Luca Annunziata

Il destino di Truecrypt resta nebuloso

I lavori per un fork vanno avanti, ma ci sono dubbi sulla licenza adottata. L'audit prosegue la sua azione di verifica, forte di migliaia di dollari di finanziamenti

Roma - Forse non tutto è perduto per Truecrypt: il popolare software di cifratura, particolarmente diffuso su sistemi Windows, non sarà abbandonato dopo il controverso annuncio apparso la scorsa settimana sulla pagina ufficiale del progetto. L'audit iniziato e che ha già completato la fase 1 proseguirà, come programmato, verso la fase 2 per una completa disamina del codice. In più, grazie ai fondi raccolti e alla collaborazione con la Linux Foundation, si valuta l'ipotesi di iniziare un lavoro di revisione del codice che porti al rilascio di un fork, con licenza open source, in grado di garantire il prosieguo dell'utilizzo del software negli anni a venire.



Il mistero su cosa sia realmente successo probabilmente resterà tale: nessuno ha ricevuto notizie su chi o cosa abbia spinto lo sviluppatore (o gli sviluppatori) che da dieci anni portavano avanti il progetto a dichiararne improvvisamente la fine affermando che non era più sicuro. Minacce, pressioni governative, stanchezza, scherzo di cattivo gusto, sono tutte ipotesi che restano ancora sul tavolo: sta di fatto che l'ultima release disponibile di Truecrypt, la 7.1, aveva già concluso positivamente il primo ciclo di verifiche, e fino a questo momento la criptoanalisi approfondita non aveva svelato particolari problemi. La possibilità che nascosto nelle pieghe del codice ci sia un bug, o peggio una backdoor, non è lecito escluderla: ma da qui a giustificare questa improvvisa dismissione ce ne passa.



Se Truecrypt supererà la fase 2 dell'audit, quella che prevede un controllo approfondito del suo comportamento e che dovrebbe concludersi entro l'autunno, ci sono già piani per riportarlo in vita: un sito, con base in Svizzera, è stato messo in piedi per ospitare il progetto, e si stanno valutando tutte le implicazioni sotto il profilo delle licenze d'uso (Truecrypt ha sempre orbitato in una zona grigia per quanto riguarda la compatibilità con licenze FOSS). Nel caso in cui tutte le tessere del mosaico andassero a posto, l'eventualità di rimettere in piedi una ipotetica versione 7.3 sarebbe più che concreta: in quel caso si tratterebbe di un Truecrypt migliore dell'attuale, profondamente revisionato e ottimizzato, con un processo di compilazione e preparazione dei file eseguibili verificato, e con tutte le carte in regola per ri-debuttare alla grande sulla scena. (L.A.)
21 Commenti alla Notizia Il destino di Truecrypt resta nebuloso
Ordina
  • L'audit iniziato e che ha già completato la fase 1 proseguirà, come programmato, verso la fase 2 per una completa disamina del codice. In più, grazie ai fondi raccolti e alla collaborazione con la Linux Foundation , si valuta l'ipotesi di iniziare un lavoro di revisione del codice che porti al rilascio di un fork, con licenza open source

    ah ecco... l'audit è in collaborazione con la Linux Foundation ...

    quella che supporta il kernel linux "ufficiale" distribuito con i blob binari proprietari (leggasi: driver e firmware al 100% con inclusi backdoor & scherzetti NSA) e con la GPLv2 e non la GPLv3...

    quella che supporta "pezzi" del kernel android con annessi i soliti blob e che "siamo open ma i sorgenti li rilasciamo quando c ome ca##o ci pare a noi"...

    comunque vada a finire questo audit, c'è ben poco da fidarsi...

    e se anche ci fosse un fork, dell'eventuale truecrypt 7.3 ci sarebbe ben poco da fidarsi...
    non+autenticato
  • - Scritto da: king volution
    > L'audit iniziato e che ha già
    > completato la fase 1 proseguirà, come
    > programmato, verso la fase 2 per una completa
    > disamina del codice. In più, grazie ai
    > fondi raccolti
    e alla
    > collaborazione con la Linux Foundation

    > , si valuta l'ipotesi di iniziare un lavoro di
    > revisione del codice che porti al rilascio di un
    > fork, con licenza open source

