Gaia Bottà

TrueCrypt, brace sotto le ceneri

Il progetto di verifica del codice del fu software di cifratura non è stato abbandonato: al via la seconda fase dell'analisi che potrebbe gettare le basi per fork che sappiano metterne a frutto l'eredità

Roma - Lo sviluppo era stato interrotto nel mese di maggio dello scorso anno, con un messaggio confusionario: TrueCrypt, popolare software open source dedicato alla cifratura, non si riteneva abbastanza sicuro per continuare a servire i propri utenti. Se i tentativi di interpretare il misterioso messaggio sono stati ormai accantonati da tempo, a non essere stato completamente abbandonato è il processo di revisione del codice, avviato nel 2013 in epoca di Datagate con il progetto OpenCryptoAudit, e potenzialmente in grado di dare vita a fork che discendano dal patrimonio di TrueCrypt.

La prima fase dell'audit si era conclusa nel mese di aprile 2014: qualche bug affliggeva il software, ma non era stata individuata alcuna backdoor. Pochi giorni dopo, nonostante i risultati positivi, la community annunciava l'interruzione dello sviluppo. La revisione del codice, si assicurava però a giugno, sarebbe continuata con il supporto della Linux Foundation e delle donazioni degli utenti, che avevano raggiunto i 70mila dollari.
Il silenzio era poi calato sull'Open Crypto Audit Project.

Uno dei responsabili, Matthew Green, annuncia ora l'avvio di un piano B: se il lavoro di analisi è continuato su alcune porzioni del codice nel tempo libero ad opera degli indefessi responsabili dell'iniziativa, il team Cryptography Services di NCC Group, formato da consulenti di SEC Partners, Matasano, Intrepidus Group e dello stesso NCC Group, è stato incaricato di portare avanti il nucleo della seconda fase dell'audit, quella che si concentrerà più specificamente sulle funzioni crittografiche e sulle sue implementazioni.
Green, dopo aver ringraziato i donatori per i loro contributi e la loro pazienza, auspica che i risultati dell'audit si rivelino estremamente noiosi, così da gettare le basi per lo sviluppo di fork capaci di raccogliere l'eredità di TrueCrypt.

Gaia Bottà
Notizie collegate
66 Commenti alla Notizia TrueCrypt, brace sotto le ceneri
Ordina
  • Grande software che uso da quando è stato realizzato.
    Mai avuto un solo problema, pur nell'uso quotidiano e su diversi computer e SO.
    Grande!
    non+autenticato
  • Qualcuno ha sentito parlare di Veracrypt ? E' un fork di TC ed utilizza formati diversi per i volumi criptati, difficile capire però quanto possa essere affidabile. https://veracrypt.codeplex.com/
  • - Scritto da: jzawinul
    > Qualcuno ha sentito parlare di Veracrypt ? E' un
    > fork di TC ed utilizza formati diversi per i
    > volumi criptati, difficile capire però quanto
    > possa essere affidabile.
    > https://veracrypt.codeplex.com/
    risposta standard: ci sono i sorgenti...A bocca aperta
    non+autenticato
  • Sì, ci sono i sorgenti, ma chi li guarda ? Quanto è sviluppata la community ? ...
  • - Scritto da: jzawinul
    > Sì, ci sono i sorgenti, ma chi li guarda ?
    TU?
    non+autenticato
  • - Scritto da: jzawinul
    > Qualcuno ha sentito parlare di Veracrypt ? E' un
    > fork di TC ed utilizza formati diversi per i
    > volumi criptati, difficile capire però quanto
    > possa essere affidabile.
    > https://veracrypt.codeplex.com/

    A me lascia un pò perplesso.
    Innanzitutto per il formato incompatibile. E' vero che loro dicono che è un formato "migliorato" sotto la sicurezza, ma ha senso andare subito a cambiare un software che per ora (prima parte dell'audit) non ha mostrato falle rilevanti? Ci si può fidare di più di un TC 7.1a originale ed auditato (per ora, in parte) o di uno modificato e non auditato?
    La seconda cosa che non mi piace è che è fatto (pure se open source) da un'azienda commerciale. Perchè lo fanno? Solo per farsi "un nome"? Sbaglierò, ma un'azienda la vedo come più potenzialmente soggetta a pressioni esterne, o con minacce o con sovvenzioni in nero per taroccare appositamente un software.

    Piuttosto, per ora trovo più interessante, anche perchè meno preoccupante, Ciphershed ( https://ciphershed.org/ ), che si muove lungo il solco di una fork aderente a TrueCrypt 7.1a originale.

