotto la piastrella ballerina in salotto?

Mah, mah.