Pokud opustime kakademicke kryptofasisticke uvazovani a prejdeme do sfery prakticke bezpecnosti, tak budeme resit vydiratelnost cloveka. A zde je v principu spatne kdyz jedinec zna cely klic. Mozna neni od veci aby znal cast tajemstvi ktere vede k ziskani klice nebo kombinace k ziskani casti klice. Jako Indiana Jones;)
Tak pokud se dobre pamatuji, tak TC podporuje keyfiles. A tady jsou dalsi moznosti, kdy jeden keyfile se muze nachazet napriklad v nejake narodni knihovne a nalezt se da podle toho, kam na regal s CD dopadne stin spicky kostelni veze o podzimnim slunovratu. Druhy keyfile pak muze byt napriklad tajna nahravka odposlechu iranskych jadernych vedcu pri obede v MacDonaldu, ktera se nachazi v trezoru Mossadu na miste, ktere samozrejme neexistuje. A to chci videt, jak ten TC potom NSA rozsifruje.
v tom auditu se jasne pise ze keyfiles so na h.... Keyfiles resil uz pred lety nejakej typek (nevzpomenu si ted na jmeno) ale vim ze vyucoval security a crypto na univerzite (a to dokonce na CESKY univerzite a sam byl taky Cech) dival se na source kod TC ciste jen ze zvedavosti a nasledne rekl ze "tvurci velice dobre vedeli co delaji" ale implementace keyfile je v TC nespravna a pokud se na ni uzivatel spoleha a kvuli tomu zvoli spatne/kratke heslo riskuje kompromitaci obsahu. Cili doporucil uzit SILNE HESLO a na keyfile se zvysoka vys...... Ten aktualni US audit to v podstate potvrdil
Tú auditorskú firmu nepoznám, ale ten výsledok auditu bol pozmenený kôli bulvárnosti tohoto portálu. Ten výsledok auditu hovorí len toľko, že zadné vrátka nenašli. A zároveň nehovorí o tom, či je alebo nieje bezpečný. Takže, logicky je interpretácia tejto správičky nebezpečná.
taky me to napadlo..... protoze jak pravi (mafianskej) klasik: "kazdej se da koupit, je to jen otazka ceny" :o))) Uprimne byl bych radsi kdyby ten audit delal nekdo z Evropy a nejlepe z univerzitniho prostredi. Akademicka povest je taky neco coby dotycnej auditor musel zvazit jestli chce ztratit kdyby se zapletl, to je pak uz dozivotne. Z Americanu mi pripada verohodnej Bruce Schneier= audit od nej bych bral vsema 10ti - ten myslim ze by se neprodal tak snadno...... ale kdo vi. Ono kdyz bydlite v USA a nejdete US gov. na ruku tak vam umej udelat ze zivota peklo.... viz. America’s Surveillance State 5 (Insider Threats)
https://www.youtube.com/watch?v=hh_Gt6YRq-c
je dobry skouknout vsech 6dilu + je prijemne zjisteni ze i u FBI/NSA delaj lidi kteri CHTEJI respektovat platne zakony a chteji mit ciste svedomi- ovsem lehke to pak rozhodne nemaji. Snowden tohle samozrejme vedel a proto mu bylo jasne ze musi pryc ze zeme.
SW i HW pro šifrování disků je na trhu spousta. Rozporka zdrojáků TrueCryptu navíc ukazuje, že se autorům nejspíš jen nechtělo pokračovat v projektu. Ono se těžko divit. Asi jim to nepřinášelo peníze a vyžadovalo to čas. Přitom je na světě spousta možností dostat za svůj čas zaplaceno velmi dobře.
Myslím, že autoři TrueCryptu brali bezpečnost vážně a vnímali to tak, že za bezpečnost TrueCryptu ručí. Když se rozhodli vývoj ukončit a dál už negarantovat jeho bezpečnost, museli tím pádem samozřejmě udělat co je v jejich silách (a je pravdivé), aby ho uživatelé přestali používat. Což je přesně to, co udělali.
Jsi fakt tak hloupy nebo to jen delas? Nevidis ten zasadni rozdil mezi open a closed source? Jasne nebude to slabina z pohledu toho aby si tvoje fotky neprohlidli ve frcu az nekde nechas notebook, ale pravdepodobnost hranicici s jistotou ohledne backdooru NSA proste spouste lidi asi nebude pripadat jako bezpecny nastroj...
Kde je v tom odkazovaném článku něco o open source nebo closed source?
Jinak je fajn, že tady na Rootu v diskusích je tolik odborníků, kteří bezpečnosti rozumí nesrovnatelně lépe, než autoři TrueCryptu. Škoda, že se některý z nich nepochlubí svým výtvorem, který dozajista mají - bezpečnější náhradou TrueCryptu.
Vy jste tlačítko "Download" na stránkách TrueCryptu bral jako seriózní / vážně míněné doporučení autorů TrueCryptu, jaký nástroj pro šifrování používat? Pokud ano, proč jednomu jejich doporučení na jejich stránkách věříte a druhému ne?
Pořád nějak nechápu, jak může někdo důvěřovat autorům TrueCryptu, že rozumí bezpečnosti a nejsou pod nátlakem, dokud software vydávají, ale jakmile s jeho vydáváním skončí a doporučí náhradu, hned má dotyčný pocit, že je to podraz a že se autorům TrueCryptu věřit nedá. Tak dá se jim věřit nebo nedá?
(Nevím jak se změnilo chování autorů TC, protože ani nevím kdo prohlášení uveřejněné s TC 6.2 uveřejnil.)
Prohlášení u TC 6.2 je absolutně nedůvěryhodné:
Pokud vyvíjím bezpečnostní soft, je důvěra na prvním místě. Holá věta stylu
"TrueCrypt není bezpečný" může leda vyvolat pochybnosti a spekulace. Což se také stalo.
Normální by bylo bližší vysvětlení -
Které verze TC jsou bezpečné a které nikoli?
Proč není TC bezpečný? Protože ho už nebudeme dále vyvíjet? Protože jsme tam našli chybu, kterou už neopravíme? Protože jsme byli přinucení tam dát zadní vrátka?
Obávám se, že někomu, kdo není schopen si přečíst ani tu jednu červeně zvýrazněnou větu hned na začátku oficiální stránky TrueCryptu, nepomůže vůbec nic.
Using TrueCrypt is not secure as it may contain unfixed security issues.
Já tam odpovědi na vaše otázky vidím.
Které verze TC jsou bezpečné a které nikoli?
Autoři nevědí o žádné bezpečnostní chybě.
Proč není TC bezpečný?
Protože už se o jeho bezpečnost autoři nestarají. Tím pádem nemohou zodpovědně prohlásit, že je bezpečný. A když někde nemám určitým způsobem zaručenou bezpečnost, musím to považovat za nebezpečné.
Protože ho už nebudeme dále vyvíjet?
Na to ta červená věta neodpovídá, ale odpověď je myslím zřejmá - protože mají lepší věci na práci a vývoj TrueCryptu jim nepřináší dost.
Protože jsme tam našli chybu, kterou už neopravíme?
V takovém případě by autoři s největší pravděpodobností napsali, že našli chybu, kterou už neopraví.
Protože jsme byli přinucení tam dát zadní vrátka?
Dostat do kódu zadní vrátka bez viditelné změny toho kódu by bylo docela těžké, nemyslíte? Navíc pokud tam ta zadní vrátka dali dřív, proč by projekt ukončili až teď? A proč ta zadní vrátka audit nenašel? Pokud by je tam dali teď a chtěli je mít v používaném kódu, nedává už vůbec smysl tu verzi se zadními vrátky ani nevydat a projekt ukončit.
Nevím jak se změnilo chování autorů TC, protože ani nevím kdo prohlášení uveřejněné s TC 6.2 uveřejnil.
Stejně tak nevíte, kdo uveřejnil každou verzi TC. Mimochodem, aktuální verze je 7.2, tu verzi 6.x jsem uvedl právě proto, že důvěryhodnost i těch starých verzí je úplně stejná, jako důvěryhodnost toho současného prohlášení.
backdoory se do opensource dostavaji hure nez do closedsource, i kdyz je mi jasne ze by jste mohli vypravet ze i tam to jde...
ale hlavne neignorovat tu druhou cast "ukoncit vyvoj" a nasmerovat na backdorovanej vendorlocklej uzavrenej bitlocker...
mimochodem, jak vite ze spoust(at jiz realna, nebo v prenesenem vyznamu) nebylla zmacknuta ?
Ad backdoory se do opensource dostavaji hure nez do closedsource - nesouhlasím. Ve světě closed source nemůže do kódu přispět kdokoliv anonymně. Zaměstnanec musí mít podepsanou smlouvu, větší firmy prověřují jeho dosažené vzdělání, předchozí zaměstnání atd., plus se dělá interní audit kódu.
Ad neignorovat tu druhou cast "ukoncit vyvoj" a nasmerovat na backdorovanej vendorlocklej uzavrenej bitlocker - za předpokladu že je BitLocker "backdorovanej". 1. Nikdo nic takového nedoložil. 2. Řada organizací, včetně škol, má zdrojáky. 3. Pro MS by to byla z hlediska businessu sebevražda.
Ad jak vite ze spoust nebylla zmacknuta - kdyby byla zmáčknuta, bylo by naprosto nesmyslné vývoj ukončit. Daleko snazší by bylo zavést do TrueCryptu backdoor, a pokračovat jako by se nic nestalo.
Ano, zaměnil jsem TC 7.2 a 6.2
>Using TrueCrypt is not secure as it may contain unfixed security issues.
>Já tam odpovědi na vaše otázky vidím....
Odpovědi vidí i mnoho dalších lidí na internetových fórech. Všechno to jsou jenom spekulace a výrazně se od sebe liší.
Jde ale o to, že pokud chce někdo působit důvěryhodně, napíše takové vyjádření, aby bylo jednoznačné a nevyvolávalo spekulace.
>Stejně tak nevíte, kdo uveřejnil každou verzi TC.
Viz moje odpověď níže 14:46
Jde ale o to, že pokud chce někdo působit důvěryhodně, napíše takové vyjádření, aby bylo jednoznačné a nevyvolávalo spekulace.
Základní vlastností konspiračních teorií je, že cokoli se stane je vždy jen potvrzuje. To vyjádření je jednoznačné, to, že vyvolává spekulace, není vůbec vlastností toho vyjádření, ale těch, kteří ty spekulace vyvolávají. Kdyby součástí toho vyjádření bylo, že je k ukončení nikdo nenutí, vás by to snad uklidnilo? Naopak, považoval byste to za další důkaz toho, že k tomu autory někdo donutil. Stačí se podívat na komentář Nobodyho níže.
To vyjádření je jednoznačné?? Napíšu ještě jednou jinými slovy, co jsem napsal dříve:
Sám jste dneska v 14:51 z velmi vágní věty
"Using TrueCrypt is not secure as it may contain unfixed security issues."
vyrobil velmi konkrétní spekulaci 5 odstavců dlouhou.
Už na vás nebudu dále v této diskuzi reagovat.
(Ne vždycky, ale občas mi na rootu připadáte jako zvláštní typ trolla. Jako byste byl studentem filosofie, který tady trénuje schopnost demagogické diskuze)
Pořád nerozumím tomu, jaký je rozdíl, když autor TrueCryptu řekne "používejte TrueCrypt" a když řekne "používejte BitLocker". Tedy pokud už dávno nefandíte bůhvíproč jednomu z těch programů a o autorovi TrueCryptu si nemyslíte, že bezpečnosti vůbec nerozumí. Pak ale zase nechápu, proč byste fandil TrueCryptu.
Záleží na tom, zda jsem odborníkem v dané oblasti. Pokud ano, dokážu to "protože" posoudit (a podle toho pak zpětně dokážu odvodit, zda dotyčný kecá nebo zda mu můžu věřit). Pokud ne, neřídím se tím "protože", ale tím, kdo danou věc říká - a koho na základě referencí a doporučení jiných lidí považuju za odborníka v dané oblasti.
Jak už jsem psal, je dobře, že je tady v diskusi spousta odborníků, kteří se nemusí spoléhat na doporučení autorů TrueCryptu, protože tomu sami rozumějí daleko lépe. Jenom je škoda, že od nich nějak nemůžu najít tu spoustu bezpečnostního software, který je lepší než TrueCrypt.
Jak je to s těmi spoustami expertů je dobře vidět na OpenSSL. Otevřený zdrojový kód je podmínka nutná proto, aby se na to ta spousta expertů mohla podívat, ale není to podmínka dostačující. Ještě je potřeba zařídit, aby se na ten kód opravdu někdo podíval. Jinak z toho je pořád jen ta nevyužitá možnost. (Když si vsadíte Sportku, taky máte možnost, že vyhrajete hlavní výhru. Ale za tu možnost si barák nekoupíte.)
A i ty občasné dílčí kontroly TrueCryptu, které někdo udělal, pro mne znamenají, že autoři TrueCryptu bezpečnosti rozumí - to je to, co nazývám "doporučení autorů". Považuju totiž za vyloučené, aby bezpečný TrueCrypt napsal někdo, kdo bezpečnosti nerozumí a to, že tam nejsou vážné bezpečnostní chyby, by vzniklo jen náhodou. Na to já nevěřím. Naopak si myslím, že autoři TrueCryptu dokážou bezpečnost BitLockeru posoudit mnohem lépe, než já.
Ad spolehas prave na tu otevrenost a v tomto pripade na to, ze spousta tech expertu se na kod divala - 1. Mnoho očí nic nevidí, protože se ve skutečnosti nikdo systematicky nekouká. To je vidět na mnoha incidentech.