    Ma al momento non ha senso usare nè l'uno nè l'altro, meglio usare TC 7.1a originale fino a quando l'audit continuerà a dire che non ha backdoor o bugs gravi e fino a quando i sistemi operativi lo supporteranno (per quanto ho visto, funziona bene anche sulla preview di Windows 10).

    Piuttosto, occhio alla seconda parte dell'audit: deve essere fatta da persone inappuntabili. Stranamente, un tizio che era in predicato di partecipare, se non dirigere, questa parte ci ha rinunciato (o lo hanno fatto rinunciare?) e ha cominciato a scrivere cose discutibili sul forum di Hacker News, compreso il dire che non c'è nulla di strano nel modo in cui gli sviluppatori di TC hanno reso noto che dismettevano lo sviluppo (faccenda che invece è giustamente sembrata molto anomala ai più).
    A questo punto, bene che il tizio sia fuori dal progetto, ma la cosa mi lascia perplesso.
    Mi aspettavo da parte di NSA e soci forti pressioni anche per impedire o stravolgere la seconda parte dell'audit e questo potrebbe essere già l'inizio.
    non+autenticato
  • Per ora hanno rilasciato delle beta, sconsigliate per l'uso giornaliero ma c'e' bisogna di beta testing;
    Al momento il lavoro in corso prevede la ripulitura del codice, la rimozione dei riferimenti a truecrypt, la produzione di prodotto affidabile e quindi il rilascio definitivo con certificazione del driver di un sostituito dell'attuale 7.1a .
    Solo in seguito si riprendera' lo sviluppo in senso evolutivo del programma.

    Un altro fork interessante riguarda il programma diskcryptor.
    Quest'ultimo non supporta filecontainer, ma solo encoding di volumi o dischi interi o logici; i sorgenti sono disponibili.
    La feature interessante di quest'ultimo e' la possibilita' di crittografare cd/dvd/bluray; occorre prima preparare l'immagine iso come file, criptarla con dcrypt che ne produce una seconda crittografata, e infine scrivere la nuova immagine sul supporto vergine.
    Il driver del programma si occupa di introdurre un filtro direttamente collegato alla lettera del lettore per cui il contenuto del lettore cd/dvd/br appare in chiaro una volta fornita la password (supporta anche automount).
    non+autenticato
  • in generale noto che i sistemi open source non vengono mai completati, a metà via si perdono per strada.
    non+autenticato
  • - Scritto da: filettino87
    > in generale noto che i sistemi open source non
    > vengono mai completati, a metà via si perdono per
    > strada.

    Ma quando mai?
    non+autenticato
  • - Scritto da: filettino87
    > in generale noto che i sistemi open source non
    > vengono mai completati, a metà via si perdono
    > per strada.

    In che senso ?
    non+autenticato
  • - Scritto da: filettino87
    > in generale noto che i sistemi open source non
    > vengono mai completati, a metà via si perdono per
    > strada.
    ti sembra a te, perche' quando copincolli i sorgenti nel notepad, questo finisce il buffer e non gestisce decentemente il "ritorno a capo" (linefeed) e ti finisce tutto su una riga.
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: filettino87
    > > in generale noto che i sistemi open source non
    > > vengono mai completati, a metà via si perdono
    > per
    > > strada.
    > ti sembra a te, perche' quando copincolli i
    > sorgenti nel notepad, questo finisce il buffer e
    > non gestisce decentemente il "ritorno a capo"
    > (linefeed) e ti finisce tutto su una riga.

    Grande risposta! Rotola dal ridereRotola dal ridereRotola dal ridere
    Izio01
    3795
  • - Scritto da: filettino87
    > in generale noto che i sistemi open source non
    > vengono mai completati, a metà via si perdono per strada.

    Un tempo era vero, adesso è il contrario. Sono i closed source che vengono abbandonati anzitempo o per convenienza.
  • Opera...sigh!
  • Ottimo, ottimo, ottimo!
    Anzi: OTTIMO!

    Il completare l'audit è indispensabile per poter continuare ad usare TrueCrypt 7.1a con sufficiente fiducia ma soprattutto per convincere gli ingenui che da mesi credevano e/o diffondevano il mantra "TC non è sicuro".
    Poi, ovviamente, è la base indispensabile che giustifica lo sforzo per una fork e base per auspicabili ulteriori audit per i "successori".
    Ma se la 7.1a viene confermata non buggata/backoorata, sarà possibile usare questa ancora per molti e molti anni. Nessuna fretta prematura.
    non+autenticato
  • - Scritto da: FK U NSA
    > Ottimo, ottimo, ottimo!
    > Anzi: OTTIMO!
    >

    > Ma se la 7.1a viene confermata non
    > buggata/backoorata, sarà possibile usare questa
    > ancora per molti e molti anni. Nessuna fretta
    > prematura.