    >
    >
    > ah ecco... l'audit è in collaborazione
    > con la Linux Foundation
    ...
    >
    >
    > quella che supporta il kernel linux "ufficiale"
    > distribuito con i blob binari proprietari
    > (leggasi: driver e firmware al 100% con inclusi
    > backdoor & scherzetti NSA) e con la GPLv2 e non
    > la GPLv3...
    >
    >
    > quella che supporta "pezzi" del kernel android
    > con annessi i soliti blob e che "siamo open ma i
    > sorgenti li rilasciamo quando c ome ca##o ci pare
    > a
    > noi"...
    >
    > comunque vada a finire questo audit, c'è ben poco
    > da
    > fidarsi...
    >
    > e se anche ci fosse un fork, dell'eventuale
    > truecrypt 7.3 ci sarebbe ben poco da
    > fidarsi...

    L'unica e' mettersi sotto a programmare un kerner sotto GPL3.
    non+autenticato
  • - Scritto da: Passante

    > L'unica e' mettersi sotto a programmare un kerner
    > sotto GPL3.

    eh... magari lo si finisse davvero...
    https://www.gnu.org/software/hurd/hurd.html
    non+autenticato
  • - Scritto da: king volution

    > https://www.gnu.org/software/hurd/hurd.html

    Hurd?

    Clicca per vedere le dimensioni originali
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: king volution
    >
    > > https://www.gnu.org/software/hurd/hurd.html
    >
    > Hurd?

    Quando un progetto in 24 anni non è riuscito nemmeno a produrre un kernel stabile e un OS utilizzabile forse sarebbe meglio ammettere il fallimento.

    L'unico OS più ridicolo di Hurd è ReactOS (che partì per cercare di fare un clone open source di Win95 e nel 2014 non ha ancora prodotto qualcosa di minimamente usabile).
    non+autenticato
  • - Scritto da: ...
    >
    > L'unico OS più ridicolo di Hurd è ReactOS (che
    > partì per cercare di fare un clone open source di
    > Win95 e nel 2014 non ha ancora prodotto qualcosa
    > di minimamente
    > usabile).
    Debian HURD è abbastanza stabile se paragonato a ReactOS
    non+autenticato
  • - Scritto da: asdf
    > - Scritto da: ...
    > >
    > > L'unico OS più ridicolo di Hurd è ReactOS
    > (che
    > > partì per cercare di fare un clone open
    > source
    > di
    > > Win95 e nel 2014 non ha ancora prodotto
    > qualcosa
    > > di minimamente
    > > usabile).
    > Debian HURD è abbastanza stabile se paragonato a
    > ReactOS

    Se paragonato a ReactOS pure un carciofo lesso è un sistema operativo più stabile.
    non+autenticato
  • Era partito con un kernel stile windows 95, che doveva girare su dos, poi tale kernel è stato sostituito da un kernel a 32 bit equivalente al kernel nt.

    Per il momento reactos è poco più che un esercizio di tecnica, non ha grosse applicazioni pratiche, ma potrebbe averne il giorno in cui la microsoft dismettesse l'architettura win32 (come per il freedos: finché msdos era ancora in circolazione, il freedos era abbastanza inutile, poco più che un giocattolo per programmatori; oggi, è l'unico dos rimasto, e pur trattandosi di un sistema operativo di nicchia ci sono ancora situazioni in cui è prezioso)
    non+autenticato
  • - Scritto da: cicciobello
    > Era partito con un kernel stile windows 95, che
    > doveva girare su dos, poi tale kernel è stato
    > sostituito da un kernel a 32 bit equivalente al
    > kernel
    > nt.
    >
    > Per il momento reactos è poco più che un
    > esercizio di tecnica, non ha grosse applicazioni
    > pratiche, ma potrebbe averne il giorno in cui la
    > microsoft dismettesse l'architettura win32 (come
    > per il freedos: finché msdos era ancora in
    > circolazione, il freedos era abbastanza inutile,
    > poco più che un giocattolo per programmatori;
    > oggi, è l'unico dos rimasto, e pur trattandosi di
    > un sistema operativo di nicchia ci sono ancora
    > situazioni in cui è
    > prezioso)

    Sì certo, saranno anche buoni propositi, ma che senso ha perdere tempo a realizzare un'architettura intrinsecamente mediocre come Win32 quando in giro ci sono progetti molto superiori? Ma dedicarsi a migliorare un BSD no eh? O a Linux, o pure a Hurd (che magari se avesse avuto un team attivo dietro oggi non sarebbe diventato il progetto fallimentare che è stato).

