CCC di nuovo contro le impronte digitali

Re: TrueCrypt
- Scritto da: IgaRyu
E' vero che truuecrypt è morto, ma magari la
dicesse completa: TrueCrypt è stato stoppato a
forza e prima che riuscissero a bloccare i
sorgenti è nato un fork opensource che si chiama
VeraCrypt.

Peraltro sono state risolteeee anche alcune
'debolezze' intrinseche native di
TrueCrypt.





VeraCrypt adds enhanced security to the
algorithms used for system and partitions
encryption making it immune to new developments
in brute-force
attacks.
VeraCrypt also solves many vulnerabilities and
security issues found in TrueCrypt. The following
post describes parts of the major enhancements
and corrections done so far:
https://veracrypt.codeplex.com/discussions/569777#

As an example, when the system partition is
encrypted, TrueCrypt uses PBKDF2-RIPEMD160 with
1000 iterations whereas in VeraCrypt we use
327661. And for standard containers and other
partitions, TrueCrypt uses at most 2000
iterations but VeraCrypt uses 655331 for
RIPEMD160 and 500000 iterations for SHA-2 and
Whirlpool.






Ma si sa ch3e qui dentro si danno solo le info
che fanno piacere solo ad
alcuni.

I.R.Che lo SVILUPPO ed il SUPPORTO di TrueCrypt siano stati stoppati a forza lo si era capito già dopo i primi giorni, dopo aver considerato COME sviluppo e supporto erano stati interrotti.Ci fu chi da subito sottolineò che non potevano essere stati gli sviluppatori a suggerire, SPONTANEAMENTE e senza pressioni, di sostituire TC con un prodotto MS proprietario e closed source, nè a proporre un'assolutamene inutile, e per questo più che sospetta, versione 7.2.E' pur vero che questa cosa più viene ripetuta ed evidenziata, meglio è.Ma c'è un'altra cosa da dire: TRUECRIPT VER. 7.1a NON E' AFFATTO MORTO!E non lo sarà fino a quando:1) non si dimostrerà che ha bugs gravi o backdoor (che nella prima metà dell'audit NON sono stati trovati).2) non si dimostrerà che la NSA od altri sanno craccarlo (e invece abbiamo sempre più conferme che NON sono in grado di farlo).3) non si vedrà che non funziona bene sulle nuove versioni dei sistemi operativi (invece funziona benissimo su Windows 8/8.1 e pare anche su Windows 10).Fino ad allora, non ha molto senso cercare un "sucXXXXXre" alla 7.1a.E quando tale sucXXXXXre vorrà proporsi come degno erede, dovrà essere AUDITATO almeno quanto lo è stato TrueCrypt v.7.1a.Questo è il motivo per cui secondo me NON HA SENSO AFFIDARSI OGGI A VERACRYPT:- non è (ancora?) stato minimamente auditato.- ingloba variazioni rispetto alla 7.1a non trascurabili, tanto che il formato dei suoi archivi è incompatibile con quello di TC. Variazioni che nessun auditor ha ancora esaminato.- è nuovissimo ed ancora pochissimo usato e quindi pochissimo collaudato. Potrebbero esserci dei bugs, nella perfetta buona fede dei suoi sviluppatori.- i presunti (e si spera reali!) miglioramenti rispetto a TC non devono far dimenticare che pure senza quelle nuove feature neppure la NSA riesce a craccare TC. Quindi sono miglioramenti che al momento non sono indispensabili.- VeraCrypt è sviluppato da una società privata francese e, per quanto sia open source, io credo che una società privata sia parecchio esposta a pressioni governative (e gli spioni di Stato ci sono in tutti i paesi, non solo negli USA). Senza contare l'ipotesi che quella società un domani non voglia cercare di cominciare a lucrarci in qualche modo (lo si può fare anche con open source, vedi Red Hat), magari abbandonando il supporto alla versione free.Piuttosto di VeraCrypt, se proprio dovessi affidarmi a qualcos'altro oggi guarderei a Ciphershed, che pare fatto su base volontaria e senza agganci commerciali e che parte dichiaratamente come puro clone della 7.1a.Un domani, magari, queste due fork si ricongiungeranno.Ma per ora per quel che mi riguarda anche Ciphershed resta dov'è.Fin che la 7.1a non mostra la corda (e per ora non da segni di cedimento) non ha senso usare altro che TrueCrypt 7.1a.