-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On 07 Απρ 2011, at 2:58 μ.μ., Tommaso Gagliardoni wrote: > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA256 > > Rispondo un po' a tutti. > > Premetto che la mia non voleva essere una critica a Truecrypt, ma in > effetti l'analisi che ho linkato non mi pare del tutto "aria fritta" > (anche se, come ho detto subito, c'e' della paranoia) e credo non sia > fuori luogo discutere del problema, che obiettivamente c'e'. > > (*) Premettiamo anche un problema spinoso: la complessita' del software > ha raggiunto livelli tali che e' sempre piu' difficile fare una review > approfondita di un codice, e ci sono sempre piu' finestre per inserire > codice malevolo occultato cosi' bene da passare inosservato ad > un'analisi non paranoicamente minuziosa. Era gia' possibile nel 2003 > (vedi [1]) figuriamoci oggi. > > > On 04/04/2011 03:35 PM, Panagiotis Atmatzidis wrote: >> Ma non e' vero link[2]. Schneier parla spesso e volentieri di >> TrueCrypt. Ed e' proprio lui che ha spiegato che per essere al 100% >> sicuri che la 'plausible deniiability' esista, deve esistere un >> intero sistema nella partizione di truecrypt cosiche non >> interferisce con il 'sistema esterno'. Direi che Schneier e' "valido" >> come Cryptographer. > > Indubbiamente. Ma lui e soci non hanno mai fatto, che mi risulti, una > review approfondita del codice alla ricerca di backdoor. Loro hanno > cercato *vulnerabilita'* da poter sfruttare per il loro attacco, una > cosa molto diversa e molto mirata. Vedi anche (*) > > (diciamo anche che l'attacco di Schneier e soci a Truecrypt non mi pare > questa cosa cosi' sofisticata e sorprendente, non ci vuole un genio a > capire che se apri un documento hidden con word c'e' il rischio che una > copia venga salvata altrove... Onestamente mi pare quasi piu' un > lavoretto affidato a qualche giovane laureando/ricercatore in cui > Schneier ha fatto poco oltre che mettere il nome. Impressione mia > personale, chiariamo) Certo, pero cosa intendi per "review approfondita". Come gia detto questa discussione potrebbe andare avanti al' infinito. Cmq mi ha dato parecchio da pensare per quello che riguarda TrueCrypt. Da quel che so, l'FBI non ha potuto ricuperare dati da un truecrypt volume di un agente bancario[1]. Non si parla del' NSA ma non credo che l'FBI non abbia risorse. Ciao [1] http://www.technologies-gid.com/security/truecrypt-investigation-is-failed-by-fbi-hackers.html Panagiotis (atmosx) Atmatzidis email: [email protected] URL: http://www.convalesco.org GnuPG ID: 0xFC4E8BB4 gpg --keyserver x-hkp://pgp.mit.edu --recv-keys 0xFC4E8BB4 - -- The wise man said: "Never argue with an idiot. They bring you down to their level and beat you with experience." -----BEGIN PGP SIGNATURE----- Version: GnuPG/MacGPG2 v2.0.12 (Darwin) iEYEARECAAYFAk2fSdgACgkQrghUb/xOi7S9pQCgm31OOkdcZJJuGam/4TEMMrEB CwAAoKaUgQLQJBSGnBv4QzQLwdUZAjM3 =6M3P -----END PGP SIGNATURE-----
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
