The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Инициирован аудит безопасности проекта VeraCrypt

15.08.2016 12:15

Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, объявил о соглашении по предоставлению финансирования для проведения полного аудита безопасности проекта VeraCrypt, в рамках которого развивается форк системы шифрования дисковых разделов TrueCrypt. Средства для аудита переданы компаниями DuckDuckGo и VikingVPN. В качестве исполнителя работы по глубокому анализу кода и выявлению уязвимостей нанята компания QuarksLab. Работу планируется завершить в середине сентября.

Для предотвращения утечки выявленных в процессе аудита проблем между OSTIF, QuarksLab и лидером VeraCrypt налажен обмен шифрованными почтовыми сообщениями (используется PGP), позволяющий оперативно устранять найденные проблемы. Интересно, что вскоре после организации обмена сообщениями всплыли неоднократные и наблюдаемые для разных участников дискуссии подозрительные потери писем. По мнению OSTIF, подобный эффект может быть связан с попыткой наладить третьими лицами перехват почтового трафика с обсуждением хода аудита.

Из других открытых проектов, которые ранее были профинансированы для аудита отмечены OpenSSL, OpenVPN, GnuPG и OTR (Off the Record Messaging). Из претендентов на проведение аудита в будущем упомянуты nginx, Tor, NoScript, Signal/Textsecure, Tails и Tunnelblick.

  1. Главная ссылка к новости (https://ostif.org/ostif-quarkl...)
  2. OpenNews: Релиз VeraCrypt 1.17, форка TrueCrypt
  3. OpenNews: Проект CipherShed выпустил релиз ответвления TrueCrypt 0.7.4
  4. OpenNews: Спецслужбы Германии провели аудит TrueCrypt
  5. OpenNews: Аудит исходных текстов Truecrypt подтвердил безопасность проекта
  6. OpenNews: Аудит алгоритмов TrueCrypt не выявил значительных проблем
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/44965-veracrypt
Ключевые слова: veracrypt, audit
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (25) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 13:16, 15/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Так если им выделили денег -- пускай бы собрались в одном офисе и сделали аудит, не было бы никаких потерь писем. думаю это самый быстрый и безопасный вариант для такого типа продуктов.
     
     
  • 2.3, Ydro (?), 13:40, 15/08/2016 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Аудит подразумевает - независимую проверку со стороны. MS напропалую рассказывает, что их продукты не содержат изъянов, но независимый аудит кода произвести вам не даст. Доверяй, но проверяй!
     
     
  • 3.9, Аноним (-), 14:30, 15/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Аудит подразумевает - независимую проверку со стороны. MS напропалую рассказывает, что
    > их продукты не содержат изъянов, но независимый аудит кода произвести вам
    > не даст. Доверяй, но проверяй!

    ну вот пусть аудиторов и посадят в коворкинг, в перерывах между смузи и проведут аудит. и не будет ни единого разрыва

     
  • 3.10, Аноним84701 (?), 14:42, 15/08/2016 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > Аудит подразумевает - независимую проверку со стороны.

    Оно то да, однако в свое время была версия, что  (по косвенным данным) для аудита TrueCrypt собрали бóльшую сумму, чем задонатили разработчикам за все время существования проекта.
    А это, в свою очередь, очень нехило ударило по их мотивации.
    В этом случае их в чем-то можно было бы понять — годами писали, поддерживали...
    И тут на тебе — кто-то "левый" получает за проверку твоей работы неплохие деньги, а тебе поручается почетная обязанность и далее за бесплатно "фиксить" и поддерживать в свое свободное время. Притом что при наличии определленной суммы ты вполне возможно мог бы выделять проекту и больше времени, улучшая качество кода, проверяя или переделывая сомнительные места. Да еще и эдакий башинг, начавшийся в то же время, типа http://www.pcworld.com/article/2061285/is-your-encryption-truly-secure-truecr
    Было бы не удивительно, что авторы из-за этого могли плюнуть, типа "да тра*сь вы сами дальше,  'кушайте' альтернативы от МСца или пишите дрова под очередную версию их 'инноваций'"

    Но это просто одна их многих версий.

     
     
  • 4.11, Anonplus (?), 15:00, 15/08/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Так и хорошо, что бросили. Сообщество начало тра*ся, в "ночных" версиях VC уже появилась даже поддержка шифрования системного GPT-раздела (TC умел только системные MBR-разделы). Вдобавок ещё запилили такую полезную штуку, как PIM, который позволяет увеличивать количество итераций шифрования.
     
     
  • 5.17, nononoon (?), 20:20, 15/08/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Так и хорошо, что бросили. Сообщество начало тра*ся, в "ночных" версиях VC
    > уже появилась даже поддержка шифрования системного GPT-раздела (TC умел только системные
    > MBR-разделы). Вдобавок ещё запилили такую полезную штуку, как PIM, который позволяет
    > увеличивать количество итераций шифрования.

    если бы оно так не лагало как LUKS на убунте...но я чет не готов жертвовать I/O который и без того на хардах убог ради псевдо защиты, да и мне прятать там нечего.

     
     
  • 6.22, Аноним (-), 09:16, 16/08/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > да и мне прятать там нечего

    с этого и надо было начинать

     
  • 4.12, Анис (?), 19:10, 15/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Поэтому разработчики трукрипта бросили проект и основали компанию по аудиту кода, затем форкнули трукрипт под видом третьих лиц и даже его развивают, но собираются дропать и форкать каждый год с целью повторения аудита.
    Профит.
     
