Notizie: lo sai che puoi installare Firefox anche su dispositivi Apple iPhone e iPad? Provalo subito!

Autore Topic: TrueCrypt: forse non è open source, forse non è sicuro...  (Letto 29468 volte)

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline bibbolo

  • Post: 1087
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #75 il: 10 Aprile 2015 20:59:36 »
Ah, e se il keylogger avesse nel frattempo registrato tutto nel frattempo, beh

Il mio vero cesto dei segreti é la scatola dei biscotti danesi in salotto. Quella tonda e blu, immancabile.

Ah beh, in caso di keylogger tra le altre mine vaganti non sarebbe male in effetti usare la tonda scatola blu dei biscontti danesi come keyfile... più tardi vedo come collegarla a truecrypt..  :lol:

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #76 il: 05 Giugno 2015 11:10:20 »
Articolo interessante sullo strumento di Microsoft per creare partizioni cifrate:

Microsoft Gives Details About Its Controversial Disk Encryption - The Intercept
Citazione
Significant questions remain about BitLocker, to be sure, and because the source code for it is not available, those questions will likely remain unanswered. As prominent cryptographer Bruce Schneier has written, “In the cryptography world, we consider open source necessary for good security; we have for decades.” Despite all of this, BitLocker still might be the best option for Windows users who want to encrypt their disks.

Today I’m going to dive deep into the concerns about BitLocker and into Microsoft’s new responses. I’m also going to explain why more open alternatives like TrueCrypt don’t resolve these concerns, and take a brief look at proprietary products like BestCrypt, which Schneier recommends.


But there’s a hitch: With the release of Windows 8, TrueCrypt became painful to use for full-disk encryption. If you’ve bought a PC since 2012, when Windows 8 came out, chances are you can’t use TrueCrypt to encrypt your hard disk without jumping through quite a few hoops. You may need to figure out how to open your boot settings and disable security features to get it working, or format your hard disk to use a different, older system for organizing the disk that’s compatible with TrueCrypt. To put it bluntly, TrueCrypt is Windows XP-era software. As modern PCs and the Windows operating system evolved, TrueCrypt stayed in the past.
« Ultima modifica: 05 Giugno 2015 11:53:54 da gialloporpora »

Offline Iceberg

  • Moderatore
  • Post: 9013
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #77 il: 05 Giugno 2015 13:50:03 »
Personalissimo riassunto in due righe.

Se non è open source non è crittografia. Condizione necessaria ma non sufficiente.
Seven e XP sono la migliore scelta per chi vuole usare Windows.

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #78 il: 05 Giugno 2015 17:32:45 »
XP non direi, magari Seven, soprattutto per l'interfaccia, potrebbe anche esserlo.

Offline bibbolo

  • Post: 1087
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #79 il: 05 Giugno 2015 19:39:08 »
Non è ben spiegato però perché con windows 8 non si può usare più TC...
In ogni caso potrebbero esserci - come accennato nell'articolo da te riportato - problemi nella criptazione dell'intero disco, ma non credo ce ne siano per i classici vecchi volumi TC.
« Ultima modifica: 05 Giugno 2015 19:41:23 da bibbolo »

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #80 il: 05 Giugno 2015 20:07:38 »
Ci sono due motivi:

Citazione
Part of the problem is that TrueCrypt is locked out by the very boot-up system that helps make BitLocker so secure. When you power on a Windows 8 computer, it runs a chunk of code that interfaces the computer’s hardware and its operating system. This code runs a security check to make sure none of the start-up software has been tampered with by a hacker; Microsoft code passes the check, since it’s been cryptographically marked as “trusted,” but software that isn’t marked this way, like TrueCrypt, fails the check and prevents the computer from starting. In most PCs it’s possible to turn off the security check, but this involves tinkering with hard-to-reach security settings; the instructions for configuring your boot-up code are different on pretty much every computer.

If this weren’t bad enough, TrueCrypt and its derivates only support encrypting disks that use outdated partition tables. A partition table describes the different sections a hard disk has been split into. Older systems used Master Boot Record (MBR) partition tables, but newer computers come formatted with GUID Partition Table (GPT) — a system TrueCrypt does not work with.
Riassumendo:
1) TrueCrypt non è firmato digitalmente
2) Non è compatibile con il nuovo standard di partizionamento (GPT)

Offline bibbolo

  • Post: 1087
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #81 il: 05 Giugno 2015 20:18:33 »
Già, ma:

1) qui stiamo forse rispolverando vechie questioni del trusted computing, palladium, chip Fritz... e compagnia bella?

2) si potrebbe sempre riconvertire la partition table nel vecchio tipo no?

---------

3) I volumi TC, ripeto, sono una piccola consolazione/alternativa se non si può cifrare l'intero disco..

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #82 il: 05 Giugno 2015 20:30:31 »
Citazione
2) si potrebbe sempre riconvertire la partition table nel vecchio tipo no?

Non credo sia possibile, forse  riscrivendo il firmware dell'HD con uno compatibile.
Magari uno più pratico con Windows 8 sa essere più preciso.

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #83 il: 01 Ottobre 2015 09:26:15 »
TrueCrypt Encryption Software Has Two Critical Flaws: It's time to Move On
Citazione
Reportedly, TrueCrypt vulnerabilities would not directly allow an attacker to decrypt drive data. Instead, successful exploitation allows malware installation on the victim’s machine, which would be enough to figure out TrueCrypt’s Decryption Key and other sensitive data.