2. Představte si, že NSA, CIA, FSB nebo BIS :) zaúkoluje svého programátora, aby přispíval například do kernelu Linuxu, OpenSSL nebo jiného projektu. Dotyčný pošle pár hodnotných patchů, tím získá reputaci, a příště "nechtěně" zanese backdoor. Protože jazyk C je kryptický, dotyčný má dobrou reputaci, a kód nikdo systematicky nekontroluje, tak snadno zanese backdoor do kódu. Je to daleko snazší, než někomu držet pistoli u hlavy, aby zanesl backdoor do kódu. Navíc ten přispěvatel do kódu je zcela anonymní, existuje jen jako emailová adresa, nemusí prokazovat totožnost... Fakt si myslíte, že jsem jediný, koho tohle napadlo? ;)
2. Představte si, že NSA, CIA, FSB nebo BIS :) zaúkoluje svého programátora, aby přispíval například do kernelu Linuxu, OpenSSL nebo jiného projektu [...] a příště "nechtěně" zanese backdoor [...]
a ted si predstavme, ze misto toho "zajde" do M$ a rekne jen co presne ma ten backdoor delat a v pristim uternim update uz to leze :)
Ad misto toho "zajde" do M$ a rekne jen co presne ma ten backdoor delat a v pristim uternim update uz to leze - to předpokládá spolupráci MS. Proč by na to MS měl přistupovat? Na rozdíl od jednoho vývojáře mu těžko lze přiložit pistoli k hlavě. Má hromadu právníků, a nulovou vůli spáchat businessovou sebevraždu :)
BTW systémy s TrueCryptem, BitLockerem apod. mají úplně jiné problémy, než backdoory. Na prvním místě můžete klíč vyrubat z RAM běžícího systému. Buď použijete DMA attack (1394, Thunderbolt), nebo stroj resetujete a zabootujete z externího média, které vydumpuje klíč z RAM (která je po resetu prakticky nedotčená). Alternativně vyloupnete paměti a vrazíte je do jiného stroje. No a pokud nic nezabere, můžete nechat stroj běžet, a použít nějakou zranitelnost OS nebo jiného SW. Když nezabere ani to...
http://imgs.xkcd.com/comics/security.png
Ad viz Lavabit, soudním rozhodnutím bylo přikázáno vložit do kódu backdoor - omyl. The court records show that the FBI sought Lavabit's Transport Layer Security (SSL) private key.
http://en.wikipedia.org/wiki/Lavabit
Ad Lavabit a svým způsobem i Truecrypt se může soudu postavit tím, že zavře firmu - MS má na rozdíl od Levisona a anonymních autorů TrueCryptu zástup právníků, odpovědnosti vůči zákazníkům, a hlavně odpovědnost vůči akcionářům.
To je veliký rozdíl. Tradičně existuje například institut domovní prohlídky, který ukládá povinnost vydat věc, a případně strpět domovní prohlídku. Z toho vycházejí i americké soudní příkazy týkající se šifrovacích klíčů. Naopak přidat do kódu programu backdoor, to je z právního hlediska něco úplně jiného. Fakt nevím, jak by se toho dalo docílit.
Mimochodem podle zdrojů z MS se lidé z FBI zajímali o možnost vložení backdooru, i když o něj nikdy oficiálně nepořádali. Snahu FBI je dobré chápat v kontextu vyšetřování trestných činů. Pokud si řekněme masový vrah vede deníček s popisem vražd a přikládá k nim i fotky, je potom fakt smůla, když má disk zašifrovaný. Nicméně když v MS agentům FBI vysvětlili možnost podezřelému přikázat vydání šifrovacího klíče, o backdoor ztratili zájem. A jak jsem už psal, existuje několik dalších technik, jak klíč získat i bez spolupráce s podezřelým.
Naopak přidat do kódu programu backdoor, to je z právního hlediska něco úplně jiného. Fakt nevím, jak by se toho dalo docílit.
Ty žiješ v USA, jsi právník, a jsi na toto právo specializovaný?
Pokud ne, tak to že něco nevíš pro nás nemá žádný význam.
pokud si zagoogluji, tak na mě vypadne spousta případů kdy vzniklo podezření, že MS dává do Windows backdoory. Tak např.
http://news.softpedia.com/news/Microsoft-Slams-Windows-8-Backdoor-Claims-378239.shtml
Věřím, že ti lidé, co upozornili německou vládu, toho věděli o americkém právu dost na to, aby mohli odhadnout, jestli je něco takového možné.
Mimochodem reakce MS byla docela zajímavá:
"Microsoft has finally responded to these accusations, saying that Windows 8 is as safe as it could be"
přišlo accusation "ve windows 8 je backdoor"
a oni na to neřekli "ve windows 8 není backdoor"
ale "Windows 8 is as safe as it could be" (možná jsem paranoidní, ale já tam slyším ... "jsou tak bezpečné jak je to jen v rámci možností možné" )
No a to te totalne uklidnilo, ne? Vira v produkty MS nikdy nemohla byt silnejsi... :-)
Ad Ty žiješ v USA, jsi právník, a jsi na toto právo specializovaný - odpověď je dvakrát ne. Rád se nechám poučit o možném způsobu, jak výrobce z právního hlediska donutit k zabudování backdooru. Vy o nějakém víte?
Ad spousta případů kdy vzniklo podezření, že MS dává do Windows backdoory - a ani jeden se nepodařilo neprokázat. Přitom kdyby se takovou věc podařilo prokázat, pro business MS by to mělo velmi drsné následky.
@ LO "...Pokud si řekněme masový vrah vede deníček s popisem vražd a přikládá k nim i fotky,......................Nicméně když v MS agentům FBI vysvětlili možnost podezřelému přikázat vydání šifrovacího klíče, o backdoor ztratili zájem...."
Jako vtip fuckt bomba!!! Uplne to vidim!!! Scenu jak typci od FBI jdou do cely k tomu masovymu vrahovi (kterej vi ze ho ceka kreslo anebo dozivoti kdyz se prizna) a reknou mu (jasne ze ostrym rozhodnym hlasem) "Tak mladej ted sme mluvili s IT machrama od M$ a ti nam vysvetlili ze nam musis ty sifrovaci klice vydat!" :o)))))))
@LO - a prohlidku provedeme kde? pokud tedy stale jeste mluvime o TC tak ten ma sifrovaci klic zasifrovany pod heslem ktere staci kdyz si pachatel bude pamatovat. Pokud nebyl uplne vygumovanej zvolil si heslo ktere odola brute-force lamani a nikam si ho nezapise. Samozrejme lze nasadit "rubber-hose-decryption". Za tim ucelem je mozne vyvezt subjekt na vylet na Guantanamo ci do lesu Polska anebo Rumunska...... Malou komplikaci by pak mohlo byt ze podle nedavneho rozhodnuti US Supreme Court NELZE POZADOVAT/NUTIT PODEZRELEHO aby vydal neco co "vi" lze ho jen donutit vydat neco co "ma=vlastni" tedy klic od trezoru ano ale vymlatit z nej heslo ktery nosi v hlave uz nelze (legalne)...... je zajimave ze soud jaksi pominul drivejsi praxi ktera umoznovala pachateli chovat se tak aby se vyhnul tzv."self-incrimination" = tedy ze nelze nutit cloveka aby se spolupodilel na vyrobe dukazu proti sobe sama.
v pripade Lavabitu tam pricipialni rozdil opravdu neni= FBI chtela od Ladara Levinsona vydani tzv golden key kterym by mohla rozsifrovat VESKERE stavajici emaily (coz je krome jineho uzitecne napr. kdyz 2 komunikuji tim ze sdileji stejnou schranku, byvaly sef CIA Petraeus a jeho milenka by mohli vypravet :o))) + samozrejme do budoucna chteli sledovat prichozi a odchozi emaily. Urcite by nebydlleli o Levinsona doma cili by meli natazenej nakej SSH tunel na jeho mail-server a cetli by si. Timhle nestastnym designem si tvurce Lavabitu v podstate sam zadelal na problemy protoze kdyz uz chtel poskytovat skutecne safe+private email service tak to mel udelat podle zasady TNO =trust no one. Tedy tak ze admin vidi VZDY A POUZE JEN ZASIFROVANY OBSAH ke kteremu nema MOZNOST ZISKAT KLIC. Neco na tenhle zpusob https://support.protonmail.ch/knowledge-base/what-is-encrypted/ Je videt ze jini se z jeho chyb poucili.
@LO "Proč by na to MS měl přistupovat? Na rozdíl od jednoho vývojáře mu těžko lze přiložit pistoli k hlavě. Má hromadu právníků, a nulovou vůli spáchat businessovou sebevraždu :)" pistoli k hlave mu nikdo prikladat nemusi - staci kdyz USgov rekne: tak vy na nechcete vyhovet? no tak holt od nas uz nedostanete zadnou statni zakazku :o) zadny Widle do statni spravy zadny Widle do skol, do armady na urady atd. Sami si spoctete kolik vas ta sranda bude stat.....tady je cislo a az si to hezky rozmyslite tak nam zavolejte. Have a nice day!
Staci se podivat jakou logiku ve vzathu k M$ pouzivaj US soudy= jste americka firma tak nam vydate data jaky potrebujem! Ze tim porusite zakony kdesi v zaprdeleny Evrope nas VUBEC ale VUBEC nezajima! Proc si myslite ze by se USgov mela chovat jinak? Ad "....(M$.....ma) nulovou vůli spáchat businessovou sebevraždu :)" Ale tu oni uz prece spachali! :o)))) tim ze se svobodne a dobrovolne zapletli s NSA :o))) protoze ta jim slibila ze se to nikdy nikdo nedozvi.......ale jaksi se to drobet posralo.... :o)
Tak holt M$ ted bude sklizet to co zasel: China bans Microsoft Windows 8 on government computers http://www.bbc.com/news/technology-27494650
a s nima se svezou vsichni dalsi "spolupracovnici": http://tech.thaivisa.com/china-bans-apple-intel-cisco-and-other-companies-for-state-purchases/5716/
Mimochodem vyvojari tady v DK co delaj SW pro nemecky firmy mluvej o tom ze DE zakaznici cim dal vyzadujou reseni ktere NEBUDE vyuzivat US cloud sluzby a veskery data trafik musi stale spadat pod EU jurisdikci -nejlepe datacentra v Nemecku i kdyz by to melo byt drazsi ;o) Nemci holt vzdycky byli trochu napred pred zbytkem EU. Mimochodem v Australii uz dlouhe roky plati ZAKAZ pro statni spravu ukladat JAKAKOLIV data MIMO AUS- holt Australani jako cestny clen spolku 5eyes dobre vedi co sami delaj s cizimi daty....
1. Federální vláda dělá MS poměrně malé procento businessu. Vyhovět takovému požadavku by znamenalo v nejbližší době ztratit veškerý ostatní business, a nejspíš záhy i ten od federální vlády.
2. Na státní zakázky jsou výběrová řízení, a vláda může těžko MS vyškrtnout s tím, že nevyhověl žádosti o zabudování backdooru.
3. Jednotlivé US státy jsou na federální vládě značně nezávislé.
4. Existence backdooru by ohrožovala americké vládní počítače stejně jako jakékoliv jiné.
Ad Staci se podivat jakou logiku ve vzathu k M$ pouzivaj US soudy - vycházejí z platné legislativy. Ukažte mi legislativu, na základě které je možné firmu donutit k zabudování backdooru.
Ad se svobodne a dobrovolne zapletli s NSA - zdroj toho "dobrovolně"?
Ad China bans Microsoft Windows 8 on government computers - Čína se o podobné věci snažila už v minulosti. Nucení k instalaci spywaru, protlačování vlastních dister Linuxu... a nic z toho neuspělo.
Ad vyzadujou reseni ktere NEBUDE vyuzivat US cloud sluzby a veskery data trafik musi stale spadat pod EU jurisdikci - to mi přijde jako velmi rozumný požadavek. Ovšem s backdoory to nemá nic společného.
@LO-> Ad se svobodne a dobrovolne zapletli s NSA - zdroj toho "dobrovolně"?
....program Prism? ....Snowden leaks? kdyz uz teda nevite v cem vsem se angazuje vas chlebodarce tak zkuste obcas treba zagooglovat.............. budete prekvapen jakyze to tam venku je svet :o))))))
Microsoft helped US intelligence intercept private messages on Skype, Hotmail
Read more at: http://indiatoday.intoday.in/story/edward-snowden-snowden-nsa-microsoft-hotmail-skype-fbi-cia-us-intelligence/1/290925.html
Microsoft handed the NSA access to encrypted messages
http://www.theguardian.com/world/2013/jul/11/microsoft-nsa-collaboration-user-data
Vzhledem k tomu ze jste VY SAM tvrdil ze M$ ma armadu pravniku takze mu nelze "prilozit pistoli k hlave" a tak donutit, predpokladam tedy ze se svych tanecku s FBI/NSA zucastnoval dobrovolne. Muzete namitnout ze NSL, jenze to tedy mel M$ napadnout u soudu a ztropit kolem toho humbuk stejne jako ted s temy daty v Irsku co po nich chce US court- nic takoveho se nestalo. Je jasny ze TED se M$ u soudu bude bit zuby nehty protoze vedi ze uz jsou tak provareny ze tohle je jejich posledni sance ukazat ze chrani data klientu= kdyby se i na tohle vysr...... tak to uz rovnou muzou zabalit kram. Mimochodem udajne kdyz se vyvijela posledni verze Outlooku do ktere mel byt zakomponovan Skype tak u M$ s vyvojarema sedeli i frajeri od FBI a "asistovali jim" :o))))) Nekdo to prej z M$ vynes a kdyz se novinari ptali M$ jestli jeto pravda dostali jen PR omacku "no comment". ;o)
Ad program Prism, Snowden leaks - z čeho soudíte, že se na tom MS podílel dobrovolně? Podílely se na tom prakticky všechny firmy, a to na základě soudních příkazů. Podobné povinnosti přitom mají i firmy v ČR. Znáte český zákon 127/2005 Sb. o elektronických komunikacích?
