Menu
Obvod rušičky mobilného telefónu

Obvod rušičky mobilného telefónu

Obvod rušičky (jammer) ...

GSM mobil vo väzniciach ? Dnes to už nie je problém ...

GSM mobil vo väzniciach ? Dnes to u…

Veľká Británia má problém...

Ak chcete správnu kryptomenovú divočinu, zabudnite na Bitcoin, je tu Litecoin

Ak chcete správnu kryptomenovú divo…

Litecoin za deň zdvojnáso...

Mobil ako alarm - získajte okamžite bezpečné upozornenia na udalosti narušenia len za pomoci GSM telefónu.

Mobil ako alarm - získajte okamžite…

Edward Snowden, známy tým...

Schéma obvodu detektora mobilného telefónu

Schéma obvodu detektora mobilného t…

Schéma obvodu detektora...

Detektor mobilného telefónu alebo detektor GSM, GPS rušenia ?  Jammer detector EU

Detektor mobilného telefónu alebo d…

Tento praktický mobilný...

Ultrazvuk nám píska do uší, následky len tušíme. Ne-počujeme ho v kancelárii aj v obchode

Ultrazvuk nám píska do uší, následk…

Mnohí z nás, bez toho by ...

Základňové stanice mobilnej siete (BTS) a informácie o bunkách v SR.

Základňové stanice mobilnej siete (…

Základňové stanice (z ang...

Komunikácia mobilného telefónu. Ako funguje?

Komunikácia mobilného telefónu. Ako…

Komunikácia mobilného t...

GSM handover or handoff

GSM handover or handoff

GSM handover or handoff...

Prev Next
Slovak Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian Persian Polish Portuguese Romanian Russian Serbian Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish

Audit TrueCrypt neodhalil žiadne zadné vrátka

Prvý audit TrueCrypt neodhalil žiadne zadné vrátka

 Značky: šifrovanie softvér bezpečnosť tor TrueCrypt 

Iniciatíva IsTrueCryptAuditedYet , ktorej cieľom je uskutočniť bezpečnostný audit populárneho šifrovacieho softvéru TrueCrypt, zverejnila výsledky prvého čiastkového auditu tohto softvéru, podľa ktorého sa v preverovanej časti nenachádzajú žiadne zadné vrátka. 

  

TrueCrypt je obľúbený softvér pre šifrovanie celých diskov, diskových oddielov respektíve obrazov súborových systémov, doteraz ale nebol uskutočnený jeho kompletný bezpečnostný audit. 

 

V atmosfére po zverejnení informácií Edwardom Snowdenom okrem iného o snahe NSA ovplyvniť bezpečnosť kryptografických štandardov aj jednotlivých implementácií a keďže okrem iného autori TrueCryptu zostávajú v anonymite, odštartoval iniciatívu IsTrueCryptAuditedYet na jeseň Matthew Green, profesor kryptografie z Univerzity Johnsa Hopkinsa v americkom Baltimore. 

 

Iniciatíva získala viac ako 60 tisíc dolárov ľudovým financovaním a získané prostriedky chce použiť na dosiahnutie štyroch cieľov.
Chce vypísať odmeny za nájdenie chýb v softvéri, chce uskutočniť profesionálny bezpečnostný audit celého kódu, zvýšiť bezpečnosť TrueCryptu zavedením deterministického vytvárania inštalačných súborov a tiež chce nechať právne analyzovať licenciu softvéru a overiť jej kompatibilitu s GPL a ďalšími OSS licenciami. 

 

V pondelok boli zverejnené výsledky prvého čiastkového auditu realizovaného spoločnosťou iSECpartners, ktorý sa zameral len na niektoré komponenty kódu, špecificky bootloader, inštalačný proces, implementáciu pre Windows v podobe ovládača a špecificky viacerých jeho funkcií. 

 

Audit identifikoval celkom osem problémov nízkej a strednej závažnosti, ktoré boli podľa vyhodnotenia zrejme výsledkom programátorských chýb a nie úmyslu. 

 

Najvážnejším problémom je relatívne slabý algoritmus odvodenia kľúča šifrovaného oddielu z užívateľského hesla, ktorý používa algoritmus PBKDF2 s 1000 alebo 2000 kolami. Problém neohrozuje bezpečnosť, ak užívateľ zvolil bezpečné heslo. 

 

Algoritmus PBKDF2 je ale možné na súčasnom hardvéri implementovať mimoriadne rýchlo a efektívne uskutočniť útok hrubou silou skúšaním všetkých možných hesiel pri slabom hesle. Audit preto odporúča voliteľne používať výrazne viac kôl a z dlhodobého hľadiska použiť napríklad scrypt používaný v kryptomene Litecoin. 

 Audit ďalej odhalil potenciálne odstránkovanie kľúča šifrovaného oddielu na disk, čo môže predstavovať riziko ak nie je šifrovaný systémový disk, alebo možné odchytenie zadávaného kľúča, ak útočník získa fyzický prístup k HDD a modifikuje TrueCrypt bootloader. Takýto prístup je možné ale útočníkom využiť aj inak a efektívnejšie. 

 

 

Prvý audit bude nasledovaný ďalším, ktorý sa má zamerať na implementáciu samotných kryptografických funkcií a šifrovania.  

zive.cz

Naposledy zmenenépiatok, 25 apríl 2014 12:27
Pre písanie komentárov sa prihláste
návrat hore