Re: [Lista Criptica] Manual de seguretat

Borrar esta mensaxe

Responder a esta mensaxe
Autor: Dhole
Data:  
Para: Criptica - Llista de debat
Asunto: Re: [Lista Criptica] Manual de seguretat
On 16-03-25 10:21:00, Jordi Delgado wrote:
> No estic segur de que canviar Truecrypt per Veracrypt sigui el que cal
> fer. Truecrypt ha estat auditat dues vegades, per equips independents,
> amb bons resultats. Que no es continui desenvolupant no vol dir gran
> cosa. La criptografia que Truecrypt implementa és segura i ho serà
> durant molts anys.
>
> Veracrypt no ha estat auditat per ningú i, jo no sé vosaltres, però
> l'empresa que està al darrera és desconeguda.


Tenint en compte que Veracrypt es un fork de Truecrypt, es podria
considerar que Veracrypt ha estat auditat, pero no en les versions
actuals.

I respecte a l'empresa darrera de Veracrypt... Els desenvolupadors de
truecrypt tampoc eren coneguts (de fet eren anonims si no ho tinc mal
entes).

> En aquests casos, estar a la última no és gaire rellevant. La
> criptografia implementada per Truecrypt està ben implementada (així ho
> diuen les auditories) i per molts focs artificials que afegeixi
> Veracrypt (nous mètodes de xifrat, etc) no afegeix més seguretat a la
> que ja té Truecrypt.


En aixo estic d'acord, pero cal tenir en compte per exemple que tot i
que les auditories no van trobar cap problema de seguretat greus, si que
van trobar alguns problemes de mitana i baixa severitat (ara mirava
l'auditoria de iSECpartners per a Open Crypto Audit Project [1] i van
trobar 4 "medium severity issues" i 4 "low severity issues"). I aquests
problemes no han estat corregits a la versio de Truecrypt que proposes
pero si en Veracrypt.

> Nosaltres a les cryptopartys continuem recomanant Truecrypt. Si voleu la
> darrera versió de Truecrypt 7.1a, en totes les versions per mac, linux i
> windows, la teniu en el meu dropbox: https://db.tt/qYSg0exJ


En aquesta proposta estaria molt be que firmesis els arxius per que la
gent pogues verificar que s'ha baixat realment el que tu vas penjar a
dropbox (i aixi de pas practiquen verificar firmes GPG).

PD: Tot i que personalment penso que es millor recomanar Veracrypt que
Truecrypt, tampoc vull dir que em sembli malament recomanar Truecrypt
amb els arguments que dones. Penso que es un debat obert i no estic
convençut al 100% d'usar Veracrypt en lloc de Truecrypt. De fet jo no
uso cap dels dos, sino que uso LUKS, perque m'es mes comode.

[1] https://opencryptoaudit.org/reports/iSec_Final_Open_Crypto_Audit_Project_TrueCrypt_Security_Assessment.pdf
--
Dhole