§ 97 odstavec 1
Právnická nebo fyzická osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací je povinna na náklady žadatele zřídit a zabezpečit v určených bodech své sítě rozhraní pro připojení koncového telekomunikačního zařízení pro odposlech a záznam zpráv
a) Policii České republiky pro účely stanovené zvláštním právním předpisem^36),
b) Bezpečnostní informační službě pro účely stanovené zvláštním právním předpisem^37),
c) Vojenskému zpravodajství pro účely stanovené zvláštním právním předpisem^37a).
odstavec 3:
Právnická nebo fyzická osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací je povinna uchovávat po dobu 6 měsíců provozní a lokalizační údaje, které jsou vytvářeny nebo zpracovávány při zajišťování jejích veřejných komunikačních sítí a při poskytovávání jejích veřejně dostupných služeb elektronických komunikací^37b).
http://portal.gov.cz/app/zakony/zakon.jsp?page=0&nr=127~2F2005&rpp=15#seznam
Dále se v odstavci 3 dozvíte, že provozovatel musí data za daných podmínek vydat orgánům činným v trestním řízení, Policii České republiky, BIS, Vojenskému zpravodajství a ČNB.
Ad VY SAM tvrdil ze M$ ma armadu pravniku takze mu nelze "prilozit pistoli k hlave" a tak donutit - soudní příkaz k vydání dat má dobrou oporu v zákonech. Jakou oporu v zákonech má podle vás scénář, kde vláda donutí firmu vytvořit backdoor v kódu?
Ad jenze to tedy mel M$ napadnout u soudu - v US na to mají speciální tajný soud, a MS se v mnoha případech odvolával.
Ad uz jsou tak provareny ze tohle je jejich posledni sance ukazat ze chrani data klientu - situace MS je ta samá, jako u Googlu, Yahoo!, Facebooku, Paltalku, YouTube, AOL, Skypu a Applu.
@LO ad"zřídit a zabezpečit v určených bodech své sítě rozhraní pro připojení koncového telekomunikačního zařízení pro odposlech a záznam zpráv" Ale samozrejme= to jsou klasicke odposlechy. Tohle zna kazde male dite. Jasne ze kdyz telko/ISP dostane soudni prikaz tak musi umoznit odposlech pripadne vydat klice =pokud ovsem ma infrastrukturu zarizenou tak ze MA CO VYDAT viz Vas vlastni odkaz na ty hochy z BIS kteri vedeli ze jim tvurce SW nema co vydat tak ho zkusili uplatit abyto zaridil aby bylo co vydavat= cili neco podobneho cose chtelo po M$ v kauze Skype) Sam jste take tvrdil ze v USA NENI pravni nastroj jak si vynutit zmenu systemu/kodu aby vlade umoznil backdoor. No a tady se dostavame k tomu zajimavemu, totiz ze PREDTIM NEZ SKYPE KOUPIL M$ tak urady nebyly schopny to P2P sifrovani cracknout a TO JE DUVOD (aspon podle me ale mysli si to spousty lidi) proc "nekdo" dal 9 miliard dolaru za firmu ktera do te doby mela prakticky nulovy zisk. M$ ji tedy za tenhle balik vykoupil od eBay. Prepokladam ze pri te zodpovednosti k akcionarum (jak jste tvrdil ze M$ ma) by M$ tezko takovy "vyhodny kauf" vysvetloval kdyby to slo z jeho vlastnich penez. Nicmene k vseobecnemu uzasu vsech se tak stalo a nasledne M$ upravil cele fungovani Skypu tak aby bylo vice "surveilance-friendly" tedy centralizovane s black-boxy v USA ktere krome jinych zajimavych veci delaji take takove "sluzby" jako ze kdyz nekdo nekomu posle link ve Skype-chatu tak vzapeti na stejny link dorazi dotaz od serveru z Redmondu...........coz u M$ rozpacite vysvetlovali jakousi jejich "obranou proti spamovani" coz je samozrejme blabol protoze kdyz se budu chtit vyhnout spamu tak nastavim Skype tak aby ke me mohli jen lidi z meho seznamu kontaktu. BTW urcite si vzpominate jak celkem nedavno M$ ucvaknul bez nejakeho varovani ci vysvetlovani vsechny uzivatele starsich Linux a Mac verzi Skypu. To udajne take bylo proto, ze stare verze nebyly dostatecne "fizl-friendly". Takze abych to shrnul -a udelam to polopaticky aby to bylo jasne 1x pro vzdy (mam totiz takovy dojem ze se presne tohle uz tady kdysi resilo a dokonce s Vami osobne) M$ (nebo nejaci jeho kamaradi) koupil P2P system s neprustrelnym end2end sifrovanim, predelal ho na centralizovany a vzhledem k tomu ze nyni jiz "spravuje" i onu end2end sifrovanou cast a tak sam M$ prideluje "sifrovaci klice" uzivatelum , co to znamena v praxi si uz snad domysli i nejvetsi idiot.......
BTW na tomto videu ve 44:51 si dobre prohlednete co tam sama NSA pise:
Collection directly from the servers of these US service providers: Microsoft, Yahoo,.....
https://www.youtube.com/watch?v=7Ui3tLbzIgQ
Bruce Schneier and Edward Snowden @ Harvard Data Privacy Symposium 1/23/15
Timto si dovolim tuto diskuzi ukoncit protoze citim ze vy stale budete dokola kazat to vase Microsofti evangelium evidentne ve stylu "koho chleba jis toho pisen zpivej" coz ja Vam neupiram ale muj volny cas budu do budoucna vyuzivat k necemu smysluplnejsimu.
Ano, to jsou "klasické" odposlechy v digitálním věku. Dokud například Outlook.com nepoužíval by default https (stejně jako tehdy řada jiných služeb, včetně GMailu), tak je vám šifrování zprávy na straně serveru na nic, protože projde internetem nešifrovaná, když ji na ten server posíláte.
Ad sam jste take tvrdil ze v USA NENI pravni nastroj jak si vynutit zmenu systemu/kodu aby vlade umoznil backdoor - to jsem rozhodně netvrdil. Tvrdil jsem, že o takové možnosti mám veliké pochybnosti, a nevím o žádném právním mechamismu, který by to umožňoval. Všimněte si, že to není booleovská algebra :)
Ad PREDTIM NEZ SKYPE KOUPIL M$ tak urady nebyly schopny to P2P sifrovani cracknout - na prvním místě PŘESTAŇTE ŘVÁT. Na druhém místě jste sám ještě před sedmi hodinami linkoval, že Skype byl součástí programu PRISM ještě před akvizicí Microsoftem: According to the documents, Skype joined PRISM in early 2011, before it was acquired by Microsoft.
http://www.h-online.com/security/news/item/Microsoft-gave-NSA-s-PRISM-access-to-Skype-Outlook-com-and-SkyDrive-1916730.html
A na třetím místě Skype se opravdu postupně změnil z P2P na cloud-based service. To mělo dobré důvody. P2P klienti Skypu na pozadí přeposílali data, i když jste Skype aktivně nevyužíval. Navíc P2P spojení je v principu nestabilní (desktopy a notebooky většinou nebývají na páteřní síti), a docházelo ke velkému zpoždění a spoustě výpadků. Pokud jste tehdy Skype používal, jistě si vzpomenete. Proto se původně Skype rozhodl postupně přesunout serverové funkce z klientů na servery. Původně se používaly i servery smluvních partnerů, dokud minimálně jeden partner nezačal ze serveru tahat data. Dneska běží Skype kompletně na serverech pod kontrolou MS, kvalita spojení je výrazně lepší, a zpoždění kratší.
Navíc pokud si myslíte, že P2P systém je z definice neprůstřelný, tak se mýlíte. Projděte si základy PKI. Obě strany si nějakým způsobem musí vyměnit klíč. Můžete buď věřit nějaké důvěryhodné certifikační autoritě, nebo ho předat osobně. Všechno ostatní je z definice nebezpečné. Jedinou iluzi zabezpečení vám může dát security through obscurity, což byste měl jak fanoušek Linuxu okamžitě zavrhnout.
Ad celkem nedavno M$ ucvaknul bez nejakeho varovani ci vysvetlovani vsechny uzivatele starsich Linux a Mac verzi Skypu - pokud jsem si všimnul, tak Skype přecházel na novou verzi video kodeku, která umožňuje vyšší rozlišení. Jinak konspirační teorie to není špatná :)
Ad o tam sama NSA pise: Collection directly from the servers - všechny firmy popřely, že by dali NSA přístup ke svým systémům. Nicméně minimálně některé z nich (Microsoft, Google) nepoužívaly důsledně šifrované spojení mezi vlastními datovými centry, což asi bude ten problém.
BTW kolik z těch Snowdenových materiálů je podle vás opravdu z NSA? Něco z toho mohou být materiály kontraktorů, jiné věci mohou být úplně smyšlené. Nakonec proč věřit zrovna zrovma jemu?
BTW2 jak se díváte na to, že s NSA vlezl do postele Google? Postavit systémy na Linuxu, pak se živit sběrem a prodejem osobních údajů, a ještě si zadat s NSA... To by měl fanoušek Linuxu zamáčknout slzu :)
Ad muj volny cas budu do budoucna vyuzivat k necemu smysluplnejsimu - je to váš čas, dělejte s ním co uznáte za vhodné ;). Já k tomu mohu říct jen dvě věci: 1. zaměňujete doměnky za fakta, 2. to že se v nějaké aféře objevil MS je podle vás důkazem jeho špatné vůle, kdežto o těch ostatních firmách neřeknete ani slovo, protože objektivita je vám zcela cizí.
@LO
ad "PŘESTAŇTE ŘVÁT" :o) to je asi nedorozumeni- velka pismena pouzivam kdyz chci neco zduraznit ;o) ja rvu velmi zridka, prakticky jen v pripadech kdy ceska hokejova reprezentace skoruje na MS anebo Olympiade...... Jinak jen pro Vasi informaci se ani nerozciluju a snazim se vyhybat stresu. Kdysi mi 1 moudry clovek rekl: "rozcilovat se znamena kratit si svuj zivot pro blbost druhych". Uznal jsem ze v tom je hluboka pravda a od te doby se podle toho ridim ;o)
ad Ad PREDTIM NEZ SKYPE KOUPIL M$ tak urady nebyly schopny to P2P sifrovani cracknout. Tak to jsem napsal spatne- mel jsem spis napsat predtim nez byl Skype prodan PUVODNIM VYVOJAREM- cili do r.2005 nez ho koupila eBay. Ja jsem cetl o Skype tehdy spousty veci protoze me to zajimalo a tady kvuli Skypu krachovali teleoperatori. Vybavuju si jak narikaly urady tady v DK ze "odposlechy selhavaj kvuli dobremu sifrovani a P2P architekture". Ono to zrejme souvisi s tim cim si autor Skypu prosel (a co na Wikipedii z nejakeho zahadneho duvodu neni) totiz tvurce Skypu = Janus Friis http://en.wikipedia.org/wiki/Janus_Friis (nevim proc jsou na Wiki ty 2 Estonci kdyz puvodni napad mel pochazet od Dana) se dostal jeste pred Skypem do znacnych problemu diky sve praci na P2P sdileci siti http://en.wikipedia.org/wiki/Kazaa Mel na krku copyright advokaty a pred soudnima obsilkama se skoro 2 roky schovaval - nastesti pak odvolaci a nasledne i nejvyssi soud v Holandsku rozhodl v neprospech vymahacu vypalneho. Takze si Friis mohl na chvili oddechnout. Co jsem cetl a pamatuju si z te doby tak se ale na nej chystal ve stejnem stylu Hollywood a tak jeho prodej Skypu byl udajne castecne vynuceny nebot jim ve finale nejake $ zaplatil a udelal mimosoudni dohodu- k tomu pouzil $ od eBay ale byl natolik vycurany (anebo v eBay sedeli totalni blbci) ze skasiroval 2.6miliardy $ za "karoserii auta" aby nasledne u eBay zjistili ze si nekoupili "ani motor ani volant" takze se ztratou 1miliardy to odprodali Friisovi zpet aby ten to obratem prodal za 8.5miliardy Microsoftu (ten uz si to pohlidal a koupil to komplet). Jestli me pamet neklame tak CEO u eBay za tenhle kauf stoleti vyletel(a).
Kazdopadne Friis se z kauzy KaZaA poucil v tom ze P2P je potreba take dusledne sifrovat jinak jsou uzivatele "sitting ducks" a to nasledne aplikoval u Skypu. Co s sifrovanim pak udelala eBay netusim ale i kdyz si zapomeli koupit licenci na "engine" tak zdrojaky asi v ruce meli takze mohli udelat ledacos..... eBay jsou ale Lojzove co v te dobe prodavali vetes pres internet, neni to tech firma....