    Sicuramente sino a quando sarà possibile installare win7/win8 su una macchina virtuale OcchiolinoRotola dal ridere
    non+autenticato
  • - Scritto da: prova123
    > - Scritto da: FK U NSA
    > > Ottimo, ottimo, ottimo!
    > > Anzi: OTTIMO!
    > >
    >
    > > Ma se la 7.1a viene confermata non
    > > buggata/backoorata, sarà possibile usare
    > questa
    > > ancora per molti e molti anni. Nessuna fretta
    > > prematura.
    >
    > Sicuramente sino a quando sarà possibile
    > installare win7/win8 su una macchina virtuale
    >OcchiolinoRotola dal ridere

    Sei un genio. Perché sicuramente VMWare non sarà backdoorato, eh? Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: ...

    > Sei un genio. Perché sicuramente VMWare
    > non sarà backdoorato, eh?
    > Rotola dal ridereRotola dal ridereRotola dal ridere

    non più di tutti i sistemi operativi, distro linux comprese.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: ...
    >
    > > Sei un genio. Perché sicuramente
    >

    > VMWare
    > > non sarà backdoorato, eh?
    > > Rotola dal ridereRotola dal ridereRotola dal ridere
    >
    > non più di tutti i sistemi operativi, distro
    > linux
    > comprese.

    Almeno i sistemi operativi open source possono essere controllati. Non dico che questo garantisca che non ne abbiano, ma un software come VMWare come lo controlli, con OllyDbg? Rotola dal ridere
    non+autenticato
  • - Scritto da: ...

    > Almeno i sistemi operativi open source possono
    > essere controllati.

    I blob binari no.


    > come VMWare come lo controlli

    non facendolo comunicare con internet.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: ...
    >
    > > Almeno i sistemi operativi open source
    > possono
    > > essere controllati.
    >
    > I blob binari no.
    >
    >
    > > come VMWare come lo controlli
    >
    > non facendolo comunicare con internet.

    Ah cazzo, utile avere TrueCrypt allora... perché immagino che se invece non siano crittati i dati l'NSA o chicchessia ci accede per magia a un computer staccato da Internet.
    non+autenticato
  • Truecrypt offline è inaccessibile a meno che tu non abbia aperto il truecrypt e lasciato il pc incustodito con il volume aperto, con un agente della NSA alle tue spalle che è venuto apposta sapendo che sei tu ad occuparti dei dati riservati! Rotola dal ridere
    non+autenticato
  • - Scritto da: ...

    > Ah cazzo, utile avere TrueCrypt allora... perché
    > immagino che se invece non siano crittati i dati
    > l'NSA o chicchessia ci accede per magia a un
    > computer staccato da
    > Internet.

    nessuna magia: basta raggiungerlo fisicamente.
    non+autenticato
  • Truecrypt offline è inaccessibile a meno che tu non abbia aperto il truecrypt e lasciato il pc incustodito con il volume aperto, con un agente della NSA alle tue spalle che è venuto apposta sapendo che sei tu ad occuparti dei dati riservati! Rotola dal ridere
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: ...
    >
    > > Ah cazzo, utile avere TrueCrypt allora...
    > perché
    > > immagino che se invece non siano crittati i
    > dati
    > > l'NSA o chicchessia ci accede per magia a un
    > > computer staccato da
    > > Internet.
    >
    > nessuna magia: basta raggiungerlo fisicamente.

    Che dagli usa c'è già un oceano di mezzo...
    non+autenticato
  • merita un approfondimento, non ha senso parlare di bug senza entrare nel dettaglio:

    http://opencryptoaudit.org/reports/iSec_Final_Open...
    non+autenticato
  • - Scritto da: prova123
    > merita un approfondimento, non ha senso parlare
    > di bug senza entrare nel
    > dettaglio:
    >
    > http://opencryptoaudit.org/reports/iSec_Final_Open

    puoi riassumere per la plebe?
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: prova123
    > > merita un approfondimento, non ha senso
    > parlare
    > > di bug senza entrare nel
    > > dettaglio:
    > >
    > >
    > http://opencryptoaudit.org/reports/iSec_Final_Open
    >
    > puoi riassumere per la plebe?
    RTFMA bocca aperta
    non+autenticato
  • Dubito che l'abbia capito! A bocca aperta
    non+autenticato
  • - Scritto da: prova123
    > Dubito che l'abbia capito! A bocca aperta

    GFYSMF
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: prova123
    > > Dubito che l'abbia capito! A bocca aperta
    >
    > GFYSMF

    Grazie per la conferma! Rotola dal ridere
    non+autenticato
  • - Scritto da: Hop


    GFYS 2015
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)