Alternativa TrueCryptu

Re:Alternativa TrueCryptu
« Odpověď #30 kdy: 01. 01. 2015, 15:29:00 »
Jsou podstatne aktivnejsi co se tyce komunikace s uzivateli.
To tomu projektu nějak pomůže? Myslím, že problém TC nebyl nedostatek uživatelů.

Cele to ukonceni vyvoje TC je zarnym prikladem otresneho amaterskeho pristupu (ani neuvedli, proc skoncili; radsi doporucili zcela neadekvatni MS reseni [troll.png]).
Já myslím, že ukončení vývoje a údržby TC naprosto přesně odpovídá tomu, jak k TC přistupovali uživatelé. Já zvláštní, jak kde kdo důvěřuje autorům TC ohledně jeho bezpečnosti, ale když autoři doporučí řešení od MS, najednou na to zapomenou a tváří se, že autoři TC bezpečnosti vůbec nerozumí.

A jak se lisi ten fork od ostatnich free SW produktu?
Například od Linuxu, OpenOffice nebo LibreOffice, Chromia a mnoha dalších se liší v tom, že za ním nestojí velké firmy, které by platily vývoj. Od OpenSSH se liší v tom, že v něm snad nejsou školácké programátorské chyby.

Takto bych mohl kazde doporuceni smest ze stolu a rict, ze budto hrozi bezpecnostni riziko, protoze uzavreny kod, nebo free produkt, ktery umre. Ma tedy cenu hledat alternativu, kdyz podle teto logiky vlastne zadna (dlouhodobe) neexistuje?
Já nevěřím tomu, že se bezpečný bezpečnostní software dá dělat tak, že tam budou přispívat kousky kódu náhodní programátoři a nebude tam silný lídr, který na bezpečnost dohlédne. Zároveň nevěřím tomu, že to silný lídr dokáže dělat delší dobu jenom jako koníčka. To, jestli má ten produkt uzavřený nebo otevřený kód, podle mne není z hlediska jeho trvání podstatné.

Mozna by vice vyvojaru prispelo kodem, kdyby TC nemelo specialni licenci a TC tym (vice) komunikoval.
Jenže příspěvky kódu jsou podle mne přesně to, co TC vůbec nescházelo. Právě proto si myslím, že forky TC moc dlouho nepřežijí, protože řeší právě jen ty příspěvky kódy, v čemž ale žádný problém nebyl.

Myslim si, ze by se naslo dost lidi ochotnych prispet.
Myslíte si to hezky, ale ti lidé se nenašli.

Asi se jen chteli zbavit pet projektu, tak zvolili nejjednodussi reseni - utekli.
Podle mne zvolili z pohledu odborníků na počítačovou bezpečnost nejlepší možné řešení - nepokusili se rozmělnit svou odpovědnost a hodit to na někoho jiného a férově řekli uživatelům, jaká je situace. Po předchozích opakovaných zkušenostech neměli důvod si myslet, že by se někomu podařilo ten projekt zachránit. Navíc když několikrát dali najevo, že projekt potřebuje pomoc, a nic se nestalo, proč by měli brát nějaké ohledy na uživatele? Uživatelé utekli jako první, autoři až po nich...


TVL

Re:Alternativa TrueCryptu
« Odpověď #31 kdy: 01. 01. 2015, 15:33:00 »
Takže zabezpeční truecryptem je v ČR minimálně na 5 - 10 let naprosto v pohodě.

To zní skoro jako když to víš.

A jestli nula na ruletě padne v příští hře, nebo o 10 her později, to po 25 letech s PC také víš?
Ne to nevím, ale vím rozdíl mezi předvídáním a něco vědět určitě. Ale tobě ten rozdíl evidentně splývá.