M$ ale je, takze po akvizici vzhledem ke svemu technickemu zazemi velice snadno mohl VYLEPSIT at uz P2P technologii anebo centralizovanou ale klidne mohl udelat Skype E2E sifrovanej a (znovu??) neprustrelnej= kdyby jim teda TOLIK slo o soukromi svych uzivatelu" tak jak to radi omilaj v tech svych PR estradach. Tim padem by si usetrili hromadu otravovani se vsemi temi NSL od vlady a ztratu image. Jenze M$ udelal PRESNY OPAK- viz link na ktery sam odkazujete
http://www.h-online.com/security/news/item/Microsoft-gave-NSA-s-PRISM-access-to-Skype-Outlook-com-and-SkyDrive-1916730.html
Jasneji uz to tam napsane byt nemuze: According to a report in the Guardian, Microsoft helped the NSA to bypass data encryption by users of its services. Even before it was launched, Microsoft is alleged to have taken steps to ensure that the NSA had continuous access to data sent via its new Outlook.com email portal. In a statement, Microsoft stressed that it only cooperates with the authorities where legally required to do so. The statement claims that the company does not provide across the board access, but does so in individual cases only. This, however, is contradicted by information which the Guardian claims to have gleaned from leaked NSA documents. -myslim ze neni co dodat :o)
ad P2P klienti Skypu na pozadí přeposílali data, i když jste Skype aktivně nevyužíval. Ano to je(byl) princip P2P site Skypu. Nodi/uzly kteri maji verejnou IP a dostatecne tlustou lajnu poskytuji randez-vous a relay sluzby pro ostatni "mene vybavene" jedince. Takhle jsem nekolik let fungoval i ja= byl jsem tzv supernode a dobre jsem videl ve svym FW kolik nestastniku za NATem si preze me posilalo soubory a kolik jinych nodu jsem spojoval. Vzhledem k tomu ze od zacatku jsem mel 100/100 s verejnou IP a NEOMEZENYM trafikem tak mi to opravdu vrasky nedelalo. (za cca ekvivalent 200Kc/mes) Tim spis ze me samotnemu tento system usetril tisice na mezinarodnich hovorech. Veskery trafik co preze me sel byl samozrejme sifrovany. A tak to ma byt soudruzi protoze tak jeto spravne :o))))
ad Navíc P2P spojení je v principu nestabilní. No asi vychazite z vasich osobnich zkusenosti- ale nezapomente v jakem stavu byla IT infrastruktura v CR v r.2001 (ne ze by to byl dneska kdovijaky zazrak) P2P sit je tak stabilni jak stabilni jsou nodi a jak kvalitni je jejich spojeni navenek. Tady v DK je bezny standard 100/100 (a byl i tenkrat) a trafik vam pocitaj leda tak kdyz sosate neco na mobilu. Jinak to nikoho nezajima. Kolegove v praci maji nezridka i 500Mb ci 1Gb zalezi jestli bydli tam kde uz je optika. Takze tady ve Skandinavii se stabilitou Skypu nebyly nikdy vetsi problemy-naopak je zajimave cose bezne delo me, totiz kdyz jsem mluvil s lidma z Ceska tak se divili "clovece s tebou je ten zvuk cistej a stabilni na vzdalenost 700km a tady kdyz si volame po meste v Cesku tak se to skoro neda pouzit" Ja sem se na to pak dival pri navsteve CR a skutecne hovor z Kladna do Prahy sel treba pres Mnichov v DE. Proste na Kladne nikdo nemel dostatecne tlustou lajnu s verejnou IP a tak nebyl siroko daleko zadnej slusnej supernod. Vite on tvurce ten SW vyvijel ve Skandinavii a vychazel asi z jisteho stavu veci- nebylo to vyvijeno pro ceskej IT pravek.
ad pokud si myslíte, že P2P systém je z definice neprůstřelný, tak se mýlíte. Projděte si základy PKI. Tak to si samozrejme nemyslim- ono "z definice neprůstřelneho" je opravdu malo co viz. DefCon, SchmooCon,BlackHat atd. Pokud mate na mysli PKI pouzivanou v browserech tak to je samozrejme 1 velka katastrofa prelozeno do anglictiny: this system is totaly compromised and users are in deep shit. Dobrym prikladem je kauza DigiNotar anebo aktualne "we became aware of unauthorized digital certificates for several Google domains" http://googleonlinesecurity.blogspot.dk/2015/03/maintaining-digital-certificate-security.html Kazdy kdo se podiva kolika CA jeho system veri se musi zdesit- tim spise ze pulka patri vsem moznejm tajnem sluzbam z celyho sveta a 2ha pulka jsou silenosti typu HongKong Post office anebo Tureckej telekom...... Kazdopadne je dobrym startem vsechno vymazat a nechat si tam ty 3-4 nejvetsi CA ktere stejne pokryvaji vetsinu websites kam clovek zabrousi, jistotu to neposkytuje sice zadnou ale aspon clovek neskladuje na svym PC veskerej CA bordel sveta :o)))
BTW je to pravda ze kdyz si uzivatel vymaze tech cca 450 ruznych CA kterym veri jeho IE tak mu je tam Microsoft pri dalsim security updatu ZNOVU NASYPE ??
Vy jako siritel boziho slova z Redmondu to urcite budete vedet presne a me by to moooc zajimalo- dekujuuuuuu :o)
Pokud jde o vymenu klicu ve Skypu co vim tak tam to bylo reseno klasickou asymetrickou crypto =uzivatel si pri instalaci vygeneroval public/private par klicu a ten verejnej poslal supernodovi (1 supernod tam asi byl zadratovanej natvrdo aby uzivatel vubec mohl provest boot-strapping. Supernodi pak uchovavali+mezi sebou replikovali tabulku obsahujici IP+prislusne public key a tyto udaje poskytovali ostatnim nodum v siti pri dotazu a pokusu o spojeni. Neco na zpusob DHT. Volajici nod pak kontaktoval jineho bud naprimo anebo pres supernoda se zpravou zasifrovanou prijemcovo verejnym klicem ktery si prijemce rozsifroval svym privatnim klicem nasledne se (asi) podival jaky vsechny sifry volajici podporuje nasledne vygeneroval symetrickej klic a obdobnym zpusobem to poslal z5. Pak uz se audio/video sifrovalo timhle jednorazovym KRATKYM SYMETRICKYM klicem. Po hovoru se klic zahodil. k Autentizaci do systemu slouzil login+PW uzivatele. Crypto hovoru bylo udajne delano hodne dobre. Jak hodne byl system imunni vuci impersonating-attack to si netroufnu tvrdit- nevidel sem jak jeto navrzeny vevnitr. Hodne veci se sifrovalo lokalne, napr. urcite si vzpominate ze zpravy v chatu se dorucily VZDY AZ POTOM CO BYLI OBA NODI ONLINE SOUCASNE= to melo svuj duvod= odchozi zpravy se ukladaly LOKALNE na PC v sifrovane podobe a odeslaly se az potom cose ukazal prijemce v siti. Porovnejte s dnesnim stavem kdy M$ vesele prijima (a nekdy i tvrdi ze doruceno) uzivatelum kteri jsou prokazatelne uz nekolik tydnu offline. To ukazuje na to ze nyni se zpravy ukladaji u M$ z cehoz prameni nasledujci riziko: http://www.h-online.com/news/item/Skype-with-care-Microsoft-is-reading-everything-you-write-1862870.html
ad security by obscurity- je pro to i jiny vyraz = epic fail. Na to snad neveri uz ani u M$....ne?
ad všechny firmy popřely, že by dali NSA přístup ke svým systémům.
:o))))) a co jste cekal? ze se priznaji? vite co radil dr.Plzak kdyz se chlapovi prijde na neveru? Zatloukat-zatloukat-zatloukat!
ad ......(Microsoft, Google) nepoužívaly důsledně šifrované spojení mezi vlastními datovými centry, což asi bude ten problém. Ano to je mozne, nicmene existuje zpusob jak si svoje opticke kabely snadno hlidat PROTI NEOPRAVNENE MANIPULACI CI ODPOSLECHU (kdyz uz posilam data uzivatelu po siti v clear-text anebo pres brokem SSL) a neni to ani prilis drahe. Funguje to nasledovne- natahnete a zprovoznite si optiku mezi centry a pak si udelate neco jako fingerprint spektra a kvality media. Jeto takova krabicka ktera se dava mezi sitovku a samotnej kabel, mozna uz to dneska perou do 1 kusu. To same na druhe strane. Jakmile nekdo po ceste ten kabel ohne (nebo nedejbuh do nej vrazi Prism) tak se to ukamzite pozna na fingerprintu protoze ten se okamzite zmeni. Kdyz vas to hodne bude zajimat tak to i nekde dohledam. Ta technologie je udajne nekolik let stara a prej je v network-kruzich bezne znama takze tezko verit ze by Google & spol. o necem takovem nevedeli. Ale jednodussi je holt tvrdit ja nic ja muzikant to vsechno oni.
ad kolik z těch Snowdenových materiálů je podle vás opravdu z NSA? to ja netusim, muzou byt i z CIA, protoze i pro tu Snowden neco delal-sam rikal ze jezdil i na falesny pasy po svete. Vsimnete si ze USgov mu dava jmen ale nikdy nerekli ze si neco vymyslel anebo ze lze. Navic je evidentni ze ten clovek je velmi inteligentni, vazi slova a co rika ma hlavu a patu. Srovnejte s tim co predvadi Kerry anebo Obama. Pokud jde o kontraktory vybavuju si ze NSA sama rekla ze znacna cast jejich rozpoctu jde prave kontraktorum. Kmenovych zamestancu ma NSA celkem malo= kontraktori je prevysuji o rady. A to muze byt do budoucna znacny bezpecnostni problem. Kontraktori totiz nemaji zadnou loajalitu vuci NSA= ted pro nas delas nakou praci ale neni jisty jestli to priste dostanes zase ty. Drive byla u NSA udajne jina kultura- lidi vedeli ze kdyz nic neproserou tak maj "definitivu" = v klidu to doklepou do penze. Neco na zpusob funkce "rodiny" u mafianu. To se zmenilo a vzhledem k tomu ze se o ten multiliardovej fizlovaci kolac rve cim dal vic psu o nejake loajalite lze tezko mluvit. Navic selsky rozum rika ze jestli mate 1/2milionu lidi co maj proverku na Top Secret tak uz to samo o sobe je dost riziko, nebo chcete verit ze mezi pul milionem vajec je jenom 1 "shnile" ?? :o)
ad jak se díváte na to, že s NSA vlezl do postele Google? na to se da rict jen jedno: To je hnus velebnosti! Obzvlast u firmy ktera mela od zacatku motto: We are NOT evil! Kazdej (inteligentnejsi) American vam ale rekne ze KAZDA firma kdyz dosahne urcite velikosti a vlivu "will automatically turn evil" a asi to tak bude. Me osobne zas Google tolik neprekvapil = na fizlovani uzivatelu je zalozeny cely jejich business model. Spis je humorne videt jak se Google rozciluje ze jeho uzivatele vlada USA fizluje :o)))))) ....kdyz fizlovani je prece vyhradne NASE GOOGLOVSKA PRACE :o))
Osobne doufam ze i Google casem sklidi co zasel a i kdyz ted si vicemene dela co chce stare prislovi pravi: Ani stromy nerostou do nebe. Uvidime jak dlouho tu s nami bude Google. Jinak pro vase info, namisto Googlu pouzivam DuckDuckGo.com anebo Ixquick, zkousel jsem i YaCy ale ten je porad ve fazi experimentu, ale az bude jako port na BSD tak ho urcite hodim na server- napad je to skvelej.
ad zaměňujete doměnky za fakta, -myslim ze ne, prezentuju sve domnenky na zaklade fakt ktera jsou mi znama, nerikam tim ze se nepletu a urcite netvrdim ze vim vsechno.
ad to že se v nějaké aféře objevil MS je podle vás důkazem jeho špatné vůle, kdežto o těch ostatních firmách neřeknete ani slovo, protože objektivita je vám zcela cizí.
:o))) to ze se M$ objevil v nejake afere dukazem neni- dukazem je jak se M$ chova a co tvrdi...... viz vyse. Za ty roky co tu s nami tahle firma je uz se toho nastradalo dost aby si KAZDY mohl udelat obrazek co je tahle firma zac.
O ostanich firmach nemluvim protoze je tady nikdo tak srdnate nehaji jako vy. Ale verte mi ze kdyby se tu objevil podobne zaniceny kazatel jako vy napr. od Googlu tak by memu zajmu neunikl :o))))
Ad all caps - chápu, ale vy zase chápejte, jak to vidí ostatní: [On] the Internet, typing messages in all caps became closely identified with "shouting" or attention-seeking behavior, and is considered very rude. As a result, netiquette generally discourages the use of all caps when posting messages online.
http://en.wikipedia.org/wiki/All_caps#Computing
Ad jak narikaly urady tady v DK ze "odposlechy selhavaj kvuli dobremu sifrovani a P2P architekture" - pokud se nepodaří odchytit počáteční výměnu klíčů, tak je to samozřejmě problém. Předpokládám že tehdy pánové z NSA, GHCQ, BND, AIVD a dalších agentur neměli možnost odchytávat většinu internetové komunikace, včetně té výměny klíčů, plus možnost do procesu vstupovat.
Ad M$ ... mohl VYLEPSIT at uz P2P technologii anebo centralizovanou ale klidne mohl udelat Skype E2E sifrovanej a (znovu??) neprustrelnej - MS musí umožnit odposlech na základě soudního příkazu, stejně jako klasičtí telco operátoři.
Ad P2P spojení je v principu nestabilní - můžete mít 100/100mbps spojení, ale to bohužel neznamená, že váš supernode bude opravdu nabízet rychlé a stabilní služby. Spojení mezi vámi a sousedem používajícím jiného operátora může mít vysokou latency i nízkou rychlost. Navíc váš supernode může kdykoliv odpadnout, když počítač vypnete. Pro spolehlivou komunikaci, srovnatelnou s telefonem, je to prostě problém. Uvědomte si, že řada uživatelů Skype (dnes možná většina) je z rozvojového světa.
