Re: [Hackmeeting] Porcodio truecrypt

Delete this message

Reply to this message
Autor: ɣęƈƞą
Data:  
A: hackmeeting
Assumpte: Re: [Hackmeeting] Porcodio truecrypt
2014-05-29 16:02 GMT+02:00 Elettrico <elettrico@???>:

>
> scusa, ma importante in che senso?
> chiude truecrypt. wow. quindi?
> sono serio eh, non capisco perché è tanto importante.



Per me è un problema, perché TC era la soluzione portabile per qualunque
sistema operativo, facile da usare per degli utenti senza skills e
comprensivo di plausible deniability.

Il fatto che crittograficamente (forse) è stato ritenuto insicuro
dall'audit sarà certo un problema, ma non si era ancora verificato perchè
qualunque caso di furto e/o di indagine nel quale c'era truecrypt non ho
mai sentito che fosse stato violato. Quindi che l'NSA o il Mossad lo
possano rompere mi pare anche poco rilevante *, ma che potessi direi a
gente qualunque, "usa truecrypt, guarda, scaricalo qui, ora installiamolo,
ora crea nuovo volume, fai next next next che tanto queste sono opzioni di
crittografia, scegli la dimensione diciamo 1 giga per fare una prova, metti
la password. ok ora montalo, doppio click. trascina i file"

Era uno dei pochi software che ti dava l'impressione (almeno a me la dava)
che un minimo di livello di protezione fosse adottabile anche da utenti che
non devono fare null'altro se non fare gli utenti. Perché il progresso
nella protezione degli utenti, c'è quando la tecnologia di protezione
diventa invisibile ** o al massimo richiede un paio di click da usarsi
quando si percepisce una sensazione di rischio ***.

E si, nel mio personale piano di formazione e training truecrypt era una
risorsa importante. Quindi non so se c'è di mezzo una richiesta di
backdooring da parte dell'NSA, o se l'audit li ha scoperti incapaci, o
bugdoorati, o se dopo questi anni hanno pensato che il business model di
fare software gratis forse non gli conveniva, con i rischi ai quali erano
esposti dopo l'endorsing involontario di Snowden che al cryptoparty toccò
TC.

Ma, a seconda di quello che si rifletterà nella prossime ore, credo che ci
sono due possibili vie:

1) l'audit li trova "appena sufficenti", la forza di reset the net e i
soldi di interceptor fanno partire una startup di software libero super
revisionato che ricicla l'ultimo codice di TC
2) ogni codice compilato che diventa mainstream e percepito come "sicuro"
viene osteggiato dalle agenzie e ci si deve ridare ad un integralismo FLOSS.

La mia sensazione di oggi è la stessa di quando c'è qualcosa di grosso e
non so bene capirlo.


* come sempre, se il tuo nemico è uno che può investire più di mille euro,
con un attacco tempest supera molti dei tuoi livelli di cifratura.

** posto che anche delle politiche personali vanno adottate e per quelle
devono solo imparare ed essere duri con loro stessi fino a che non le
imparano

*** perché questo fa l'umano, si percepisce a rischio a seconda di alcuni
indicatori, le interfaccie standard non aiutano a comunicare questo
rischio, ma se gli si insegna a capire quanto sono sensibili i propri dati,
possono metterli al riparo.

--
This account is intended for mailing list only. Personal email via:
vecna at globaleaks dot org