Ale jo, pak ses pouze opravil, že je to jenom tvůj odhad. Tak si tam místo mého "víš" dosaď "předvídáš" a zamysli se nad tím znovu, pointa je nezměněna.

noef

  • *****
  • 897
    • Zobrazit profil
    • E-mail
Re:Alternativa TrueCryptu
« Odpověď #32 kdy: 01. 01. 2015, 17:10:49 »
Jsou podstatne aktivnejsi co se tyce komunikace s uzivateli.
To tomu projektu nějak pomůže? Myslím, že problém TC nebyl nedostatek uživatelů.
To jsem nikdy netvrdil. Rikal jsem, ze selhali pri doruceni zpravy uzivatelum o nedostatku financi.

Myslim si, ze by se naslo dost lidi ochotnych prispet.
Myslíte si to hezky, ale ti lidé se nenašli.
Cele to ukonceni vyvoje TC je zarnym prikladem otresneho amaterskeho pristupu (ani neuvedli, proc skoncili; radsi doporucili zcela neadekvatni MS reseni [troll.png]).
Já myslím, že ukončení vývoje a údržby TC naprosto přesně odpovídá tomu, jak k TC přistupovali uživatelé.
Anebo z druhe strany, jak k tomu pristupoval TC tym. Pokud odmitaji komunikovat s uzivateli a ocekavaji, ze uzivatele nejak vyciti, ze potrebuji dalsi finance na vyvoj... Proc nepridali do TC moznost zobrazit (treba i jednorazove) nejakou stranku, pripadne dotaz na otevreni stranky s zadosti o podoru, vysvetlenim atp.? Pokud TC ani neupozorni na novejsi verzi (mozna se pletu), tak uzivatel nema moc duvod  (=zapomene) kontrolovat domaci stranku produktu. (Je otazka, jak to resit bezpecne~popiratelne, ale predpokladam, ze by to melo jit.)

Já zvláštní, jak kde kdo důvěřuje autorům TC ohledně jeho bezpečnosti, ale když autoři doporučí řešení od MS, najednou na to zapomenou a tváří se, že autoři TC bezpečnosti vůbec nerozumí.
Bezpecnostni audit probehl a zadne vyznamne problemy (zadni vratka) nebyly nalezeny.

ale když autoři doporučí řešení od MS, najednou na to zapomenou a tváří se, že autoři TC bezpečnosti vůbec nerozumí.
Zapomnel jste na tu cast, kdy nejdrive kritizovali BitLocker a snad MS i obvinovali z toho, ze tam maji zadni vratka. Neni to tedy od nich trolovani, kdyz nasledne stejny produkt doporuci? Nerekl bych, ze nekdo tvrdi, ze TC tym bezpecnosti nerozumi.

A jak se lisi ten fork od ostatnich free SW produktu?
Například od Linuxu, OpenOffice nebo LibreOffice, Chromia a mnoha dalších se liší v tom, že za ním nestojí velké firmy, které by platily vývoj. Od OpenSSH se liší v tom, že v něm snad nejsou školácké programátorské chyby.
Presto OpenSSH zije celkem dlouho a uspesne. Mely snad ale tyto produkty od zacatku sve existence za sebou giganty? Lidi kolem CipherShed pusobi profesionalne a otevrene (nikdo z tymu snad neni anonymni, je tam nejaka struktura, verejne repo v gitu - snadnejsi dohledat a analyzovat zmeny, vyvesene principy, aktivni uzivani komunikacnich kanalu [minimalne twitter a novinky na strankach]).

Takto bych mohl kazde doporuceni smest ze stolu a rict, ze budto hrozi bezpecnostni riziko, protoze uzavreny kod, nebo free produkt, ktery umre. Ma tedy cenu hledat alternativu, kdyz podle teto logiky vlastne zadna (dlouhodobe) neexistuje?
Já nevěřím tomu, že se bezpečný bezpečnostní software dá dělat tak, že tam budou přispívat kousky kódu náhodní programátoři a nebude tam silný lídr, který na bezpečnost dohlédne. Zároveň nevěřím tomu, že to silný lídr dokáže dělat delší dobu jenom jako koníčka. To, jestli má ten produkt uzavřený nebo otevřený kód, podle mne není z hlediska jeho trvání podstatné.
Nema tuto roli plnit prave ten jejich tym (detailni proverovani vsech prispevku kodu)? Ale jinak s Vami souhlasim, pokud se za ne nepostavi nekdo velky, nebo oni sami nerozjedou firmu, tak to nebude moc dlouho trvat.

