Menu
GENERÁTOR OZÓNU pre čistenie priestoru od koronavírusov, hlodavcov, vrátane ich odplašenia

GENERÁTOR OZÓNU pre čistenie pri…

Profesionálny generátor...

Vreckový detektor „ploštíc“ iDetektor Raksa-120

Vreckový detektor „ploštíc“ …

Väčšina odpočúvacíc...

Laserom proti škorcom! Na Morave chráni vinice nová technológia

Laserom proti škorcom! Na Morave c…

 Vinári na Južnej M...

Softvér zadarmo: oprava Windows či prevod textu do hovoreného slova

Softvér zadarmo: oprava Windows č…

Osvedčená sada aplikác...

Masky a respirátory dostupné cez Gearbest, anglický obchod ale doručenie do 7 dní.  Všetko na sklade !

Masky a respirátory dostupné cez …

Situáciu okolo Corona v...

Ultrazvuková rušička proti neželanému odpočúvaniu

Ultrazvuková rušička proti neže…

Vedci z University of Chi...

Čo si odniesť z návodu ISIS pre bezpečnú komunikáciu na internete

Čo si odniesť z návodu ISIS pre …

V reakcii na vojnu, ktor...

NÁVOD: Ako jednoducho a rýchlo spustiť OS Android na vašom počítači

NÁVOD: Ako jednoducho a rýchlo sp…

Dajme tomu, že potrebuje...

Softvér z druhej ruky možno legálne kúpiť alebo predať, stačí splniť podmienky

Softvér z druhej ruky možno legá…

Za akých okolností je m...

Porušuje Rakúsko neutralitu? Odpočúvacie zariadenie USA z čias studenej vojny priamo pri Slovensku

Porušuje Rakúsko neutralitu? Odpo…

Porušuje Rakúsko neutra...

Prev Next
skafsqarhyazeubebgcazh-CNzh-TWhrcsdanlenettlfifrglkadeelhtiwhihuisidgaitjakolvltmkmsmtnofaplptrorusrslesswsvthtrukurvicyyi

Audit TrueCrypt neodhalil žiadne zadné vrátka

Prvý audit TrueCrypt neodhalil žiadne zadné vrátka

 Značky: šifrovanie softvér bezpečnosť tor TrueCrypt 

Iniciatíva IsTrueCryptAuditedYet , ktorej cieľom je uskutočniť bezpečnostný audit populárneho šifrovacieho softvéru TrueCrypt, zverejnila výsledky prvého čiastkového auditu tohto softvéru, podľa ktorého sa v preverovanej časti nenachádzajú žiadne zadné vrátka. 

  

TrueCrypt je obľúbený softvér pre šifrovanie celých diskov, diskových oddielov respektíve obrazov súborových systémov, doteraz ale nebol uskutočnený jeho kompletný bezpečnostný audit. 

 

V atmosfére po zverejnení informácií Edwardom Snowdenom okrem iného o snahe NSA ovplyvniť bezpečnosť kryptografických štandardov aj jednotlivých implementácií a keďže okrem iného autori TrueCryptu zostávajú v anonymite, odštartoval iniciatívu IsTrueCryptAuditedYet na jeseň Matthew Green, profesor kryptografie z Univerzity Johnsa Hopkinsa v americkom Baltimore. 

 

Iniciatíva získala viac ako 60 tisíc dolárov ľudovým financovaním a získané prostriedky chce použiť na dosiahnutie štyroch cieľov.
Chce vypísať odmeny za nájdenie chýb v softvéri, chce uskutočniť profesionálny bezpečnostný audit celého kódu, zvýšiť bezpečnosť TrueCryptu zavedením deterministického vytvárania inštalačných súborov a tiež chce nechať právne analyzovať licenciu softvéru a overiť jej kompatibilitu s GPL a ďalšími OSS licenciami. 

 

V pondelok boli zverejnené výsledky prvého čiastkového auditu realizovaného spoločnosťou iSECpartners, ktorý sa zameral len na niektoré komponenty kódu, špecificky bootloader, inštalačný proces, implementáciu pre Windows v podobe ovládača a špecificky viacerých jeho funkcií. 

 

Audit identifikoval celkom osem problémov nízkej a strednej závažnosti, ktoré boli podľa vyhodnotenia zrejme výsledkom programátorských chýb a nie úmyslu. 

 

Najvážnejším problémom je relatívne slabý algoritmus odvodenia kľúča šifrovaného oddielu z užívateľského hesla, ktorý používa algoritmus PBKDF2 s 1000 alebo 2000 kolami. Problém neohrozuje bezpečnosť, ak užívateľ zvolil bezpečné heslo. 

 

Algoritmus PBKDF2 je ale možné na súčasnom hardvéri implementovať mimoriadne rýchlo a efektívne uskutočniť útok hrubou silou skúšaním všetkých možných hesiel pri slabom hesle. Audit preto odporúča voliteľne používať výrazne viac kôl a z dlhodobého hľadiska použiť napríklad scrypt používaný v kryptomene Litecoin. 

 Audit ďalej odhalil potenciálne odstránkovanie kľúča šifrovaného oddielu na disk, čo môže predstavovať riziko ak nie je šifrovaný systémový disk, alebo možné odchytenie zadávaného kľúča, ak útočník získa fyzický prístup k HDD a modifikuje TrueCrypt bootloader. Takýto prístup je možné ale útočníkom využiť aj inak a efektívnejšie. 

 

 

Prvý audit bude nasledovaný ďalším, ktorý sa má zamerať na implementáciu samotných kryptografických funkcií a šifrovania.  

zive.cz

Naposledy zmenenépiatok, 25 apríl 2014 12:27
Pre písanie komentárov sa prihláste
návrat hore