Offline miki64

  • Moderatore
  • Post: 35461
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #84 il: 01 Ottobre 2015 10:12:20 »
Ottimo, gialloporpora.
Io quindi segnalo un articolo in italiano, tratto da Punto Informatico.
TrueCrypt, i bug passati inosservati
Due vulnerabilità potenzialmente pericolose scovate all'interno del codice di TrueCrypt: il progetto originale, oramai defunto, ha passato il testimone ai successori e gli sviluppatori hanno già corretto i bug


edit: la penso anche io esattamente come i commenti di un paio di utenti.

Citazione
Le due vulnerabilità sono trascurabili in quanto oltre ad avere l'accesso diretto al pc con utente amministratore (come da articolo) ma bisogna aggiungere che il volume truecrypt deve essere montato. Esiste da molto tempo una utility che permette di leggere la password in RAM di un volume truecrypt montato.
Quindi l'unica vulnerabilità dal punto di vista dell'utente è quella di essere "amministratore" e lasciare incustodito il PC con il volume truperypt montato, altrimenti non c'è niente da fare. Non c'è motivo di valutare alternative. Truecript funziona benissimo con gli OS esistenti ed in alternativa si pùò tranquillamente utilizzare in macchine virtuali che personalmente preferisco.

Il progetto indipendente Truecrypt l'hanno fatto chiudere. Adesso James Forshaw ricercatore di Google (e google lavora negli usa ed ancora non l'hanno fatto chiudere) parla di altre fantomatiche vulnerabilità pericolose. Visto la sua attività non è credibile in quanto lavora per il governo americano perchè ci si dovrebbe fidare di Veracrypt ? VeraCrypt ha avuto l'audit ? e chi sono i componenti della commissione ?

... prima fanno chiudere il progetto e poi lo danno in mano a google ...

Citazione
Ad oggi veracrypt non ha audit è c'è solo una vaga di idea di farlo senza una data definita:

http://sourceforge.net/p/veracrypt/discussion/general/thread/a2884a30

Veracrypt può aspettare.
« Ultima modifica: 01 Ottobre 2015 12:13:38 da miki64 »

Offline deckard

  • Post: 3646
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #85 il: 02 Ottobre 2015 14:18:47 »
Giusto un articolo e una discussione su WinTricks.


Cassandra Crossing/ Dopo Truecrypt

di M. Calamari - E' trascorso oltre un anno da quando la confusione è calata su Truecrypt, sono nati fork e sono state condotte analisi sul codice. Ora di chi ci si può fidare?

VeraCrypt e la fine de 'Il tempo delle mele'...

Offline miki64

  • Moderatore
  • Post: 35461
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #86 il: 02 Ottobre 2015 16:21:27 »
Curioso, le mie stesse conclusioni, ti ringrazio Deckard.

Cassandra di Punto Informatico paventa l'unico rischio del coriaceo Truerypt.
Citazione
Truecrypt 7.1a è un'applicazione che fa quello che deve fare, lo fa bene e non necessita di ulteriori sviluppi. Non avrà problemi fino a quando, in seguito a imprevedibili sviluppi futuri dei sistemi operativi supportati, il codice ormai congelato potrà divenire non compilabile. Per ora la versione Windows ha retto due major release senza problemi (Windows 8 e 10) e quella Linux 4 major release del kernel.
La risposta quindi è facile: tenetevi Truecrypt 7.1a fino a quando non si presentino problemi di compatibilità con nuove versioni di sistemi operativi.
Allora forse qualcuno patcherà il codice e potrete continuare ad aggiornare il vostro sistema operativo, oppure switchare su Veracrypt, se le condizioni future lo renderanno affidabile.

Mentre l'utente retaly di WinTricks ci dice che:
Citazione
"sono tornato al fido (anche se meno sicuro) TrueCrypt 7.1a, che per i miei bisogni di sicurezza risulta ancora abbondantemente valido e non presenta le "bestialita di gestione'" descritte

Come dice l'utente MakeItClear:
Citazione
continuate ad usare TrueCrypt 7.1a, almeno fino a quando non verranno evidenziate VERE vulnerabilità che lo sconsigliano o fino a quando non funzionerà più sulle nuove versioni dei sistemi operativi.
Per ora non ha senso cercare altro.

Piccola nota per gli utenti sospettosi come me: come mai l'installer di TrueCrypt 7.1a si rifiuta di funzionare su OSX Yosemite 10.10?  :?

Offline deckard

  • Post: 3646
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #87 il: 23 Novembre 2015 13:50:16 »
TrueCrypt è sicuro, promozione del Fraunhofer Institute
di Michele Nasi (23/11/2015)
Gli esperti del prestigioso Fraunhofer Institute for Secure Information Technology hanno condotto uno studio approfondito sullo storico software crittografico TrueCrypt.
Dopo le verifiche condotte dal professor Matthew Green e dal suo team che avevano giudicato TrueCrypt come un software "sostanzialmente sicuro" (TrueCrypt è sicuro: terminate le verifiche tecniche), arriva oggi anche la promozione del Fraunhofer Institute.

Offline miki64

  • Moderatore
  • Post: 35461
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #88 il: 24 Novembre 2015 12:08:09 »
La sparo troppo grossa se dico che ,a questo punto, TrueCrypt mi pare un programma più sicuro di tanti altri famosi ed ancora aggiornati, anche open source?  :fischio:
Tanto accanimento contro TrueCrypt mi fa dedurre  soltanto che il programma è davvero una solida roccia, manco con TOR "qualcuno" si è dato tanto da fare...

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Re: TrueCrypt: forse non è open source, forse non è sicuro...
« Risposta #89 il: 30 Marzo 2016 00:05:12 »
Scoperta, forse, l'identità di uno dei due anonimi programmatori di E4M, il software dal cui fork è nato TC:
https://mastermind.atavist.com/he-always-had-a-dark-side
c'entra anche una azienda italiana di software.

0 Utenti e 1 Visitatore stanno visualizzando questo topic.