Ad zpravy v chatu se dorucily VZDY AZ POTOM CO BYLI OBA NODI ONLINE SOUCASNE - ano, to byl velký problém. Zvlášť je to vidět v případě použití mobilů, kde by klient musel neustále běžet na pozadí, a tím by sežral baterku. Současný způsob potvrzování o doručení zprávy zdaleka není ideální, ale zase je to použitelné s mobilními zařízeními.
Ad existuje zpusob jak si svoje opticke kabely snadno hlidat; natahnete a zprovoznite si optiku mezi centry - když máte jedno datové centrum na US East Cost a druhé v Amstrerdamu, tak si mezi nimi nejspíš nebudete tahat vlastní optický kabel :). Kapacitu si pronajmete. A provider má ze zákona povinnost umožnit umístění odposlechu. Vizte například tady:
http://www.theguardian.com/uk/2013/jun/21/gchq-cables-secret-world-communications-nsa
Ad hodnověrnost Snowdena - podle oficiálních vyjádření je část z toho co tvrdí pravda, část ne. Technicky vzato to může být ruský špion :)
Ad NSA vlezl do postele Google; To je hnus velebnosti - v podstatě souhlas. Ale jak jsem psal, firmy byly částečně donuceny ke spolupráci soudními příkazy, a částečně si vlády sbírají informace ve vlastní režii. Navíc ty soudní příkazy mají v případě vyšetřování únosů, vražd, obchodu s bílým masem a monitorování teroristů dobré opodstatnění.
Ad je to pravda ze kdyz si uzivatel vymaze tech cca 450 ruznych CA kterym veri jeho IE tak mu je tam Microsoft pri dalsim security updatu ZNOVU NASYPE - předpokládám že ano. Minimálně by tam měl nasypat nové certifikáty od stávajících CA. Osobně jsem to ale nezkoušel.
Ad zpravy v chatu se dorucily VZDY AZ POTOM CO BYLI OBA NODI ONLINE SOUCASNE - ano, to byl velký problém. Zvlášť je to vidět v případě použití mobilů, kde by klient musel neustále běžet na pozadí, a tím by sežral baterku. Současný způsob potvrzování o doručení zprávy zdaleka není ideální, ale zase je to použitelné s mobilními zařízeními.
Ano, dnes je to mnohem lepsi. Jak ma nekdo mobilni Skype, tak mu po tricet dni visi status na zlute away ikone. Geniove z Redmondu dokonce nebyli schopni si ani vymyslet na tento stav dalsi ikonu. Clovek pak nevi, jestli dotycny sel na hajzl nebo je na 14 dni v Amazonskem pralese bez signalu.
Ad hodnověrnost Snowdena - podle oficiálních vyjádření je část z toho co tvrdí pravda, část ne.
Oficialnimi vyjadrenimi nema cenu se zabyvat. Soudruzi vam urcite pravdu nereknou. Reknou vam leda tak kousek, aby vzbudili dojem otevrenosti a nasledne poprou zbytek.
Ad all caps - chápu, ale vy zase chápejte, jak to vidí ostatní
:) Právě TY jsi ten, kdo nepochopil jak to vidí ostatní:
když napíšu jeden řádek celý v caps tak je to shouting
něco jiného ale je, když ve větším textu zvýrazním některá slova pomocí caps
mimochodem, píše se o tom i ve tvém odkazu na wikipedii
...koupil P2P system s neprustrelnym end2end sifrovanim, predelal ho na centralizovany a vzhledem k tomu ze nyni jiz "spravuje" i onu end2end sifrovanou cast a tak sam M$ prideluje "sifrovaci klice" uzivatelum , co to znamena v praxi si uz snad domysli i nejvetsi idiot.......
Tak nevim, jak cerne svedomi ma MS a j jaka byla ta neprustrelnost predtim, ale pamatuji, ze kdyz byl Skype jeste ebay, tak uzivatele v Cine byly presmerovavani na jakousi alternativni verzi downloadu a pak nekdo nasel servery, kde byly volne lozeny vsechny textove zpravy i se sifrovacimi klici. Ty servery pak uzamkli proti cumilum, ale to neznamena, ze prestali sbirat data. A kdyz tohle delali v Cine, mohli to udelat kdekoliv jinde, kdyby se na ne zatlacilo. A protozeto byl closed source, tak to nikdo nemohl proverit.
tak tohle Skype made in China slysim poprve :o)))
ale nebylo to tak ze soudruzi stranici presmerovali sve spoluobcany nekam kde jim pak podvrhli "sveho revolucniho komunistickeho" klienta ktery se sice jako Skype tvaril a mozna i choval ale realnej Skype z EU to nebyl?? Vono Cinani obecne si vystacej dost sami a jestli uzivatele volali jen mezi sebou a uvnitr Ciny tak to ani nemuseli poznat- to ze to ma Skype logo na splash-screenu neznamena ze pod kapotou jede skype :o))))
ad kde byly volne lozeny vsechny textove zpravy i se sifrovacimi klici.- tak tomu rikam prasecina! :o))))) ale jak uz sem psal vyse @LO zpravy na puvodnim Skypu byly ukladany LOKALNE na PC a SIFROVANE (sam jsem je zkousel vydolovat na svym kompu a neslo to.... a ukladat sifr. klice nekde na centralnim serveru to je myslim specialita firem jako M$ a Apple (viz iMessage) nez ze by neco tak pekelnyho (ale hlavne zbytecnyho) navrhnul Friis. Za eBay bych ale ruku do ohne nedal :o)))))
Ano, Cinani byli presmerovani na nejaky maoisticky Skype jakesi firmy Tom nebo jak se to. Trik je ale v tom, ze ten komunisticky Skype skoro urcite musel byt vytvoren ve spolupraci s majitelem Skype, toho casu tusim jiz ebay. Pokud vim, Skype obsahoval dost tvrde mechanismy proti reverse engineeringu a nikomu se to tehdy reversnout nepodarilo. Protokol nebyl nikde verejne popsany, aby si to soudruzi napsali na zelene louce, takze jim nekdo asi pomohl v ramci internacionalni pomoci, jakou tam delali firmy Yahoo a jini, kdyz se podilely na zprovozneni cenzury a v nekterych pripadech i pomahaly identifikovat zlobive disidenty, aby tito mohli byt uzavreni do kriminalu, aby si neublizili.
Z jakého důvodu pořád neochvějně předpokládáte, že autoři TC napsali i prohlášení u TC 6.2 a že doporučují BitLocker?
Autoři TC se chovali zcela seriózně až do 6.1a, ale text provázející 6.2 napsal někdo kdo se snaží TC znevěrohodnit. Proč předpokldáte, že jde o stejnou osobu/osoby?
(Naproti tomu vaše logika je pořád stejně postavená na hlavu už od debat ohledně vyhodny-software.cz. Proto předpokládám, že jste to pořád vy.)
Z jakého důvodu vy neochvějně předpokládáte, že verze 6.0, 6.1a, 7.0 a kteroukoli jinou verzi vydali stále stejné osoby?
Zatím mne stále jen utvrzujete v domněnce, že s vydanými verzemi TC až do verze 7.1a jste spokojen, ale s verzí 7.2 a prohlášením o ukončení vývoje už spokojen nejste. A podle toho pak upravujete své hodnocení autorů - až do verze 7.1a to byli svobodní experti, ale s verzí 7.2 se buď zbláznili nebo se jim něco stalo. Ale máte k takové domněnce nějaký důvod? Nebo tu realitu prostě jenom takhle ohnout musíte, abyste nemusel měnit svůj názor?
Já tedy mnohem raději změním svůj ničím nepodložený názor na BitLocker, než abych vymýšlel šílené konstrukce, které odůvodní, proč je ten můj názor správný.
Podle mne autoři TrueCryptu počítačové bezpečnosti opravdu rozuměli, takže mimo jiné věděli, že za bezpečnost je především odpovědný ten odborník, tady autor programu, ne uživatel, který tomu nerozumí. A že bezpečné to bude jenom tehdy, pokud odborník uživateli dodá program, který uživatel může snadno používat a když ho bude používat normálně, nemůže ho používat nebezpečně. A přesně v duchu tohohle pojetí bezpečnosti je i to ukončující prohlášení - nepoužívejte to, my už za bezpečnost neručíme.
Promiňte, ale diskutovat s váma je jako mluvit do dubu. Řeknu vám to ještě jednou, jinými slovy, ale už naposledy:
Do verze 7.1a se vydavatelé chovali jako standardní vývojáři.
Vydavatel verze 7.2 vydal neurčitý komentář, u kterého musel předpokládat, že vyvolá vlnu spekulací, a doporučil přechod na konkurenční výrobek, ačkoli jeho bezpečnost není schopen jakkoli garantovat, protože nezná jeho zdrojový kód.
Pouze opakujete věci, na které už jsem reagoval. Změna mezi verzemi 7.1a a 7.2 neodpovídá vašim názorům. Vy ani na vteřinku nezapochybujete o svých názorech a hledáte nejrůznější krkolomné způsoby, jak to vysvětlit, jenom abyste svůj názor nemusel změnit. Já radši změním svůj názor na BitLocker, než bych vymýšlel nejrůznější konspirační teorie.
Vydavatel verze 7.2 vydal neurčitý komentář, u kterého musel předpokládat, že vyvolá vlnu spekulací
Jak už jsem psal, to vyvolání vlny spekulací nezpůsobil ten komentář, způsobují to pouze spekulující. Vlnu spekulací by vyvolalo, ať by ten komentář byl jakýkoli.
ačkoli jeho bezpečnost není schopen jakkoli garantovat, protože nezná jeho zdrojový kód
Znalost zdrojového kódu není nutná. Bezpečnost jiného řešení samozřejmě negarantuje, pouze ho doporučuje jako alternativu, která uživatelům dokáže poskytnout stejné funkce, jako dříve TrueCrypt.
Ad do verze 7.1a se vydavatelé chovali jako standardní vývojáři - přesto nemůžete vědět, jestli jsou autoři verze X a X+1 totožní. Samozřejmě kdyby došlo k záměně autorů, bylo by klíčové, aby se navenek chovali pořád stejně :)
Ad vydavatel verze 7.2 vydal neurčitý komentář - mě ten komentář připadá dostatečně určitý.
Ad přechod na konkurenční výrobek, ačkoli jeho bezpečnost není schopen jakkoli garantovat, protože nezná jeho zdrojový kód - 1. ke hledání zranitelností není třeba zdroják, to snad víte. 2. Jak můžete vědět, že autoři TrueCryptu neměli přístup ke zdrojákům BitLockeru? Zdrojáky Windows má dlouhá řada institucí, včetně některých škol.
už jsem se o tom bavil s Filipem Jirsákem, tak budu velmi stručný:
odpovídám na jednotlivé odstavce:
Samozřejmě, že s jistotou nemůžu vědět nic. Ale jsou věci, kterým se dá věřit (že pre-7.2 autoři byli v zásadě stejní), a jsou věci, kterým se věřit moc nedá - tj. že s doporučením u verze 7.2 je vše v pořádku.
seriózní vydavatel bezpečnostního softu by byl určitě konkrétnější: vysvětlil by, které verze TC nejsou bezpečné a proč, jestli vědí o konkrétní chybě/nebezpečí nebo jestli nebezpečí vyplývá z ukončení vývoje ...
A taky by vysvětlili, proč považují bitlocker za bezpečný a proč je jlepší než všechen ostatní kryptovací soft.
Jinými slovy: seriózní vydavatel kryptovacího softu se snaží být otevřený a důvěryhodný a neotvírá prostor spekulacím.
Pokud by autoři TC měli přístup ke zdrojákům BitLockeru a udělali jeho audit, určitě by to zdůraznili, aby nevypadali jako že mlátí prázdnou slámu.
"Už jste se o tom bavil" je trochu zavádějící informace. Přesnější by bylo "napsal jsem tohle, Filip Jirsák mne opravil, a já tu stejnou chybu klidně znova zopakuju".
Bezpečné nejsou žádné verze TC, protože nejsou udržované a nikdo se jejich bezpečností nezabývá. Už to vezmete na vědomí, nebo se na to zeptáte počtvrté? Nebo vám neudržovaný software připadá jako náramně bezpečná věc? (I v tom případě by ale bylo vhodné to napsat jako polemiku s mým vysvětlením, ne to vysvětlení ignorovat a opakovat pořád dokola to samé.)
Jak by vám pomohlo, kdyby autoři napsali, proč považují BL za bezpečný? Že byste si to po nich zkontroloval? Pokud to umíte zkontrolovat, potřebujete to vyjádření?
Navíc autoři netvrdí, že BitLocker je lepší, než všechen ostatní kryptovací software. Říká, že máte používat šifrovací řešení integrované do příslušného systému. Což dává smysl, protože to šifrovací řešení nikdy nebude bezpečnější, než systém samotný. No a na Windows je tím vestavěným řešením BitLocker.
Jinými slovy: seriózní vydavatel kryptovacího softu se snaží být otevřený a důvěryhodný a neotvírá prostor spekulacím.
Zatímco NSA spekulace miluje. Proto taky donutili autory TrueCryptu skončit s vývojem - o TrueCrypt jim vůbec nešlo, těšili se na to, jaké spekulace vyvolá ta NSA pečlivě připravená zpráva o ukončení.