    A parte che poi ReactOS oltre ad avere un obiettivo per il quale francamente non capisco come si possa provare alcun entusiasmo, è pure stato sviluppato col cu*o. Non sta su neanche con lo sputo, e quel poco che funziona si basa sul fatto che viene usato Wine...
    non+autenticato
  • contenuto non disponibile
  • - Scritto da: king volution
    > L'audit iniziato e che ha già
    > completato la fase 1 proseguirà, come
    > programmato, verso la fase 2 per una completa
    > disamina del codice. In più, grazie ai
    > fondi raccolti
    e alla
    > collaborazione con la Linux Foundation

    > , si valuta l'ipotesi di iniziare un lavoro di
    > revisione del codice che porti al rilascio di un
    > fork, con licenza open source

    >
    >
    > ah ecco... l'audit è in collaborazione
    > con la Linux Foundation
    ...
    >
    >
    > quella che supporta il kernel linux "ufficiale"
    > distribuito con i blob binari proprietari
    > (leggasi: driver e firmware al 100% con inclusi
    > backdoor & scherzetti NSA) e con la GPLv2 e non
    > la GPLv3...
    >
    >
    > quella che supporta "pezzi" del kernel android
    > con annessi i soliti blob e che "siamo open ma i
    > sorgenti li rilasciamo quando c ome ca##o ci pare
    > a
    > noi"...
    >
    > comunque vada a finire questo audit, c'è ben poco
    > da
    > fidarsi...
    >
    > e se anche ci fosse un fork, dell'eventuale
    > truecrypt 7.3 ci sarebbe ben poco da
    > fidarsi...


    Anch'io ho i brividi nel leggere che TrueCrypt finisca in mano alla Linux Foundation o in generale alla cosiddetta "Linux community", una simpatica congrega di nerd presuntuosi e scervellati che per anni ha fatto la guerra a TrueCrypt per motivi di licenza (e raccontando balle come "non è open source!") e poi spacciandoli disonestamente per ragioni tecniche.
    Con lo splendido risultato di boicottare sulla loro amata pattaforma il tool migliore (come si diceva di quello che voleva far dispetto alla moglie?).

    Ma un conto è avere dubbi sull'evoluzione di TC, che spero finisca in mano a gente più affidabile di quella, altro è titolare "TC audit INAFFIDABILE".

    Che c'entra l'AUDIT e perchè mai dovrebbe essere inaffidabile?
    Per fortuna, l'audit è in mano a gente competente (http://opencryptoaudit.org/people) e non alla Linux Foundation.
    Il problema ci potrà essere eventualmente per un futuro fork, non per la 7.1a.
    E quello che adesso è da capire, terminando l'audit, se effettivamente la 7.1a è sicura, perchè questa potrebbe essere usata ancora per anni.
    non+autenticato
  • tomb

    Tomb 1.5.2 - a strong and gentle undertaker for your secrets

    Copyright (C) 2007-2014 Dyne.org Foundation, License GNU GPL v3+
    This is free software: you are free to change and redistribute it
    The latest Tomb sourcecode is published on <http://tomb.dyne.org>;

    Syntax: tomb [options] command [arguments]

    Commands:

    // Creation:
    dig     create a new empty TOMB file of size -s in MB
    forge   create a new KEY file and set its password
    lock    installs a lock on a TOMB to use it with KEY

    // Operations on tombs:
    open    open an existing TOMB
    index   update the search indexes of tombs
    search looks for filenames matching text patterns
    list    list of open TOMBs and information on them
    close   close a specific TOMB (or 'all')
    slam    slam a TOMB killing all programs using it
    resize resize a TOMB to a new size -s (can only grow)

    // Operations on keys:
    passwd change the password of a KEY
    setkey change the KEY locking a TOMB (needs old one)

    Options:

    -s     size of the tomb file when creating/resizing one (in MB)
    -k     path to the key to be used ('-k -' to read from stdin)
    -n     don't process the hooks found in tomb
    -o     mount options used to open (default: rw,noatime,nodev)
    -f     force operation (i.e. even if swap is active)

    -h     print this help
    -v     print version, license and list of available ciphers
    -q     run quietly without printing informations
    -D     print debugging information at runtime

