Menu
Prečo sa slnečnica otáča za slnkom? Môže za to rast stonky a rozmnožovanie

Prečo sa slnečnica otáča za sln…

Slnečnica sa za slnkom o...

Blockchainový telefón, ktorý sa nedá odpočúvať - XPhone

Blockchainový telefón, ktorý sa …

Spoločnosť Pundi X tvrd...

Ploštice v dome ? Odpudzovače myší, kún, potkanov, mačiek, psov, vtákov, krtov, hrabošov, všetkého sa zbavte

Ploštice v dome ? Odpudzovače my…

Odpudzovače škodcov –...

Čo o vás prezradí váš vlastný webový prehliadač? Pozrite sa

Čo o vás prezradí váš vlastný…

To, že o vás prevádzko...

Česká firma dobýva Áziu potom, čo čínsky veľmajster neprekonal jej zámok

Česká firma dobýva Áziu potom, …

Slovenská patentovaná v...

Software zadarmo: oprava Windows či prevod textu do hovoreného slova

Software zadarmo: oprava Windows č…

Osvedčená sada aplikác...

Vyzerá ako z minulého storočia...

Vyzerá ako z minulého storočia..…

 ...a je veľmi drahý. ...

OS na desktope? Vyskúšajte Android Oreo na počítači

OS na desktope? Vyskúšajte Androi…

Mobilný OS na desktope? ...

Zbrane budúcej vojny: elektromagnetickí "ničitelia počítačov"

Zbrane budúcej vojny: elektromagne…

Elektromagnetické pulz...

Čo si odniesol z návodu ISIS pre bezpečnú komunikáciu na internete

Čo si odniesol z návodu ISIS pre …

23. 11. 2015V reakcii na ...

Prev Next
skafsqarhyazeubebgcazh-CNzh-TWhrcsdanlenettlfifrglkadeelhtiwhihuisidgaitjakolvltmkmsmtnofaplptrorusrslesswsvthtrukurvicyyi

Audit TrueCrypt neodhalil žiadne zadné vrátka

Prvý audit TrueCrypt neodhalil žiadne zadné vrátka

 Značky: šifrovanie softvér bezpečnosť tor TrueCrypt 

Iniciatíva IsTrueCryptAuditedYet , ktorej cieľom je uskutočniť bezpečnostný audit populárneho šifrovacieho softvéru TrueCrypt, zverejnila výsledky prvého čiastkového auditu tohto softvéru, podľa ktorého sa v preverovanej časti nenachádzajú žiadne zadné vrátka. 

  

TrueCrypt je obľúbený softvér pre šifrovanie celých diskov, diskových oddielov respektíve obrazov súborových systémov, doteraz ale nebol uskutočnený jeho kompletný bezpečnostný audit. 

 

V atmosfére po zverejnení informácií Edwardom Snowdenom okrem iného o snahe NSA ovplyvniť bezpečnosť kryptografických štandardov aj jednotlivých implementácií a keďže okrem iného autori TrueCryptu zostávajú v anonymite, odštartoval iniciatívu IsTrueCryptAuditedYet na jeseň Matthew Green, profesor kryptografie z Univerzity Johnsa Hopkinsa v americkom Baltimore. 

 

Iniciatíva získala viac ako 60 tisíc dolárov ľudovým financovaním a získané prostriedky chce použiť na dosiahnutie štyroch cieľov.
Chce vypísať odmeny za nájdenie chýb v softvéri, chce uskutočniť profesionálny bezpečnostný audit celého kódu, zvýšiť bezpečnosť TrueCryptu zavedením deterministického vytvárania inštalačných súborov a tiež chce nechať právne analyzovať licenciu softvéru a overiť jej kompatibilitu s GPL a ďalšími OSS licenciami. 

 

V pondelok boli zverejnené výsledky prvého čiastkového auditu realizovaného spoločnosťou iSECpartners, ktorý sa zameral len na niektoré komponenty kódu, špecificky bootloader, inštalačný proces, implementáciu pre Windows v podobe ovládača a špecificky viacerých jeho funkcií. 

 

Audit identifikoval celkom osem problémov nízkej a strednej závažnosti, ktoré boli podľa vyhodnotenia zrejme výsledkom programátorských chýb a nie úmyslu. 

 

Najvážnejším problémom je relatívne slabý algoritmus odvodenia kľúča šifrovaného oddielu z užívateľského hesla, ktorý používa algoritmus PBKDF2 s 1000 alebo 2000 kolami. Problém neohrozuje bezpečnosť, ak užívateľ zvolil bezpečné heslo. 

 

Algoritmus PBKDF2 je ale možné na súčasnom hardvéri implementovať mimoriadne rýchlo a efektívne uskutočniť útok hrubou silou skúšaním všetkých možných hesiel pri slabom hesle. Audit preto odporúča voliteľne používať výrazne viac kôl a z dlhodobého hľadiska použiť napríklad scrypt používaný v kryptomene Litecoin. 

 Audit ďalej odhalil potenciálne odstránkovanie kľúča šifrovaného oddielu na disk, čo môže predstavovať riziko ak nie je šifrovaný systémový disk, alebo možné odchytenie zadávaného kľúča, ak útočník získa fyzický prístup k HDD a modifikuje TrueCrypt bootloader. Takýto prístup je možné ale útočníkom využiť aj inak a efektívnejšie. 

 

 

Prvý audit bude nasledovaný ďalším, ktorý sa má zamerať na implementáciu samotných kryptografických funkcií a šifrovania.  

zive.cz

Naposledy zmenenépiatok, 25 apríl 2014 12:27
Pre písanie komentárov sa prihláste
návrat hore