Mozna by vice vyvojaru prispelo kodem, kdyby TC nemelo specialni licenci a TC tym (vice) komunikoval.
Jenže příspěvky kódu jsou podle mne přesně to, co TC vůbec nescházelo. Právě proto si myslím, že forky TC moc dlouho nepřežijí, protože řeší právě jen ty příspěvky kódy, v čemž ale žádný problém nebyl.
Nemyslim si. Minimalne ten fork, o kterem mluvim (duvody jsem v podstate popsal vyse).

Asi se jen chteli zbavit pet projektu, tak zvolili nejjednodussi reseni - utekli.
Podle mne zvolili z pohledu odborníků na počítačovou bezpečnost nejlepší možné řešení - nepokusili se rozmělnit svou odpovědnost a hodit to na někoho jiného a férově řekli uživatelům, jaká je situace. Po předchozích opakovaných zkušenostech neměli důvod si myslet, že by se někomu podařilo ten projekt zachránit. Navíc když několikrát dali najevo, že projekt potřebuje pomoc, a nic se nestalo, proč by měli brát nějaké ohledy na uživatele? Uživatelé utekli jako první, autoři až po nich...
Ferove rekli uzivatelum, proc skoncili? Vzdyt vyvesili podvodne vyhlizejici stranku s textem, ktery protirecil tomu, co dosud tvrdili. Naopak si myslim, ze ferove moc nejednali (urcite ne ke konci). Spis to pusobi, ze chteli projekt uplne potopit.

Uzivatele si prave myslim, ze neutekli k alternativam, jen pouzivali dale jejich SW a ani nevedeli, ze se neco deje, dokud si to neprecetli na nejakem novinkovem servru.

ferren

Re:Alternativa TrueCryptu
« Odpověď #33 kdy: 01. 01. 2015, 19:13:41 »
to jakym zpusobem byl tc ukoncen je naopak znamka duveryhodnosti o toho ze nekomu opravdu lezel v zaludku, takze mu verim. nepodporovany neudrzovany sw neni duvod jej opustit, neni to typmsw co potrebuje maintenance. tyhle veci bud fungujinnebo ne, nic mezi. mozna za par let nebude aktualiZovan na nove silnejsi sifry, ale tot vse, co fungovalo se samo nerozbije. pokud byl ok driv, musi byt i ted

mkub

Re:Alternativa TrueCryptu
« Odpověď #34 kdy: 01. 01. 2015, 19:48:36 »
TrueCrypt je neudrzovany, cize by sa vazne nemal pouzivat
To spolu nijak nesouvisí. Funkční program se tím, že ho jeho autor přestal udržovat, nestává nefunkčním nebo nebezpečným. Existuje řada programů, které dosáhly dokonalosti ve své zvolené oblasti a v podstatě tak padla potřeba je udržovat.

Citace
a aj ked este sa neobjavila ziadna bezpecnostna chyba, ale kedze je TrueCrypt neudrzovany, je to iba otazka casu, kedy sa to stane
Pokud se dostatečně vážná bezpečnostní chyba objeví, pak bude na místě přestat TC používat*). Do té doby pro to není důvod. Se dvěma výhradami:

1) Tím, že TC už se nevyvíjí, se bude postupně zhoršovat kompatibilita s novým HW a SW. U šifrování kontejnerů to patrně hned tak nenastane, protože v této oblasti TC celkem nic moc nepoužívá, jediný limit bude v digitálním podpisu ovladače. Vážný problém to bude u šifrování systémového disku, ale k tomu se TC stejně nikdy moc nehodil.

2) Úplně jiná situace by byla v případě, kdybych žádný program pro šifrování kontejnerů nepoužíval a chtěl bych s tím začít. Pak bych si skutečně rozmyslel, jestli chci používat TC, který dříve nebo později skončí kvůli 1).