To už jsem vám také psal, že to "otevírání prostoru ke spekulacím" není vlastností toho prohlášení, ale těch, kteří spekulují. Někdo to samozřejmě vidí jinak, kondenzační čáry za letadly otevírají prostor ke spekulacím o chemtrails, existence Židů otevírá prostor pro spekulace o celosvětovém židovském spiknutí a smrt Elvise Presleyho otevírá prostor pro spekulace o tom, že nezemřel.
Tento komentář obsahuje nezanedbatelné množství sarkasmu.
:) už je tu zase dokonalá jirsákova logika (tato věta obsahuje nezanedbatelné množství sarkasmu.)
Jak by vám pomohlo, kdyby autoři napsali, proč považují BL za bezpečný?
Jak vám pomůže, že vidíte v supermarketu rohlíky v čistých bednách? Co když s nimi předtím hráli fotbal??
To už jsem vám také psal, že to "otevírání prostoru ke spekulacím" není vlastností toho prohlášení, ale těch, kteří spekulují. Někdo to samozřejmě vidí jinak, kondenzační čáry za letadly otevírají prostor ke spekulacím o chemtrails
kondenzačních čar za letadly se nezbavíte
ale napsat seriózní a detailnější vysvětlení při vydání 7.2 bylo snadné. Přesto k němu nedošlo a vydavatel verze 7.2 nechal kolem rohlíků běhat krysy.
Ad dá se věřit, že pre-7.2 autoři byli v zásadě stejní - z čeho tak soudíte? Jak jsem psal, kdyby autory vyměnili pánové z nějaké ošklivé agentury, vypadalo by to přesně stejně: nic by se navenek nezměnilo.
Ad věřit se moc nedá, že s doporučením u verze 7.2 je vše v pořádku - proč? Pokud by byl v BitLockeru backdoor, tak přece není problém udělat ve Windows backdoor pro TrueCrypt běžící na Windows. Zkusil bych méně konspirovat, a spíš připustit možnost, že autoři zdarma trávili čas nad psaním něčeho, co je ve Windows v podobné kvalitě. A když je to přestalo bavit, tak toho nechali.
Ad seriózní vydavatel bezpečnostního softu by byl určitě konkrétnější - seriózní vydavatel možná. Parta anonymů, kterým komunita neumí ani přispět na vývoj, moc konkrétní být nemusí.
Ad pokud by autoři TC měli přístup ke zdrojákům BitLockeru a udělali jeho audit, určitě by to zdůraznili - nevím jestli by zvládli celý audit vlastními silami. A i kdyby, tak nevím jestli by mohli přiznat, že mají přístup ke zdrojákům.
ad pre-7.2:
Já nevěřím ničemu. Řekl jsem, že se tomu dá věřit.
Protože to chování vypadá standarně.
ad 7.2:
tohle nevypadá už tak standardně:
chybí vysvětlení co je na TC špatně, jsou staženy staré verze, ukončení vývoje je náhlé, je doporučen bitlocker který na velké části Win není, chybí vysvětlení proč přejít na bitlocker
Částečně souhlasím (výhrady níže), že když se bojím backdooru v bitlockeru, měl bych se bát i samotných Windows, a že by to mohla být logika vydavatelů 7.2. Ale vzhledem k ostatním neseriózním okolnostem okolo vydání 7.2 si nemyslím, že doporučení bitlockeru je možné brát seriózně.
Pokud by byl v BitLockeru backdoor, tak přece není problém udělat ve Windows backdoor pro TrueCrypt běžící na Windows.
Ale jenom ve Windows. A ještě musí uživatel nainstalovat příslušnou záplatu.
A tipuju, že backdoor v OS, který ošetřuje chování bitlocker nebo TC, bude snáze odhalitelný než backdoor přímo v bitlockeru:
Zkusil bych méně konspirovat, a spíš připustit možnost, že autoři zdarma trávili čas nad psaním něčeho, co je ve Windows v podobné kvalitě. A když je to přestalo bavit, tak toho nechali.
Open source a audit je to, co bitlocker nemá.
Ukončili vývoj v době, kdy probíhal audit - to bych pochopil jedině pokud tam audit najde backdoor.
Ad pre-7.2, "chování vypadá standarně" - jak jsem psal, pokud by došlo na výměnu autorů SW, přesně takhle by to vypadalo: naprosto standardně, proto abyste nikdo nepojal žádné podezření.
Ad není problém udělat ve Windows backdoor pro TrueCrypt; jenom ve Windows; musí uživatel nainstalovat příslušnou záplatu - samozřejmě jen ve Windows. Ovšem záplatu uživatel instalovat nemusí. Proč by měl?
Ad open source a audit je to, co bitlocker nemá - TrueCrypt léta neměl audit, bez kterého je vám dostupnost zdrojáku k ničemu, a navíc dodnes nejsou známi ani autoři (ad absurdum to od začátku mohla být akce nějaké agentury). Zjevně to řadu lidí nezastavilo od toho, aby TrueCryptu důvěřovali.
TrueCrypt léta neměl audit, bez kterého je vám dostupnost zdrojáku k ničemu, a navíc dodnes nejsou známi ani autoři (ad absurdum to od začátku mohla být akce nějaké agentury). Zjevně to řadu lidí nezastavilo od toho, aby TrueCryptu důvěřovali.
To vite, MS tak dlouho budoval duveru zakaznika, at uz kvalitou sveho softwaru, tak i svym cestnym a ferovym zpusobm jednani, ze zakaznik dnes radsi veri software anonymnich autoru.
vždyť je to jedno, jestli zdrojáky měl.
Podstatné je že to neřekl. Kdyby řekl
"měl jsem zdrojáky bitlockeru, udělal jsem audit a považuji jej za bezpečný"
tak je to o něčem úplně jiném. Ale takhle je to doporučení bitlockeru zcela nedůvěryhodné.
nedivil bych se, kdyby doporučení bitlockeru byla nějaká ironie:
- buď byl naštvaný, že někdo nepřispívá na vývoj, a tak řekl, "tak si teda jděte k bitlockeru"
- nebo na něj opravdu někdo zatlačil a on chtěl dát najevo odkud vítr vane
Samozřejmě kdyby došlo k záměně autorů, bylo by klíčové, aby se navenek chovali pořád stejně :)
Samozrejme, viz The Stepford Wives (ten originalni, na ten novy se neda koukat).
1. ke hledání zranitelností není třeba zdroják, to snad víte.
Tohle je kryptograficky SW, ne nejaky blby browser. Prolomeni kryptografickeho SW je podstatne vetsi ukol, takze bych si tim nebyl tak jisty.
2. Jak můžete vědět, že autoři TrueCryptu neměli přístup ke zdrojákům BitLockeru?
Nejspis uz ne proto, ze by pak MS rval, ze jim vsechno ukradli a chtel bych prachy za patenty. V opensource jsou lide, kteri maji pristup ke zdrojakum Widli. Ti pak poskytuji konzultace vyvojarum, ale sami maji zakazano vyvijet z vyse uvedeneho duvodu. Existuje riziko, ze by tam napsali jeden radek uplne stejne, jako to videli ve zdrojakach a MS by byl na koni.
Ad prolomeni kryptografickeho SW je podstatne vetsi ukol - nicméně princip zůstává
Ad ze by pak MS rval, ze jim vsechno ukradli - k těm zdrojákům má přístup spousta lidí. A autoři TrueCryptu by asi nenosili tričko s nápisem "jsem autor TrueCryptu, jdu se kouknout na zdrojáky BitLockeru" :). Daleko spíš by k nim měli přístup k velkého výrobce SW, na univerzitě, u výrobce HW, při práci pro vládu apod.
Pokud ne, neřídím se tím "protože", ale tím, kdo danou věc říká - a koho na základě referencí a doporučení jiných lidí považuju za odborníka v dané oblasti.
Tak pokud temi odborniky maji byt vyvojari TC, tak jejich doporuceni neni vic, nez vyjadreni osobnich dojmu, protoze od BitLockeru nemaji zdrojak, ktery by mohli analyzovat a posoudit kvalitu kodu.
nejde ani tak o to, jestli je zdroják k něčemu.
Je nepochopitelné, jak může odborník na kryptologii doporučovat šifrovací soft, jehož zdroják neprostudoval
(nebo který neprostudoval někdo, komu sám důvěřuje).
A on jej nejenom doporučuje, on říká, že je bezpečný:
"TC není bezpečný, proto používejte bitlocker."
A samozřejmě, i když nikdo zdroják neprostuduje, takto, že jej autor dal k dispozici, činí soft mnohem důvěryhodnějším.
Proč by měl odborník na kryptologii studovat zdroják? Jaká jsou dvě největší šifrovacího softwaru? Buď slabá šifra - pokud se používá nějaká standardní šifra, ověří se to docela snadno tak, že stejná data zašifrujete stejným klíčem v jiném programu, a musíte dostat stejný výsledek. Druhé nebezpečí je v tom, že by se klíč někam ukládal. Na to také nepotřebujete znát zdrojáky. Mít zdrojáky je lepší, pokud chcete hledat slabiny typu Heartbleed - ale v tom TrueCrypt také nebyl dokonalý.
Navíc bych řekl, že se TC poněkud přeceňuje, to nebyl nástroj, který by byl primárně určený proti tomu, aby ubránil data proti největším zpravodajským službám. Pokud někdo má tak tajná data, nedává smysl s nimi pracovat na Windows, u kterých nemůžete vědět, co všechno dělají. Ani ne kvůli tomu, že by tam třeba Microsoft něco propašoval, ale prostě proto, že je to tak složitý systém a netušíte, jaké jsou všechny možné interakce.
Teď už jenom zbývá zjistit, kdo prohlásil to "doporučuji BitLocker, protože je bezpečný". Zatím to vypadá, že máte z NSA takový strach, že jste se na oficiální stránku TrueCryptu ještě nepodíval. Protože pořád polemizujete s tvrzeními, která tam nejsou.
Audit TC se dělá proto, aby se více ověřila jeho bezpečnost. Zdrojáky se studují proto, že je to nejsnazší způsob, jak odhalit některé chyby. Bezpečnostní analýzy TrueCryptu se dělaly už dříve, a kupodivu se zaměřily například na formát TrueCryptu, tedy zda opravdu šifruje tím, čím tvrdí, a zda nemá v souboru nějaká tajná místa, kam by mohl schovat klíč.
1) Bitlocker je closed source
2) zadnej NEZAVISLEJ audit tohodle softu nikdy nebyl proveden cili se uzivatel spoleha ciste jen a jen na cestne slovo vyrobce
3) ....coz je firma ktera jako jedna z prvnich DOBROVOLNE skocila do pelechu s NSA.
Staci?
Ohledne pouzivani TC na Widlich- osobne si myslim ze pouzivat JAKEKOLIV super-duper-mega-high-tech crypto na tak provareny platforme jako jsou Widle a verit ze moje data jsou safe muze jen clovek ducha opravdu mdleho.
To ze autori vytvorili TC "primarne pro uzivatele Windows" je vase domnenka a totalni blabol. Autori nikdy nic takovyho neprohlasili. Spis si myslim ze chteli vytvorit system umoznujici sdileni sifrovanych dat NAPRIC platformami. Neznam jiny system te doby ktery by s takovou user-friendly lehkosti umoznil i podprumernemu BFU tak snadno vytvaret sifrovane kontejnery na Widlich ktere je pak mozno sdilet s uzivateli napr. na Linuxu a vice versa. A in-place-full-disk-encryption na Widlich je delanej absolutne idiot-proof. Tam to vede uzivatele uplne za ruku.
Filip: ... když napsali bezpečnostní nástroj primárně pro Window...
hugo: ...To ze autori vytvorili TC "primarne pro uzivatele Windows" je vase domnenka a totalni blabol... Spis si myslim ze chteli vytvorit system umoznujici sdileni sifrovanych dat NAPRIC platformami
Ondra: ... Kdosi tu tvrdil, ze tvurcum TC slo primarne (mimo bezpecnosti) o interoparabilitu...
ten kdosi co neco tvrdil byl tvuj spoluzak Filip, hugo to rozporoval a napsal co si mysli, nic netvrdil ... nicmene moznost portovat OSS na platformu kterou chces, je jedna z hlavnich myslenek, neni to zadny vedlejsi efekt... pokud by chteli mit locknuto na Windows zvolej closedsource...
Mezi "nástroj primárně pro Windows" a "uzamčení nástroje pro Windows" je rozdíl. Posloupnost verzí - dva roky pouze pro Windows, pak přidána podpora Linuxu, a po dalších dvou letech GUI pro Linux a Mac OS X. Jestli je to vývoj nástroje pro sdílení šifrovaných dat napříč platformami, nebo jestli je to "napsali nástroj primárně pro Windows", to už si každý musí rozhodnout sám.
