On Thu, 29 May 2014, Marco Bertorello wrote:
> Il 29 maggio 2014 15:07, gin(e) <ginex@???> ha scritto:
> > che cazzo vuol dire li hanno bustati? imprigionati? chiusi?
>
> secondo me non hanno passato l'audit e comportava troppo lavoro mettere a posto.
>
> http://istruecryptauditedyet.com/
sono d'accordo.
che poi detto fra noi so che e' un gruppo di 3-4 appassionati mezzi
hippie della nostra generazione a dedicarsi a truecrypt.
la dinamica e' facilmente immaginabile: una cifra da fare, un hobbie che
porta responsabilita' enormi, una comunita' non sempre molto friendly e
soprattutto paranoica, poca voglia di fare revisioning.
cmq l'intento era bello e secondo me fino alla 7.1b-salcaz non c'eran
backdoor (vedi audit che fa disasm e compare tra binario e codice) e'
solo che hanno scritto troppo codice per una cosa che e' meglio farla
con meno codice possibile.
riguardo i motivi strutturali di inaffidabilita' di winzoz, cose cosi'
sui random generator sono all'ordine del giorno nel fantastico mondo del
"consumer grade"
http://www.schneier.com/essay-198.html per non parlare
che ci possono essere injection di vulnerabilita' proprio a partire dal
compilatore.
concordo pure che la full disk encryption aiuta solo per i server fisici
e sigillati fisicamente, sul desktop co la password all'avvio te ce
menano sopra.
ciao