*) Nemyslím si, že k tomu dojde. Může se to stát, ale pravděpodobnost považuji za mimořádně nízkou - nižší než u obdobných programů, které jsou "živé". To je mimochodem riziko přechodu z vyspělého programu s ukončeným vývojem k programu, který je sice živý, ale zatím není vyspělý.


prave naopak, TrueCrypt je neudrzovany a kedze je neudrzovany, tak skor, ci neskor sa v nom objavi nejaka zranitelnost, preto by sa nemal pouzivat a uz vobec nie nasadzovat na kriticke systemy, kde je bezpecnost na prvom mieste
a ked dojde k tomu, ze sa prelomi TrueCrypt, tak potom to uz bude neskoro, zabezpecenie tym TrueCryptom bude asi take, ako keby tam nebol nasadeny, cize data aj ked su chranene, v skutocnosti nebudu...


_pepak

Re:Alternativa TrueCryptu
« Odpověď #35 kdy: 01. 01. 2015, 20:05:20 »
prave naopak, TrueCrypt je neudrzovany a kedze je neudrzovany, tak skor, ci neskor sa v nom objavi nejaka zranitelnost, preto by sa nemal pouzivat a uz vobec nie nasadzovat na kriticke systemy, kde je bezpecnost na prvom mieste
a ked dojde k tomu, ze sa prelomi TrueCrypt, tak potom to uz bude neskoro, zabezpecenie tym TrueCryptom bude asi take, ako keby tam nebol nasadeny, cize data aj ked su chranene, v skutocnosti nebudu...
Můj odborný názor (ano, zabývám se bezpečností obecně a kryptologií zvlášť) je, že se mýlíš, a to prakticky ve všem, ale nebudu ti to vnucovat.

Re:Alternativa TrueCryptu
« Odpověď #36 kdy: 01. 01. 2015, 21:41:57 »
Naprosto se k tomu připojuji, software se nerozbíjí tím, že je starý. Lidi už jsou těma aktualizacema a děravým SW tak zmatený, že jim to příjde normální. Software normálně může fungovat i 40 let a není ho málo.

Buď se najde nějaká kritická chyba (u starého SW je to riziko dokonce ještě menší) a nebo někdo příjde na možnost, jak obejít některý použitý algoritmus (můžete si vybrat je jich tam až až) popř. to dohoní hrubou silou.
Nic takového se nestalo a je dost možné, že dlouho ještě nestane. Problémy budou s kompatibilitou.

prave naopak, TrueCrypt je neudrzovany a kedze je neudrzovany, tak skor, ci neskor sa v nom objavi nejaka zranitelnost, preto by sa nemal pouzivat a uz vobec nie nasadzovat na kriticke systemy, kde je bezpecnost na prvom mieste
a ked dojde k tomu, ze sa prelomi TrueCrypt, tak potom to uz bude neskoro, zabezpecenie tym TrueCryptom bude asi take, ako keby tam nebol nasadeny, cize data aj ked su chranene, v skutocnosti nebudu...
Můj odborný názor (ano, zabývám se bezpečností obecně a kryptologií zvlášť) je, že se mýlíš, a to prakticky ve všem, ale nebudu ti to vnucovat.
„Řemeslo se naučí každý. Umění nikdo.“
„Jednoduchost je nejvyšší úroveň sofistikovanosti.“
- Leonardo Da Vinci

mkub

Re:Alternativa TrueCryptu
« Odpověď #37 kdy: 02. 01. 2015, 07:58:30 »
pepak, tak v com sa mylim? nech som mudrejsi...

mkub

Re:Alternativa TrueCryptu
« Odpověď #38 kdy: 02. 01. 2015, 08:05:18 »
Naprosto se k tomu připojuji, software se nerozbíjí tím, že je starý. Lidi už jsou těma aktualizacema a děravým SW tak zmatený, že jim to příjde normální. Software normálně může fungovat i 40 let a není ho málo.