Nevim co Vam ukazuje rozporka zdrojaku TC ale me zdravy selsky rozum rika tohle: Pokud by byl TC deravej nemela by NSA/FBI a podobny spolky zadnej zajem na tom aby projekt skoncil-spise naopak. Pokud by devs nechteli dal pokracovat v projektu, mohli to napsat rovnou pripadne rict proc. Kazdej by to pochopil a a za svoji praci by minimalne sklidili potlesk ve stoje (mozna i nejakej ten crowdsourcing by se rozbehl pokud jim slo o $) URCITE by ale neposilali lidi k Bitlockeru tim spis ze sami byli tak paranoidni ze v defaultu je u TC vypnuta HW akcelerace AES-NI (protoze zrejme neverili ani Intelu). Ten posledni download z "jejich" stranek si stahnul podle me jedine idiot- cely to totiz smrdi na 100honu a stranku ani download urcite nedelali o sve svobodne vuli. Osobne tak doufam ze je k jejich "nahlemu rozhodnuti" primel balik $ spise nez "men in black". Urcite bych jim to pral vic. Take nepochybuju o tom ze TC byl pro NSA/FBI osinou v p.... Nakonec Snowden-leaks to rikaji jasne viz:
http://www.spiegel.de/international/germany/inside-the-nsa-s-war-on-internet-security-a-1010361.html
a vzhledem k tomu ze tyhle agentury si s dodrzovanim zakonu ci lhanim pred kongresovou komisi nedelaj tezkou hlavu viz
http://money.cnn.com/2015/03/18/technology/security/police-stingray-phone-tracker/
https://www.techdirt.com/articles/20131025/15510725018/uk-spies-knew-that-its-surveillance-was-likely-illegal-which-is-why-they-fought-to-keep-it-so-secret.shtml
Na zaver vrele doporucuju toto video z FOSSDEM, clovek pak lepe pochopi co mohlo stat za koncem TrueCryptu +jak se NSA snazi infiltrovat/eliminovat open source projekty ktere ji vadi.
NSA operation ORCHESTRA: Annual Status Report (https://www.youtube.com/watch?v=fwcl17Q0bpk)
Poul Henning Kamp (http://en.wikipedia.org/wiki/Poul-Henning_Kamp) je v BSD komunite velmi respektovane jmeno a i tady v DK se profiluje jako velky kritik statnich IT zakazek (prusery jako Opencard ci nefunkcni registr vozidel totiz nejsou vyhradni specialitou ceske kotliny ;o))))
mozna nekomu prijde handy tahle kalkulacka velikosti "kupy sena kterou se musi prohrabat utocnik aby nasel onu povestnou jehlu cili VASE HESLO"
Gibson ji vytvoril aby demonstroval ze DELKA hesla je vyhodnejsi nez entropie viz cely clanek + dole odkaz na MP3 podcast kde to vysvetluje.
https://www.grc.com/haystack.htm
Tak tohle je zajimave, ale funguje to? Kdyz zadam heslo z malych znaku a cisla o delce 13 znaku, vychazi delka utoku v nejlepsim pripade na 2,9 tydnu. Kdyz nektery ze znaku nahradim dvojteckou, vychazi mi delka nejrychlejsiho utoku na 2,59 stoleti. To je dobre, to uz mi bude vsechno jedno. Jenze jak utocnim muze vedet, jestli v hesle mam nebo nemam dvojtecku nebo jiny podobny znak? Muze leda tak doufat, ze jsem dostatecne liny. Ale protoze nevi, jestli mam kratke heslo s dvojteckou nebo treba velkym pismenem nebo vsechno male, bez specialnich znaku, ale zase dlouhe heslo, bude muset zkouset vsechny znaky. Ledaze by mel kristalovou kouli, ale to by si tam zase to heslo rovnou precetl.
"jak utocnik muze vedet, jestli v hesle mam nebo nemam dvojtecku nebo jiny podobny znak?" no v tom je ta pointa - utocnik nevi nic a tak musi (jak jsi spravne podotkl) zkouset VSECHNY kombinace nez narazi na tu spravnou a Sezam se mu otevre. Tady IMHO muze bejt trochu rozdil mezi realnym svetem a tim co ta kalkulacka ukazuje = utocnik pri (velke) trose stesti muze trefit heslo ktery je treba "uprostred" vsech realnych kombinaci a NEMUSI tudiz zkouset VSECHNY moznosti (obcas taky nekdo trefi do Eurojackpotu kde se hledal kombinaci v dost velky kupe sena ze?) =tim by se cas hadani zkratil treba na polovinu. Ale to se da eliminovat tim ze se mu ten pool udela proste mega-velkej. Ta kalkulacka pocita tzv. "pool" tedy pocet VSECH MOZNYCH kombinaci pro dane znaky. Samozrejme ze celej "pool" alias kupa sena se razantne zvetsuje kdyz se nakombinuji nejen cisla s pismeny ale i dalsimi znaky/symboly ;o) no a to je prave to woodoo :o) pouzitim napr. vhodne vycpavky typu 1@1@1@ opakovano treba 20krat + k tomu trivialni heslo J@rda , da ve finale tak velkou kupu hnoje ze se v tom frajeri z NSA budou prehrabovat po zbytek trvani vesmiru- a vo tom to je :o)))) Ono kdyz oprasis knizky matiky ze stredni tak to tam taky nekde bude :o) Otazka je samozrejme JAK DOBRE je login/password implementovan na strane serveru- jestlize server nedela rozdil mezi malejma a velkejma pismenama, spesl znaky zakaze a delku hesla povoli max 10 znaku tak to uzivateli nepomuze ani svecena voda= a od takovy sluzby bych se ja drzel hodne daleko. Klasicka moudrost rika ze "pokud server omezuje delku hesla pak jeto znamka toho ze admin nepochopil k cemu je hashovani" a proto od takoveho serveru rychle pryc.
Kazdopadne Gibson crypto umi, jeho cilem je odstranit zdroj vetsiny soucasnych pruseru totiz login+password ktery si sebou tahneme z dob IT praveku, proto aktualne dela na tomhle: http://sqrl.pl/guide/ Coz uz je ale "vyssi crypto divci" :o))))) aspon pro me teda...
Uplne dole je video kde vysvetluje princip, pripadne tady je primo jeho prednaska na DigiCert Security Summit 2014 in Las Vegas:
http://twit.tv/show/security-now/487
2 dny nato mu prej volali z Googlu a chteli se sejit. Pro nas uzivatele je dobre ze tenhle typek je posedlej IT-technologii ale NENI posedlej $ jako Jobs nebo Gates. Takze slibuje ze az to bude release-ready da to na net jako opensource. No a kdyz se to zkombinuje s timhle https://letsencrypt.org/ tak bude na internetu zas o neco lip a snad i bezpecneji :o)))
no a nez pouzit pro heslo:
1@1@1@1@1@1@1@1@1@1@1@1@1@1@1@1@1@1@1@1@1@1@1@1@1@1@1@1@1@1@j@rda
tak snad radeji to:
1@ je VELKA kupa hnoje ze se v tom frajeri z NSA budou prehrabovat po zbytek vesmiru
:)
jestlize server nedela rozdil mezi malejma a velkejma pismenama, spesl znaky zakaze a delku hesla povoli max 10 znaku
jj, to zni jak nejaka sluzba microsoftu co mi hlasila, heslo je moc dlouhe, znaky nejsou povoleny... :)
Vaše úvaha je zajímavá, nicméně je v rozporu s fakty. Autoři TC již dříve žádali o finanční podporu na vývoj TC, ale nemělo to žádný efekt. Myslím, že autoři TC byli natolik inteligentní, že si odpustili další kolečko - "končíme, nedokážeme se o to dál zodpovědně starat a vedle toho vydělávat na rodiny" - "ne, nekončete, my vás podpoříme" - a zase nic.
Ad určitě by nedoporučovali BitLocker, určitě tu stránku nedělali o svobodné vůli - jak už jsem psal v této diskusi několikrát, radši než byste změnil vlastní názor, vymýšlíte podivuhodné konstrukce o všehoschopné totálně neschopné NSA a autorech TC, ze kterých se najednou stali úplní hlupáci.
Mimochodem, je přece úplně jasné, že TC má pod palcem NSA. Protože:
* kdyby vývoj TC pokračoval, je to jasným důkazem toho, že tam NSA má zadní vrátka a chce, aby TC lidé používali a nepoužívali něco jiného, kam se NSA nedostane,
* kdyby byl vývoj TC ukončen se stručným oznámením, viz váš komentář,
* kdyby byl vývoj TC ukončen se podrobným vysvětlením, znamenalo by to, že ukončení vývoje naplánovala NSA a dodala i podrobné vysvětlení, protože autoři TC by přece tak podrobné vysvětlení nesepisovali, neměli by k tomu žádný důvod,
* a kdyby byl vývoj TC ukončen tiše, tj. bez nějakého prohlášení, akorát by nebyly vydávány nové verze, byl by to jasný důkaz nátlaku NSA, která autorům nedovolí pokračovat.
Jak vidíte, všechny možné varianty vývoje TC znamenají, že v tom má prsty NSA. Akorát u té poslední varianty by to chvíli trvalo, než by na to konspirační teoretici přišli, sami by si toho nevšimli, musel by do nich někdo šťouchnout.
Tak těch možných vysvětlení je celá řada. Ale to není to podstatné.
Podstatné je, že každý rozumně uvažující člověk musí vidět, že prohlášení u TC 7.2 je velmi podivné:
- nevysvětluje, proč TC není bezpečný
- nepochopitelně doporučuje jeden určitý konkurenční soft s uzavřeným kódem
Jenom Filipovi Jirsákovi to prohlášení připadá zcela v pořádku, a spěchá vyměnit TC za bitlocker.
To prohlášení vysvětluje, proč TC není bezpečný, a z pohledu někoho, kdo BitLocker považuje za odpovídající náhradu za TC na Windows, je jeho doporučení pochopitelné.
Nejsem jediný, komu to prohlášení připadá v pořádku. O tom, že bych vyměnil TC za BitLocker, jsem nenapsal ani čárku.
Budu to psát už potřetí, ale vy důvěryhodnost toho prohlášení posuzujete podle toho, zda je v souladu s vašimi názory. Já osobně bych dříve o BitLocker prstem nezavadil, ale kvůli tomu to prohlášení ještě a priory nepovažuju za nesmysl. Naopak jsem se zamyslel, kdo se asi více zabýval bezpečností BL, zda já nebo autoři TC, a vyšlo mi z toho, že nejspíš autoři TC, a že bych tedy měl svůj názor změnit. Potřebuju multiplatformní nástroj a to šifrování tam mám jen proto, aby data nebyla hned na ráně, takže BitLocker používat nezačnu. To ale neznamená, že začnu vymýšlet nejrůznější komplikované teorie jenom proto, abych náhodou nemusel změnit svůj názor. Někteří lidé jsou ale na svůj názor zjevně tak fixovaní, že si nedovedou představit, že by ho změnili.
Takže ta třetí strana měla takovou moc, že dokázala autory dotlačit k ukončení vývoje, ale zároveň byla tak bezmocná, že si nedokázala pohlídat, jakým způsobem bude vývoj ukončen? A dodnes to nedokázala spravit? Nebo ukončení vývoje takovým způsobem, aby okolo toho byla spousta spekulací, byl plán NSA? Takže pak všichni, kteří o tom tady v diskusi spekulují, jsou součástí toho plánu NSA? Mně představa, že všichni ti proti-NSA konspirátoři jednají podle plánu NSA připadá zábavná, ale nemyslím si, že by byla pravdivá.
Je zajímavé, že já jsem nic takového nenapsal. Také je zajímavé, kolik lidí tady má potřebu psát, co jsem asi údajně měl napsat, a neumí to nijak dokázat. Nebylo by lepší diskutovat o tom, co doopravdy píšu v této diskusi? A nebo nereagujte vůbec, když nemáte co říci k tématu. Holt nesdílím vaši víru ve všemocnou neschopnou NSA a chtěl bych ta tvrzení nějak doložit, což vy neumíte - no a co, tak to nechte být, snad dokážete žít s tím, že existují lidé, kteří vaši víru nesdílí.
Také je zajímavé, kolik lidí tady má potřebu psát, co jsem asi údajně měl napsat, a neumí to nijak dokázat. Nebylo by lepší diskutovat o tom, co doopravdy píšu v této diskusi?
Filipe Jirsáku, na tohle ale zareagovat musím.
Nejprve nemáte problém diskutovat o tom, co jste kdy napsal/nenapsal, a když se provalí, že jste velmi pravděpodobně prachsprostý lhář, tak vám najednou taková diskuse nevoní.
Viz vaše texty níže:
Zvláštní je, že vás nenapadlo, že svá tvrzení podpoříte odkazem na nějaký můj komentář – třeba by vám po marném hledání došlo, že se věci mají trochu jinak.
Nepsal jsem nic takového, a nemyslím si, že by „to byl nějaký jiný Jirsák“. Takže klidně dohledávejte.
Toho lháře jsem dal tlustým fontem proto, že mě vaše chování opravdu nadzvedlo. Čekal bych, že se omluvíte, případně vymluvíte na alzheimera, a ne že utečete v okamžiku kdy se věc provalí.
Titulek mi připadá absurdní. V linkovaném PDF vidím čtyři zranitelnosti, z toho věc mají high severity. Na jeden audit jsou čtyři vulnerabilities až dost.
Navíc existuje zásadní rozdíl mezi "je bezpečný" (tedy nemá chyby) a "nepodařilo se najít žádnou chybu". To první znamená, že v kódu žádná chyba není. To druhé znamená jen to, že se ji při vynaložení nějakého úsilí nepodařilo najít, a další úsilí může a nemusí najít chyby.
Jen byste měl dodat, že ty čtyři zranitelnosti (včetně dvou "high") jsou toho druhu, že je extrémné obtížné jimi uživatele nějak postihnout. Z pohledu kryptologa jde o slabiny, i vážné - ale z kryptologického pohledu je prolomený AES jako celek (protože ho jde vyluštit rychleji než hrubou silou - skoro čtyřikrát rychleji, tzn. místo abyste na to potřeboval X milionů vesmírů, tak vám stačí (X/4) milionů vesmírů).
Druhý odstavec je jednoznačně pravdivý a měli by to všichni mít na paměti. Ale zároveň bych rád upozornil, že žádný jiný šifrovací nástroj nemá k dispozici tak rozsáhlou veřejně publikovanou bezpečnostní prověrku s tak dobrými výsledky. To je pro TrueCrypt velké plus, protože mu to dává aspoň nějaký podklad pro pocit bezpečí - konkurenční nástroje nemají ani to.
