Сейчас на нулледе в теме про шифрование информации вычитал следующее: Что думаете по этому поводу, может быть у кого-то сохранилась ссылка, где автор про это писал.
С одной стороны - запросто, с другой - давно бы нашли его и развопились на весь тырнет, особенно после таких "заявлений". UPD да и как бы если инфа попала в инет, то хрен ее от туда уже выпилишь. Где нибудь да должно быть в кэше.
Нопремер то что скорее всего будет другой хеш. Либо пинать разрабов чтобы скидывали: название компилятора, настройки компилятора и может еще чего.
Если это так, то опять же - смотря для кого "бэкдор". Небольшая статейка в Интернете насчет TrueCrypt на английском.
статья конечно интересная, но все же: что то недоговоривается... Ну или из серии: RAR имеет лезейку(тот же backdoor) для спецорганов, но это используют в очень критичных ситуациях, чтоб не спалится. Если думать логично, то любой т.п. софт иеет backdoor, ибо не пустили бы юзать их. Сами представьте - наркотрафик(переписки дилеров), детское порно было бы очень легко передаваить и распространять. Но спецслужбам приходится применить другие альтернативные методы для "не критичных" задач. Вся это xуита типа vpn(хоть L2TP), pgp, truecrypt, aes - миф. Лично я не верю, что они неприступные.
Я думаю, что все разработчики подобных криптографических программ известны спецслужбам. И открытых решений, и тем более - с закрытым исходным кодом. Если исходный код программы выложен в Интернет, спецслужбы проводят экспертизы и работают с академиками и учеными. Хотя, скорее всего такая работа лежит в плоскости поиска решений для будущих крипто-алгоритмов. А если задачей стоит узнать пароль на зашифрованный раздел, можно обойтись гораздо меньшими средствами, и стоить это будет гораздо дешевле. Если бы я разрабатывал кейлоггерские системы и хотел знать все пароли, ключи и прочее, я бы сделал их универсальными - не на уровне ОС, а на уровне BIOS или какой-либо другой аппаратной закладки. При необходимости эта закладка просто удаленно активируется и информация сливается в ячейки памяти, откуда ее потом с помощью специального оборудования можно было бы получить. В рамках "программы по борьбе с терроризмом" запихнуть в материнские платы скрытые аппаратные кейлоггеры - очень разумный вариант, для тех кому это надо. Вопрос в другом: те, кто знает об этом и могут это применить - те никогда не раскроют ни секреты бэкдоров в TrueCrypt, не расскажут про аппаратные закладки и прочее. Просто уровень не тот, масштаб не тот. С помощью таких систем не борются с детской порнографией, компьютерным пиратством и прочим, потому что жертвой таких преступлений являются единичные люди, а не тысячи и миллионы людей. Интересы государства не задеты, а если нет - зачем сливать эту информацию в паблик и терять свой приоритет? Тем более, в современном мире далеко не все является тем, чем кажется на первый взгляд. Даже если они с помощью этих систем узнают, что готовится что-то масштабное, они могут допустить это по своим причинам. Чтобы запугать общественность, чтобы увеличить свой бюджет, чтобы принять законы, которые нужны им, чтобы усилить контроль и расширить свои сферы влияния. Это область политики, а не гражданских отношений, а там никогда ничего не делается без расчета на далеко-идущие перспективы. И когда говорят про терморектальный криптоанализ, это просто смешно лично мне. Просто сразу видно, что у тех кто его применяет не было, нет и никогда не будет таких систем и у них нет другого выхода, кроме как применить противозаконные методы. Но тогда это ставит на "нет" сам принцип их работы - охранять закон. И грошь цена тому паролю, который будет выбит из человека под прямым физическим воздействием (либо на "пресс-хате"), если после этого с плеч полетят погоны не только этого оперативника или следователя, но и его начальников. Я не пользусь TrueCrypt'ом, использую DiskCryptor и FreeOTFE. DiskCryptor для шифрования системного раздела системы и других дисков, FreeOTFE - для создания криктоконтейнеров. В криптоконтейнерах критические файлы шифрую своей программой, которую сам собрал из исходников.
думаю что слухи о бэкдоре всего лишь слухи. а вот факты: http://habrahabr.ru/blogs/infosecurity/122703
Прочитал письмо этого человека. Никакого доверия не вызывает и возможно - очередная манипуляция с тонким подтекстом - если вы будете шифровать информацию и вас "возьмут" - то обязательно закроют в СИЗО. То же самое, что в российском варианте называют "терморектальным криптоанализом", только способ более завуалированный. Кстати, если допустить, что это правда - мы не знаем что сделал этот человек. Может логи провайдера показали, что он педофил, который с девочками маленькими знакомился через Интернет, а потом имел их и логи провайдера показали факт знакомства. Этот вопрос уже лежит в другой плоскости, в моральной. Если этот человек - извращенец, который скрыл TrueCrypt'ом фото своих жертв, я бы сделал то же самое на месте судьи. По существу: защита информации должна быть комплексной. Нельзя ограничиваться только шифрованием диска, если информация идет по открытому каналу - она легко перехватывается и очень часто в делах по 146-й статье, как пишут на форумах, даже не обязательно получать пароль к зашифрованному диску - достаточно логов провайдера и свидетелей, что такой-то тогда-то находился в Интернете и качал или раздавал такой-то файл. Если бы использовался VPN, шифрование дисков в сочетании с настройкой системы - дело скорей всего бы тормознулось еще в процессе.
Спс за ссылку. Блин, у меня же все с TrueCrypt зашифровано, даже обычная музыка скачанная с zaycev.net Надо на коды посмотреть, может удасться самому скомпилировать truecrypt.