Buď se najde nějaká kritická chyba (u starého SW je to riziko dokonce ještě menší) a nebo někdo příjde na možnost, jak obejít některý použitý algoritmus (můžete si vybrat je jich tam až až) popř. to dohoní hrubou silou.
Nic takového se nestalo a je dost možné, že dlouho ještě nestane. Problémy budou s kompatibilitou.

prave naopak, TrueCrypt je neudrzovany a kedze je neudrzovany, tak skor, ci neskor sa v nom objavi nejaka zranitelnost, preto by sa nemal pouzivat a uz vobec nie nasadzovat na kriticke systemy, kde je bezpecnost na prvom mieste
a ked dojde k tomu, ze sa prelomi TrueCrypt, tak potom to uz bude neskoro, zabezpecenie tym TrueCryptom bude asi take, ako keby tam nebol nasadeny, cize data aj ked su chranene, v skutocnosti nebudu...
Můj odborný názor (ano, zabývám se bezpečností obecně a kryptologií zvlášť) je, že se mýlíš, a to prakticky ve všem, ale nebudu ti to vnucovat.

software robia totiz ludia, ludia robia chyby a skor, ci neskor v neudrzanom SW sa objavia bezpecnostne chyby...
ja som tu totiz nepisal, ze sa dany soft rozbije ked sa neudrziava... trosku treba vediet aj citat :)

takze by som TrueCrypt uz nepouzival z dovodu skrytych chyb, ktore po objaveni uz nikto neopravi...
ale ak chcete. tak si pouzivajte mrtvy TrueCrypt aj dalsich 20 rokov, ktory predstavuje bezpecnostnu casovanu bombu

OMG

Re:Alternativa TrueCryptu
« Odpověď #39 kdy: 02. 01. 2015, 08:47:27 »
Myslim, ze jako alternativa TrueCryptu by mohl byt opensource1 fork CipherShed. Planovali profi bezpecnostni audit (ale tim, jestli se pamatuju dobre, prochazel/prosel i originalni TC).

1: Vim ze to meli na strankach vyvesene, nevim jaka je presne aktualni situace. Na rozdil od TC projekt chteli vest mnohem otevreneji.
to je TrueCrypt 7.1a s jinym nazvem a jinym logem a buhvico k tomu jeste do binarky zkompilovali...  Alternativa TrueCrypt pro me neni rebranded TrueCrypt...

OMG

Re:Alternativa TrueCryptu
« Odpověď #40 kdy: 02. 01. 2015, 08:48:08 »
TrueCrypt je neudrzovany, cize by sa vazne nemal pouzivat a aj ked este sa neobjavila ziadna bezpecnostna chyba, ale kedze je TrueCrypt neudrzovany, je to iba otazka casu, kedy sa to stane
souhlas

Re:Alternativa TrueCryptu
« Odpověď #41 kdy: 02. 01. 2015, 08:49:41 »
skor, ci neskor v neudrzanom SW sa objavia bezpecnostne chyby...
Pořád to píšete, jako by to objevení bezpečnostní chyby záviselo na tom, zda je software udržovaný nebo neudržovaný. To ale není pravda, jenom tím, že někdo prohlásí, že ten software udržuje, bezpečnostní chyby nezmizí. Ve skutečnosti tam ale případná bezpečnostní chyba buď je, nebo není, nezávisle na tom, zda je software udržován. Teprve pokud tu chybu někdo objeví, projeví se rozdíl – v případě udržovaného softwaru ji nejspíš někdo opraví, v případě neudržovaného asi ne. Ještě je drobný rozdíl v tom, že v případě udržovaného softwaru je vyšší pravděpodobnost, že chybu odhalí autor, který tu chybu bude chtít spíš opravit než zneužít.

takze by som TrueCrypt uz nepouzival z dovodu skrytych chyb, ktore po objaveni uz nikto neopravi...
Kolik takových chyb už v TrueCryptu bylo? Jakou máte náhradu za TrueCrypt?