     
  • 5.28, Kostya (??), 10:11, 17/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    В этом случае потеря писем была в переписке с самими собой. Хороший ход для отвода подозрений)
     
  • 4.18, nononoon (?), 20:22, 15/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > И тут на тебе — кто-то "левый" получает за проверку твоей работы
    > неплохие деньги, а тебе поручается почетная обязанность и далее за бесплатно
    > "фиксить" и поддерживать в свое свободное время. Притом что при наличии
    > определленной суммы ты вполне возможно мог бы выделять проекту и больше
    > времени, улучшая качество кода, проверяя или переделывая сомнительные места. Да еще
    > и эдакий башинг, начавшийся в то же время, типа http://www.pcworld.com/article/2061285/is-your-encryption-truly-secure-truecr
    > Было бы не удивительно, что авторы из-за этого могли плюнуть, типа "да
    > тра*сь вы сами дальше,  'кушайте' альтернативы от МСца или пишите
    > дрова под очередную версию их 'инноваций'"
    > Но это просто одна их многих версий.

    я думаю вот это вот ближе к истине...а то что там ниже мол они под маской крокодила пишут верку это бред...скорей всего они просто забили болт на все и правильно сделали ;). нафиг нервы трепать себе этими повальными трэндами а-ля libressl vs openssl и прочих fork кастратов.

     
  • 3.19, nononoon (?), 20:26, 15/08/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Аудит подразумевает - независимую проверку со стороны. MS напропалую рассказывает, что
    > их продукты не содержат изъянов, но независимый аудит кода произвести вам
    > не даст. Доверяй, но проверяй!

    размечтался, они ни одной конторе свой код не отдадут и не покажут это в опенсурсе можно взять сабж, расковырять и делай с ним что хошь.

     
     
  • 4.25, Аноним (-), 15:35, 16/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то, давали. Даже хвастались одно время, что не то сотни, не то тысячи специалистов просматривали их код и ничего не обнаружили. Естественно, условия были такими, что о найденном говорить нельзя.
     
     
  • 5.26, тоже Аноним (ok), 16:06, 16/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    "Поскольку об уязвимостях, грязных хаках, откровенных ошибках и говнокоде говорить нельзя, резюме будет кратким: мы ничего не обнаружили".
     
  • 5.27, Аноним (-), 20:29, 16/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Вообще-то, давали. Даже хвастались одно время, что не то сотни, не то
    > тысячи специалистов просматривали их код и ничего не обнаружили.

    На опеннет чтоль выкладывали? )


     
  • 2.20, nononoon (?), 20:42, 15/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Так если им выделили денег -- пускай бы собрались в одном офисе
    > и сделали аудит, не было бы никаких потерь писем. думаю это
    > самый быстрый и безопасный вариант для такого типа продуктов.

    нет, им нужно нагнетать FUD страх неуверенность ложь ;)

     

  • 1.2, Аноним (-), 13:21, 15/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Ох и исследователи - гоняют письма через гугл, они б еще веракрипт на го предложили переписать
     
     
  • 2.4, Я. Р. Ош (?), 13:42, 15/08/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ты хотя бы прочитал про PGP для начала
     
     
  • 3.8, Аноним (-), 14:29, 15/08/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну гугл и так уже дропает аттачи с архивами, что ему мешает начать дропать письма с "непонятным" контентом?
     
  • 2.29, Анонимный Б. (?), 14:58, 17/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Ох и исследователи - гоняют письма через гугл, они б еще веракрипт
    > на го предложили переписать

    А через что гонять? Через Инет может?! >:-)

    Они там кстати жалуются, что письма исчезли как-то совсем бесследно. Даже из их любимых (локальных?) так сказать папок "отправленных". Спрашивается, не следует считать, что они являются представителями разных сексуальных ориентаций? И если нет, то что это значит??

     

  • 1.6, pavlikvk (?), 13:58, 15/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Опять аудит?
     
     
  • 2.14, Аноним (-), 20:10, 15/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Наш независимый аудит - самый независимый аудит в мире!
     

  • 1.15, nononoon (?), 20:15, 15/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    ну ну бабки от DuckDuckGo и VikingVPN для этих двух это чистой воды пиар...
    так а че они денег на хлебушек закинули этому иксу из верыкрипта и все довольны...мыла там у них пропадают, та кому они нафиг нужны? 2 раза в жизни пользовался true crypt, один раз LUKS на убунту...и ни разу не кончил ;) не понравилось...фу...ну их...
     
  • 1.21, Аноним (-), 00:33, 16/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > VeraCrypt
    > Codeplex
     
     
  • 2.23, Аноним (-), 09:19, 16/08/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Codeplex

    это единственная претензия по существу

     

  • 1.24, Аноним (-), 11:22, 16/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    ну логично что у них письма пролпадали ) они-ж гугльмэйлом пользоваться пытались а се - крупнейший подрядчик ЦРУ(по добыванию, перебаотке, анализированию и хранению и доставке развединформации и оперативному обеспечению операций) и крупнейший фронт энд для тайных операций в том числе(революции-малюции итп :).
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру