Re: [Hackmeeting] Porcodio truecrypt

Delete this message

Reply to this message
Author: Jaromil
Date:  
To: hackmeeting
Subject: Re: [Hackmeeting] Porcodio truecrypt
On Thu, 29 May 2014, Marco Bertorello wrote:

> Il 29 maggio 2014 15:07, gin(e) <ginex@???> ha scritto:
> > che cazzo vuol dire li hanno bustati? imprigionati? chiusi?
>
> secondo me non hanno passato l'audit e comportava troppo lavoro mettere a posto.
>
> http://istruecryptauditedyet.com/


sono d'accordo.

che poi detto fra noi so che e' un gruppo di 3-4 appassionati mezzi
hippie della nostra generazione a dedicarsi a truecrypt.

la dinamica e' facilmente immaginabile: una cifra da fare, un hobbie che
porta responsabilita' enormi, una comunita' non sempre molto friendly e
soprattutto paranoica, poca voglia di fare revisioning.

cmq l'intento era bello e secondo me fino alla 7.1b-salcaz non c'eran
backdoor (vedi audit che fa disasm e compare tra binario e codice) e'
solo che hanno scritto troppo codice per una cosa che e' meglio farla
con meno codice possibile.

riguardo i motivi strutturali di inaffidabilita' di winzoz, cose cosi'
sui random generator sono all'ordine del giorno nel fantastico mondo del
"consumer grade" http://www.schneier.com/essay-198.html per non parlare
che ci possono essere injection di vulnerabilita' proprio a partire dal
compilatore.

concordo pure che la full disk encryption aiuta solo per i server fisici
e sigillati fisicamente, sul desktop co la password all'avvio te ce
menano sopra.

ciao