    For more informations on Tomb read the manual: man tomb
    Please report bugs on <http://github.com/dyne/tomb/issues>;.
    non+autenticato
  • - Scritto da: just to fill in the blank
    > tomb
    >
    > Tomb 1.5.2 - a strong and gentle undertaker for
    > your
    > secrets
    >
    > Copyright (C) 2007-2014 Dyne.org Foundation,
    > License GNU GPL
    > v3+
    > This is free software: you are free to change
    > and redistribute
    > it
    > The latest Tomb sourcecode is published on
    > <http://tomb.dyne.org>;
    >
    > Syntax: tomb [options] command [arguments]
    >
    > Commands:
    >
    > // Creation:
    > dig     create a new empty TOMB file of size -s
    > in
    > MB
    > forge   create a new KEY file and set its
    > password
    > lock    installs a lock on a TOMB to use it with
    > KEY
    >
    > // Operations on tombs:
    > open    open an existing TOMB
    > index   update the search indexes of tombs
    > search looks for filenames matching text
    > patterns
    > list    list of open TOMBs and information on
    > them
    > close   close a specific TOMB (or 'all')
    > slam    slam a TOMB killing all programs using it
    > resize resize a TOMB to a new size -s (can only
    > grow)
    >
    > // Operations on keys:
    > passwd change the password of a KEY
    > setkey change the KEY locking a TOMB (needs old
    > one)
    >
    > Options:
    >
    > -s     size of the tomb file when
    > creating/resizing one (in
    > MB)
    > -k     path to the key to be used ('-k -' to
    > read from
    > stdin)
    > -n     don't process the hooks found in tomb
    > -o     mount options used to open (default:
    > rw,noatime,nodev)
    > -f     force operation (i.e. even if swap is
    > active)
    >
    > -h     print this help
    > -v     print version, license and list of
    > available
    > ciphers
    > -q     run quietly without printing informations
    > -D     print debugging information at runtime
    >
    > For more informations on Tomb read the manual:
    > man
    > tomb
    > Please report bugs on
    > <http://github.com/dyne/tomb/issues>; .

    Non apprezzo il tuo tono.

    Clicca per vedere le dimensioni originali
    non+autenticato
  • Ma che è, un fork con il nome cambiato da "cripta" a "tomba"?
    Penso che un sacco di gente rinuncerebbe ad usarlo per il nome macabro e jettatorioCon la lingua fuori
    Funz
    12943
  • - Scritto da: Funz
    > Ma che è, un fork con il nome cambiato da
    > "cripta" a
    > "tomba"?
    > Penso che un sacco di gente rinuncerebbe ad
    > usarlo per il nome macabro e jettatorio
    >Con la lingua fuori
    Disse quello col morto come avatar Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: kris
    > - Scritto da: Funz
    > > Ma che è, un fork con il nome cambiato da
    > > "cripta" a
    > > "tomba"?
    > > Penso che un sacco di gente rinuncerebbe ad
    > > usarlo per il nome macabro e jettatorio
    > >Con la lingua fuori
    > Disse quello col morto come avatar
    > Rotola dal ridereRotola dal ridereRotola dal ridere

    Rotola dal ridere
    non+autenticato
  • - Scritto da: kris
    > - Scritto da: Funz
    > > Ma che è, un fork con il nome cambiato da
    > > "cripta" a
    > > "tomba"?
    > > Penso che un sacco di gente rinuncerebbe ad
    > > usarlo per il nome macabro e jettatorio
    > >Con la lingua fuori
    > Disse quello col morto come avatar
    > Rotola dal ridereRotola dal ridereRotola dal ridere

    Ma lo sai che significato avevano le bandiere dei pirati? Intimidazione e annuncio che non verranno fatti prigionieri in caso di resistenza. Macabro forse, ma la morte intesa era quella altruiOcchiolino
    Funz
    12943
  • contenuto non disponibile
  • - Scritto da: Funz
    > Ma che è, un fork con il nome cambiato da
    > "cripta" a
    > "tomba"?
    > Penso che un sacco di gente rinuncerebbe ad
    > usarlo per il nome macabro e jettatorio
    >Con la lingua fuori
    Non è un fork. Non ha nulla a che spartire con truecypt ed esiste già da un bel po'
    non+autenticato
  • - Scritto da: just to fill in the blank
    > tomb
    > [...]

    interessante
    grazie per la segnalazione
    non+autenticato