Topic: TrueCrypt: forse non è open source, forse non è sicuro...

[bibbolo]

Ah, e se il keylogger avesse nel frattempo registrato tutto nel frattempo, beh

Il mio vero cesto dei segreti é la scatola dei biscotti danesi in salotto. Quella tonda e blu, immancabile.

Ah beh, in caso di keylogger tra le altre mine vaganti non sarebbe male in effetti usare la tonda scatola blu dei biscontti danesi come keyfile... più tardi vedo come collegarla a truecrypt.. 

[gialloporpora]

Articolo interessante sullo strumento di Microsoft per creare partizioni cifrate:

Microsoft Gives Details About Its Controversial Disk Encryption - The Intercept

Significant questions remain about BitLocker, to be sure, and because the source code for it is not available, those questions will likely remain unanswered. As prominent cryptographer Bruce Schneier has written, “In the cryptography world, we consider open source necessary for good security; we have for decades.” Despite all of this, BitLocker still might be the best option for Windows users who want to encrypt their disks.
…
Today I’m going to dive deep into the concerns about BitLocker and into Microsoft’s new responses. I’m also going to explain why more open alternatives like TrueCrypt don’t resolve these concerns, and take a brief look at proprietary products like BestCrypt, which Schneier recommends.

…
But there’s a hitch: With the release of Windows 8, TrueCrypt became painful to use for full-disk encryption. If you’ve bought a PC since 2012, when Windows 8 came out, chances are you can’t use TrueCrypt to encrypt your hard disk without jumping through quite a few hoops. You may need to figure out how to open your boot settings and disable security features to get it working, or format your hard disk to use a different, older system for organizing the disk that’s compatible with TrueCrypt. To put it bluntly, TrueCrypt is Windows XP-era software. As modern PCs and the Windows operating system evolved, TrueCrypt stayed in the past.

[Iceberg]

Personalissimo riassunto in due righe.

Se non è open source non è crittografia. Condizione necessaria ma non sufficiente.
Seven e XP sono la migliore scelta per chi vuole usare Windows.

[gialloporpora]

XP non direi, magari Seven, soprattutto per l'interfaccia, potrebbe anche esserlo.

[bibbolo]

Non è ben spiegato però perché con windows 8 non si può usare più TC...
In ogni caso potrebbero esserci - come accennato nell'articolo da te riportato - problemi nella criptazione dell'intero disco, ma non credo ce ne siano per i classici vecchi volumi TC.

[gialloporpora]

Ci sono due motivi:

Part of the problem is that TrueCrypt is locked out by the very boot-up system that helps make BitLocker so secure. When you power on a Windows 8 computer, it runs a chunk of code that interfaces the computer’s hardware and its operating system. This code runs a security check to make sure none of the start-up software has been tampered with by a hacker; Microsoft code passes the check, since it’s been cryptographically marked as “trusted,” but software that isn’t marked this way, like TrueCrypt, fails the check and prevents the computer from starting. In most PCs it’s possible to turn off the security check, but this involves tinkering with hard-to-reach security settings; the instructions for configuring your boot-up code are different on pretty much every computer.

If this weren’t bad enough, TrueCrypt and its derivates only support encrypting disks that use outdated partition tables. A partition table describes the different sections a hard disk has been split into. Older systems used Master Boot Record (MBR) partition tables, but newer computers come formatted with GUID Partition Table (GPT) — a system TrueCrypt does not work with.

Riassumendo:
1) TrueCrypt non è firmato digitalmente
2) Non è compatibile con il nuovo standard di partizionamento (GPT)

[bibbolo]

Già, ma:

1) qui stiamo forse rispolverando vechie questioni del trusted computing, palladium, chip Fritz... e compagnia bella?

2) si potrebbe sempre riconvertire la partition table nel vecchio tipo no?

---------

3) I volumi TC, ripeto, sono una piccola consolazione/alternativa se non si può cifrare l'intero disco..

[gialloporpora]

2) si potrebbe sempre riconvertire la partition table nel vecchio tipo no?

Non credo sia possibile, forse  riscrivendo il firmware dell'HD con uno compatibile.
Magari uno più pratico con Windows 8 sa essere più preciso.

[gialloporpora]

TrueCrypt Encryption Software Has Two Critical Flaws: It's time to Move On

Reportedly, TrueCrypt vulnerabilities would not directly allow an attacker to decrypt drive data. Instead, successful exploitation allows malware installation on the victim’s machine, which would be enough to figure out TrueCrypt’s Decryption Key and other sensitive data.

[miki64]

Ottimo, gialloporpora.
Io quindi segnalo un articolo in italiano, tratto da Punto Informatico.
TrueCrypt, i bug passati inosservati
Due vulnerabilità potenzialmente pericolose scovate all'interno del codice di TrueCrypt: il progetto originale, oramai defunto, ha passato il testimone ai successori e gli sviluppatori hanno già corretto i bug


edit: la penso anche io esattamente come i commenti di un paio di utenti.

Le due vulnerabilità sono trascurabili in quanto oltre ad avere l'accesso diretto al pc con utente amministratore (come da articolo) ma bisogna aggiungere che il volume truecrypt deve essere montato. Esiste da molto tempo una utility che permette di leggere la password in RAM di un volume truecrypt montato.
Quindi l'unica vulnerabilità dal punto di vista dell'utente è quella di essere "amministratore" e lasciare incustodito il PC con il volume truperypt montato, altrimenti non c'è niente da fare. Non c'è motivo di valutare alternative. Truecript funziona benissimo con gli OS esistenti ed in alternativa si pùò tranquillamente utilizzare in macchine virtuali che personalmente preferisco.

Il progetto indipendente Truecrypt l'hanno fatto chiudere. Adesso James Forshaw ricercatore di Google (e google lavora negli usa ed ancora non l'hanno fatto chiudere) parla di altre fantomatiche vulnerabilità pericolose. Visto la sua attività non è credibile in quanto lavora per il governo americano perchè ci si dovrebbe fidare di Veracrypt ? VeraCrypt ha avuto l'audit ? e chi sono i componenti della commissione ?

... prima fanno chiudere il progetto e poi lo danno in mano a google ...

Ad oggi veracrypt non ha audit è c'è solo una vaga di idea di farlo senza una data definita:

http://sourceforge.net/p/veracrypt/discussion/general/thread/a2884a30

Veracrypt può aspettare.

[deckard]

Giusto un articolo e una discussione su WinTricks.


Cassandra Crossing/ Dopo Truecrypt
di M. Calamari - E' trascorso oltre un anno da quando la confusione è calata su Truecrypt, sono nati fork e sono state condotte analisi sul codice. Ora di chi ci si può fidare?

VeraCrypt e la fine de 'Il tempo delle mele'...

[miki64]

Curioso, le mie stesse conclusioni, ti ringrazio Deckard.

Cassandra di Punto Informatico paventa l'unico rischio del coriaceo Truerypt.

Truecrypt 7.1a è un'applicazione che fa quello che deve fare, lo fa bene e non necessita di ulteriori sviluppi. Non avrà problemi fino a quando, in seguito a imprevedibili sviluppi futuri dei sistemi operativi supportati, il codice ormai congelato potrà divenire non compilabile. Per ora la versione Windows ha retto due major release senza problemi (Windows 8 e 10) e quella Linux 4 major release del kernel.
La risposta quindi è facile: tenetevi Truecrypt 7.1a fino a quando non si presentino problemi di compatibilità con nuove versioni di sistemi operativi.
Allora forse qualcuno patcherà il codice e potrete continuare ad aggiornare il vostro sistema operativo, oppure switchare su Veracrypt, se le condizioni future lo renderanno affidabile.

Mentre l'utente retaly di WinTricks ci dice che:

"sono tornato al fido (anche se meno sicuro) TrueCrypt 7.1a, che per i miei bisogni di sicurezza risulta ancora abbondantemente valido e non presenta le "bestialita di gestione'" descritte

Come dice l'utente MakeItClear:

continuate ad usare TrueCrypt 7.1a, almeno fino a quando non verranno evidenziate VERE vulnerabilità che lo sconsigliano o fino a quando non funzionerà più sulle nuove versioni dei sistemi operativi.
Per ora non ha senso cercare altro.

Piccola nota per gli utenti sospettosi come me: come mai l'installer di TrueCrypt 7.1a si rifiuta di funzionare su OSX Yosemite 10.10? 

[deckard]

TrueCrypt è sicuro, promozione del Fraunhofer Institute
di Michele Nasi (23/11/2015)
Gli esperti del prestigioso Fraunhofer Institute for Secure Information Technology hanno condotto uno studio approfondito sullo storico software crittografico TrueCrypt.
Dopo le verifiche condotte dal professor Matthew Green e dal suo team che avevano giudicato TrueCrypt come un software "sostanzialmente sicuro" (TrueCrypt è sicuro: terminate le verifiche tecniche), arriva oggi anche la promozione del Fraunhofer Institute.

[miki64]

La sparo troppo grossa se dico che ,a questo punto, TrueCrypt mi pare un programma più sicuro di tanti altri famosi ed ancora aggiornati, anche open source? 
Tanto accanimento contro TrueCrypt mi fa dedurre  soltanto che il programma è davvero una solida roccia, manco con TOR "qualcuno" si è dato tanto da fare...

[gialloporpora]

Scoperta, forse, l'identità di uno dei due anonimi programmatori di E4M, il software dal cui fork è nato TC:
https://mastermind.atavist.com/he-always-had-a-dark-side
c'entra anche una azienda italiana di software.