Dokud totiž tu chybu nikdo neobjeví, je bezpečné TrueCrypt používat. A pokud nemáte odpovídající náhradu, proč ho hned teď přestat používat kvůli potenciálním problémům v budoucnosti? To byste ho mohl zavrhnout rovnou na začátku, i když ještě byl udržován – protože co když jednou přestane být udržován a bude v něm nalezena chyba, kterou nikdo neopraví?

noef

  • *****
  • 897
    • Zobrazit profil
    • E-mail
Re:Alternativa TrueCryptu
« Odpověď #42 kdy: 02. 01. 2015, 08:57:38 »
Myslim, ze jako alternativa TrueCryptu by mohl byt opensource1 fork CipherShed. Planovali profi bezpecnostni audit (ale tim, jestli se pamatuju dobre, prochazel/prosel i originalni TC).

1: Vim ze to meli na strankach vyvesene, nevim jaka je presne aktualni situace. Na rozdil od TC projekt chteli vest mnohem otevreneji.
to je TrueCrypt 7.1a s jinym nazvem a jinym logem a buhvico k tomu jeste do binarky zkompilovali...  Alternativa TrueCrypt pro me neni rebranded TrueCrypt...
A jak presne ze se to lisi od puvodniho TC, ktere Vam nevadilo? Zdrojaky taky vystavujou (+commity, coz myslim ani TC nedelal) a zde popisovany problem to resi - kdyz se najde kriticka chyba, tak ji opravi (uz ted pracuji na problemech, ktere odhalil ten audit TC).

OMG

Re:Alternativa TrueCryptu
« Odpověď #43 kdy: 02. 01. 2015, 09:05:13 »
Myslim, ze jako alternativa TrueCryptu by mohl byt opensource1 fork CipherShed. Planovali profi bezpecnostni audit (ale tim, jestli se pamatuju dobre, prochazel/prosel i originalni TC).

1: Vim ze to meli na strankach vyvesene, nevim jaka je presne aktualni situace. Na rozdil od TC projekt chteli vest mnohem otevreneji.
to je TrueCrypt 7.1a s jinym nazvem a jinym logem a buhvico k tomu jeste do binarky zkompilovali...  Alternativa TrueCrypt pro me neni rebranded TrueCrypt...
A jak presne ze se to lisi od puvodniho TC, ktere Vam nevadilo? Zdrojaky taky vystavujou (+commity, coz myslim ani TC nedelal) a zde popisovany problem to resi - kdyz se najde kriticka chyba, tak ji opravi (uz ted pracuji na problemech, ktere odhalil ten audit TC).
pokud si prectete muj prvni prizpevek, zjistite ze hledam alternativu ke TrueCryptu. Duvody proc hledam alternativu jsou ruzne a to ze budeme diskutovat o tom jestli je fork X nebo Y lepsi a nove logo je barevnejsi nebo tym je vetsi a ma vice slibu na strankach neni odpovedi na muj puvodni dotaz.

Jak se lisi rebranded TC od toho puvodniho? Treba i kdyz mam k dispozici zdrojaky, nechci vynakladat usili na jejich porovnani a analyzu vuci puvodnimu TC abych se dovedel jestli kluci opravdu zmenili jenom logo a nazev, nebo jestli pridali defaultni passphrase pro vsechny nove kontejnery... Jsem v pozici uzivatele hledajiciho alternativu ke TrueCrypt.

OMG

Re:Alternativa TrueCryptu
« Odpověď #44 kdy: 02. 01. 2015, 09:08:03 »
to jakym zpusobem byl tc ukoncen je naopak znamka duveryhodnosti o toho ze nekomu opravdu lezel v zaludku, takze mu verim. nepodporovany neudrzovany sw neni duvod jej opustit, neni to typmsw co potrebuje maintenance. tyhle veci bud fungujinnebo ne, nic mezi. mozna za par let nebude aktualiZovan na nove silnejsi sifry, ale tot vse, co fungovalo se samo nerozbije. pokud byl ok driv, musi byt i ted
mylite se. Treba se objevuji nove typy utoku na kontejner truecryptu, je k dispozici vyssi vypocetni vykon za nizsi cenu a to, ze software porad funguje stejne vam v tomhle pripade nepomuze. Jo, software funguje, ale jako neudrzovany nereaguje na situaci z pohledu novych utoku...