Audyt bezpieczeństwa VeraCrypt na zlecenie BSI

Grandalf

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19209
Reakcje/Polubienia
55905
Niniejsze badanie zostało przeprowadzone przez Fraunhofer Institute for Secure Information Technology (SIT) na zlecenie Federalnego Urzędu Bezpieczeństwa Informacji ( BSI ).

Authors and Acknowledgments

This publication was authored by (in alphabetic order):
  • Hülya Evkan
  • Norman Lahr
  • Ruben Niederhagen
  • Richard Petri
  • Andreas Poller (project lead)
  • Philipp Roskosch
  • Michael Tröger
The authors would like to thank Johannes Mittmann, Steven Arzt, Peter Weiland and Mounir Idrassi for their valuable support and advice
Kliknij aby rozwinąć...
Zaloguj lub Zarejestruj się aby zobaczyć!
 
spamtrash

spamtrash

Bardzo aktywny
Zasłużony
Dołączył
11 Styczeń 2014
Posty
4348
Reakcje/Polubienia
5744
Miasto
To tu to tam....
Grandalf napisał:
Zaloguj lub Zarejestruj się aby zobaczyć!
Kliknij aby rozwinąć...
Adus tez nasciborzyl, i ocenil.... ktos wie co chlopak teraz cpie?

Zaloguj lub Zarejestruj się aby zobaczyć!

A tak serio to RIPEND jest trzymane dla kompatybilnosci z kontenerami TC, zeby jasne bylo (z tych samych powodow trzyma to na pokladzie np. EDS dla Androida, zeby sie dalo TC zamontowac),
Zaloguj lub Zarejestruj się aby zobaczyć!
Co prawda to ten fakt umknal audytorom, ale zamiast w ciemno sciborzyc, trzeba czasem to i owo poczytac a nie sie wgapiac caly wieczor w ikonke (noto)usecrypta czy mi wc zhackowali.
(wersja dla Andzejuf, bardziej przejrzysta i klarowna:
Zaloguj lub Zarejestruj się aby zobaczyć!
)

Po drugie to mam (i nie zamierzam ich podawac) powody by mniemac ze zadna panstwowa czy powiazna z rzadem panstw typu US, UK, Kanada, Australia, Niemcy, Szwajcaria agencja audytowa NIE zaleci VC do przechowywania danych powaznych i wrazliwych.
Te powody ktore sa oczywiste sa w raporcie:
1. kod bazuje na TC w wersji 7.1. Kod jest dosc stary i niezoptymalizowany (jest to efekt tego ze nad programem pracuje jedna osoba a nie sztab wybiorczy Adrianow);
2. Sila rzeczy autorowi moze cos umknac i w przypadku pojawienia sie aktualizacji mozliwa jest nieumyslna pomylka wiodaca do stworzenia (poprzednio nieobecnej) luki
3. ...i tu bym sie zapedzil wiec zostawmy jak jest.

Luk bezpieczenstwa per se - nie ma. Oczywiste jest ze jesli dorwiemy kompa z zamontowanym kontenerem/partycja albo sie na taki komp wlamiemy bez sciagniecia uwagi usera to mamy dostep do danych. To jest program szyfrujacy (tak se uproszcze, a co) a nie intrusion prevetion and detection/antywir/firewall z dodatkiem szyfrujacym, u Boga Ojca, tak? Tak samo jak na bitlockera czy cokolwiek innego. Intruz na zamontowanym otwartym kontenerze=po ptokach.


PS: my tu sie naradzilismy z towarzyszami w Moskwie i przeanalizowalismy wydzwiek artykulu. Mniemamy ze artykul promujacy UseSuperDuperSlosny Sejf of jedynie slusznej Zymianskiej firmy UseCrypt za 3... 2... 1... (aczkolwiek mieszaniny LSD z escstasy tez sie nie da wykluczyc) ;)
 
Musisz się zalogować lub zarejestrować aby odpowiedzieć

Podobne tematy:

OXYGEN THIEF
Szczecin. Ktoś włamał się do systemu płatnego parkowania i podmienił numer konta...
Odpowiedzi
0
Wyświetleń
40
OXYGEN THIEF
OXYGEN THIEF
Grandalf
Prawie połowa serwerów Microsoft Exchange w Polsce narażona na ataki z zewnątrz
Odpowiedzi
0
Wyświetleń
67
Grandalf
Grandalf
Grandalf
DCG Centrum Medyczne zostało zhakowane - gruby wyciek
Odpowiedzi
2
Wyświetleń
80
Grandalf
Grandalf
Grandalf
Podatność powodująca, że szyfrowanie PGP mogło zmienić temat wiadomości e-mail w Thunderbirdzie
Odpowiedzi
0
Wyświetleń
58
Grandalf
Grandalf
spamtrash
wpath.org
Odpowiedzi
0
Wyświetleń
65
spamtrash
spamtrash
Do góry