Кстати, до версии 0.4 DiskCryptor был полностью совместим с TrueCrypt, можно было с помощью него открыть зашифрованный TrueCrypt'ом раздел. Лично у меня система защищена старыми версиями DiskCryptor'а, совместимыми с TrueCrypt'ом. Смотри сам, но ИМХО лучше всего такая схема: системный раздел защищен DiskCryptor'ом\TrueCrypt'ом, а другие разделы, диски и флешки - FreeOTFE.
Вот только дело в том, что я терпеть не могу win системы, а захожу на виндовс очень редко, и то когда совсем делать нечего и хочется поиграть counter strike У DiskCryptor хотя и был аналогичный алгоритм как у TrueCrypt но он только для виндовс. Вчера несколько статей прочитал про TrueCrypt, две из них написаны "экспертами" по криптологии, после этого решил, что все таки ему можно доверять, хотя не плохо было бы разобратся в исходниках. Автор статьи намекал, что исходники очень "простые" и легко разобратся. Так что посмотрим
Понимаю, большинство пользователей Античата да и других подобных порталов использует Linux. Некоторые используют Windows Server или другие системы, или заходят на подобные порталы через виртуальную машину Sun VirtualBox или VMWare. У меня лично весь серфинг на подобные порталы пущен через зашифрованную виртуальную машину Надеюсь, что у тебя получится найти что-то интересное. Если будут результаты, отпишись сюда если не затруднит. Я постоянно мониторю такие сайты, как портал Интернет и Право и время от времени читаю, что, скажем эксперты ФСКН имеют в распоряжении системы, которые каким-то образом осуществляют атаку на криптоконтейнер TrueCrypt, и что якобы появились коммерческие системы с закрытым исходным кодом специально для раскрытия криптоконтейнеров TrueCrypt. Если интересует, можешь зайти на этот портал и глянуть - но только через анонимные каналы связи. Вместе с тем, никаких подробностей по уголовным делам, которые ведутся в России с использованием систем, позволяющим "вскрыть криптоконтейнер TrueCrypt" - нет. Пугают и свидетелями, и логами провайдера - но никак не раскрытием паролей для криптоконтейнеров и никак не "черными ходами" в криптозащитных системах. Причем, заметь - когда заходит речь о вскрытии криптоконтейнеров, говорят, что "это необязательно, т.к. есть другие доказательства". А если это необязательно, значит вскрыть криптоконтейнер представляет такие трудности для следственных органов, что им проще действовать в другом направлении. Просто от себя хотел бы сказать, что этот портал читают очень многие, в том числе киберпреступники, и доверять тому что написано там - стоит процентов на 50. Те люди, которые являются там администраторами и модераторами, так называемые "господа полицейские", тоже не дураки и они могут забросить в онлайн дезинформацию касательно их методов раскрытия криптоконтейнеров и прочих систем. И чем больше пытаются дискредитировать какую-то систему шифрования в открытых и общедоступных источниках, тем более она надежна. Это исключительно психологический метод, наподобие внушения о "терморектальном криптоанализе", когда владельцам зашифрованных криптоконтейнеров как бы заранее должно быть известно что им будут угрожать физической расправой и т.д. чтобы устрашить их, запугать, сказать что зашифрованный контейнер в 100% случаев приведет к физическому давлению. А психологическая атака на тех людей, которые могут реально противодействовать следственным органам - это типично ФСБшный приём. Могу дать тебе свой совет - не слушай абсолютно ничего что говорят в Интернете насчет физического воздействия, психологическго и прочего, если дело касается криптографии. С моей точки зрения, эти методы - ложь и провокация.
Кстати, теперь у меня вызывают легкую иронию люди, которые предпочитают продавать VPN, SOCKS и SSH, принимая к оплате в российских платежных системах: Также интересным остается вопрос, не по причине ли нераскрытия пароля на криптоконтейнер подозреваемый в DDOS-атаке был помещен в Лефортово, т.к. сотрудник ЦИБ ФСБ РФ, господин Корольков констатировал, что на НЖМД подозреваемого находится зашифрованная информация. Интересно, он это узнал раньше или только когда пришел на обыск вместе с остальными оперативниками: Для тех ребят, кто не успел слить информацию по уголовному делу - http://imageonenow.com/upload/files/Delo.rar Основной топик: [ссылка]
Интересно, есть ли документально подтвержденные прецеденты, когда в программе для шифрования данных, была найдена заведомо оставленная лазейка, которая позволяла посторонним лицам, получить доступ к этим зашифрованным данным.
А кто официально подтвердит такое дело? это как зарезать курицу, который дает золотые яйца. Был т.п. спор, просто про ZIP/RAR архивов, что они непреступны и только брутфорсом можно "вспомнить" пароль. Но в одном деле человек за очень короткое время (в течение дня) "нашел" пароль , который состоил помоему из 24_х букв и чисел.. И даже ламер поймет, что это НЕ брутфорс. Все же есть лазейка. Тот же человек сказал, что что то подобного демонстрировали в "дефконе"...
Если там есть закладка-бэкдор, то достаточно сложно объяснить http://forums.truecrypt.org/viewtopic.php?t=23969 . Американца обвиняют в том что он парль от раздела не выдал. Но в любом случае лучше перестраховаться пару раз. black_berry - А то что Engel-я поместили в лефортово вполне оправдано, он просто опасен, не сомневаюсь, что первым делом, как его отпустят, он продолжит ддосить.
Закладка полюбому есть, но по таким мелочям точно не станут юзать . как вы представляйте - столько шума уже сделал этот судебный процесс и вот возьмут и достанут инфо из контейнера.... все, после этого никто не будет пользоватся этими "мега-крипторами", все будут юзать левые, не известными алгоритмами для ФСБ/ФБР или самопальными крипторами...