Prosimvám přestaňte diskutovat s Jirsákem, to absolutně nemá žádný smysl. Jirsák byl vždycky zastáncem státního šmírování a odpůrce osobních svobod a práva nevypovídat, v různých diskuzích dokonce vyjádřil podporu zrůdnostem typu povinnost vydat policii šifrovací klíče/hesla, jinak čelit vězení (jako to mají ve Velké Oceánii, pardon Británii).
Jirsákova agenda je jasná - nabádat lidi aby používali státu potenciálně přístupný BitLocker a zrazovat je od používání bezpečného TrueCryptu, ke kterému se stát nedostane (jak už ukázalo mnoho kauz např. v USA).
Ne, nejsem konspiračně-teoretický magor, abych si něco takového myslel. Ten to dělá zadarmo, je to pouze jedinec se svým vlastním totálně pokrouceným smyslem pro "spravedlnost" a "odpovědnost", který bere za jedinou svatou pravdu a snaží se ho vnucovat všem okolo. Takový užitečný idiot, co vám bude tvrdit "kdo nemá co skrývat, nemá se čeho bát" a podobná hesla (byť ne tak přímo, ale zaobalená v grafomanské omáčce).
myslim ze ta hlaska znela v originale "if you don't do anything wrong you have nothing to hide" a do zblbnuti ji opakoval hlavne Caesar Alexander pardon Keith Alexander - ja si tyhle 2 panovniky soustavne pletu....nevim cim to j :o)
No a na to je jen jedina odpoved: "I have nothing to hide from people I TRUST!"...which is definitely not NSA.....
pokud jde o tu vodni kuru kterou gratis poskytovali vybranym jedincum na Gitmo tak v nekolika hlavnich US TVs vystoupil vicekrat nakej vysokej sasek z armady a tvrdil - a pozor ted si vazne nedelam srandu!- ze ty vezni prej drzeli hladovku takze byli strasne dehydrovany a doktor doporucil je zavodnit - jenze vezni pri takovy akci obvykle nespolupracujou takze se to neda delat jako v nemocnici kapackama protoze by se mohla zlomit jehla a mohl by byt ohrozen veznuv zivot a tak holt byli dozorci NUCENY to udelat alternativne. Tak jim holt vrazili do zadku hadici a zavodnili je takhle. :o)))))) odborne se tomu rika prej "forced hydratation" Nevymejslim si =slysel jsem toho vola na vlastni usi........ A pak uz sem jen tise zasnul....... mozna bych to i nekde nasel.......
Příkladem budiž třeba diskuze pod zprávičkami na ABCLinuxu o omezování svobod ve Velké Británii, data retention, atp. a to i několik let zpátky (v případě že na tom budete trvat klidně dohledám, ale sáhněte si na své svědomí, vážně mi tu teď budete tvrdit, že jste věci v takovémto znění nepsal? Nebo to snad byl nějaký jiný Jirsák?)
Koukám, že jste si na ABCLinuxu změnil jméno z "Filip Jirsák" na "Fa & Bi", teď se vaše příspěvky hůře googlí... to byl účel? ;-)
Poslední co jsem našel bylo například zde, kde podporujete zákaz anonymizačních sítí (jako Tor a podobné):
http://www.root.cz/zpravicky/truecrypt-je-bezpecny-potvrzuje-i-druha-cast-auditu/
Ty starší příspěvky z minulosti se mi zatím vygooglit nepodařilo (nejspíš právě kvůli tomu změněnému jménu, byť si ve skutečnosti samozřejmě nemyslím, že jste ho měnil kvůli tomu). Ale svatosvatě přísahám, že si pamatuji diskuze, kde jste jako Filip Jirsák podporoval povinnost vydat šifrovací klíče, tak jako to mají ve Velké Británii (což odporuje právu nevypovídat). Nicméně tohle není zdaleka jediné, vaše názory jsou po dlouhá léta konzistentní (byť jakkoliv zvrácené), to se vám musí nechat :-)
Ups, špatný odkaz, sorry. Tak ještě jednou:
http://www.abclinuxu.cz/zpravicky/navrh-zakazu-pouzivani-anonymizeru-na-slovensku
Nemusíte s ním souhlasit, ale má dost dobré argumenty. Zřejmě nejlepší bylo tohle:
Jak vidíte, všechny možné varianty vývoje TC znamenají, že v tom má prsty NSA. Akorát u té poslední varianty by to chvíli trvalo, než by na to konspirační teoretici přišli, sami by si toho nevšimli, musel by do nich někdo šťouchnout.
Na to nikdo nedokázal smysluplně odpovědět. Víte co je to falzifikovatelnost?
já v tomto s Filipem Jirsákem souhlasím. Určitě není jediným vysvětlením zásah tajné služby.
Vysvětlení je mnoho, např. autor je frustrovaný z toho, že na vývoj nikdo nepřispěl, a tak za sebou třískne dveřma a doporučení bitlockeru je ironie.
S Filipem Jirsákem nesouhlasím v tom, že on jako jedinou možnou pravdu považuje to, že autoři TC opravdu a zcela vážně doporučují přechod na bitlocker.
Autoři opravdu a zcela vážně doporučují přechod na nativní implementaci v daném systému. Což dává dost dobrý smysl, protože žádná implementace nebude bezpečnější, než samotný systém, a zároveň není důvod bezpečnost případně oslabovat na úrovni toho vestavěného systému (a jiným nástrojům umožnit bezpečnost vyšší), když by bylo možné bezpečnost snížit už na úrovni systému (a tím pádem ovlivnit všechny nástroje).
Jinak já to nepovažuju za jedinou možnou pravdu, ale ostatní varianty mi připadají jako velmi nesmyslné. Mohl byste nějakou - podle vás reálnou - variantu napsat? A vynechte prosím vás tu, jak NSA za obrovské prachy vypátrala autory a uplatila je, aby ukončili vývoj, a pak už jim v rozpočtu nezbyly drobné na copywritera a HTML kodéra, kteří by zasadili vysvětlení do původního designu stránek a vysvětlení sepsali tak, aby "nedávalo prostor ke spekulacím". Už jsem se dnes nasmál dost.
NSA za obrovské prachy vypátrala autory a uplatila je, aby ukončili vývoj, a pak už jim v rozpočtu nezbyly drobné na copywritera a HTML kodéra, kteří by zasadili vysvětlení do původního designu stránek a vysvětlení sepsali tak, aby "nedávalo prostor ke spekulacím". Už jsem se dnes nasmál dost.
Smát se můžete leda tak sám sobě:
Americké tajné služby nemohou dělat to, co ruské služby dělaly v Čečensku nebo v Londýně. A dokonce američani ani nemohou zabavit někomu web s bezpečnostním software a nasadit tam svou verzi.
Američani ale mají dostatečné páky na to nepohodlný soft zastavit (nejde o revolver u hlavy, ale o soudy):
TC by nebyl první bezpečnostní soft, do kterého se NSA nepodařilo nastrčit zadní vrátka, avšak majitel musel zavřít krám.
viz Lavabit, Silent Circle etc. (i kdyz tady se angazovala spis FBI abysme hochum od NSA nekrivdili) a kdyz majitel zadnej kram nema tak ho budem aspon drobet buzerovat pripadne na nej zkusime neco naraficit: http://en.wikipedia.org/wiki/Nadim_Kobeissi "...Detention and entrapment attempt - Kobeissi was detained and questioned at the U.S. border by the DHS in June 2012 about Cryptocat's censorship resistance. He tweeted about the incident afterwards, resulting in media coverage and a spike in the popularity of Cryptocat. Kobeissi was regularly searched and questioned whenever he flew in the U.S. in 2012. In 2012, the FBI attempted to entrap Kobeissi using Sabu – an American hacker involved with LulzSec, an offshoot of Anonymous – as an undercover informant.......
Tech pripadu kdy US gov zametla s nekym kdo se jim nehodil do kramu je mnoho, nektere skoncily tragicky: The Internet's Own Boy: The Story of Aaron Swartz https://www.youtube.com/watch?v=vXr-2hwTk58 a nepomuze vam ani ze jste IT genius, nezajimaji vas $ a chcete neco udelat pro lidi (pripadne poukazete na korupci v systemu=to uz se rozhodne neodpousti)
Není třeba chodit do ciziny, podobné věci se dějí i v ČR.
http://zpravy.idnes.cz/lide-z-bis-tlacili-na-podnikatele-za-prolomene-sifrovani-nabizeli-penize-14p-/domaci.aspx?c=A100912_210704_domaci_mad
Nadim Kobeissi nešel do ilegálních aktivit, a je v pohodě. Aaron Swartz se dopustil více trestných činů, dostali ho, a nedal to.
Tak nevim, jak to bylo s temi trestnymi ciny, kdyz na Wikipedii pisi: "Facing almost certain incarceration for alleged offenses about which the victims, M.I.T. and JSTOR, declined to pursue civil litigation, Swartz committed suicide on January 11, 2013." Vsimnete si hlavne "M.I.T. and JSTOR, declined to pursue civil litigation". Kde neni zalobce, neni soudce, kdyby se do toho nesrali lidi, kteri si na tom chteli nahanet politickou karieru nebo co.
To jsou základy práva. Trestný čin vyšetřuje policie (a nese k soudu státní zástupce) ve vlastní režii. Jinými slovy žalobcem je stát. Příkladem může být krádež nebo vražda.
Naopak občansko-právní řízení zahajuje poškozený v roli žalobce, a musí před soudem provést dokazování.
V řadě případů se oba přístupy kombinují. Pokud například někoho usmrtíte z nedbalosti (řekněme při dopravní nehodě), jedná se o trestný čin, a dostanete v základu ž tři roky odnětí svobody (§ 143). Nicméně pozůstalí mohou (a nemusí) *navíc* vymáhat škodu v občansko-právním řízení. Ve většině případů se v občansko-právním řízení bere v úvahu výsledek trestního řízení.
V jiných případech to může být komplikovanější. V USA vás mohou odsoudit pro trestný čin jen pokud je vina prokázána bez možnosti vážného zpochybnění (beyond reasonable doubt). V občansko-právním řízení stačí dokázat, že verze žalobce je pravděpodobnější než verze žalovaného (the standard is met if the proposition is more likely to be true than not true). Pěkně to můžete vidět v případu O. J. Simpsona, který nebyl odsouzen za vraždu, protože podle soudu neexistovaly důkazy, které by vraždu prokázaly bez možnosti vážného zpochybnění. V občansko-právním sporu ale pozůstalí uspěli a dostali $33.5M USD, protože se jim podařilo dokázat, že O. J. Simpson čin spíš spáchal než nespáchal.
Jinými slovy to že se M.I.T. a JSTOR nepřipojili k občansko-právnímu řízení není pro trestní řízení podstatné.
Ale že se to těm Amíkům podařilo, že jo? Zatímco před jejich zásahem každý kdo chtěl, používal TC 7.1a, TC se dál nevyvíjel, dneska každý, kdo chce, používá TC 7.1a, TC se dál nevyvíjí a existuje několik jeho forků, přičemž některé mají ambice dál se vyvíjet. Takže to vypadá, že vlastně Američanům připadalo, že lidé málo šifrují a chtěli šifrovací nástroje trošku zpopularizovat.
Jinak nevidím rozdíl v tom, pokud by soud hypoteticky nařídil ukončit vývoj TC a doporučit přechod na nativní šifrování implementované v OS, a kdyby třeba nařídil ukončit vývoj TC s odůvodněním, že na to autoři nemají čas. Nebo-li pořád si myslím, že pokud někdo donutil autory TC skončit jeho vývoj (což vůbec nedává smysl), ten samý subjekt měl i plnou moc rozhodnout o tom, jak bude stránka s informacemi o ukončení vývoje vypadat. Takže pokud si myslíte, že záměrem tvůrce té stránky bylo vyvolat spekulace, a sám o tom spekulujete, děláte přesně to, co ten subjekt chtěl. A teď může někdo další začít rozvíjet spekulace, co asi americké tajné služby sledují tím, že chtějí, aby Slowthinker spekuloval o důvodech ukončení vývoje TC.
Proč by měla být varianta NSA (respektive NSL dopis) nesmyslná? Vždyť by to zdaleka nebyl první případ, už to tu bylo, viz třeba Lavabit. NSA vystopovala autory TrueCryptu (je to víc než dostatečně high profile projekt, aby jim to za tu námahu stálo - navíc ze Snowdenových leaků víme, že to pro ně nemuselo být zas až tak těžké, QUANTUM INSERT byl/je mocná zbraň). Ti dostali NSL dopis přikazující, že tam mají přidat zadní vrátka (a nesmějí o tom samozřejmě mluvit, jak už to u NSL dopisů bývá).
Mohli sice jednoduše zavřít krám, tak jako to udělal Lavabit, ale protože byli anonymní, projekt by místo nich mohl převzít kdokoliv z NSA (FBI, atp.) a zadní vrátka přidat místo nich. No a jak lépe upozornit uživatele TrueCryptu, aby si dali pozor (pokud jim nesmím dát přímo vědět), než že doporučím proprietární šifrování z dílny Microsoftu, což je pro pro všechny lidi z oboru doslova a do písmene červená vlajka? Mě to přijde jako geniální řešení :-)
Jinak k námitkám které jste měl u podobného komentáře výše - NSA samozřejmě není neschopná. Ale naštěstí ani není všemocná a NSL dopisy dávají vládním složkám jen určité pravomoci (což už dokázal Lavabit, kteří taky měli možnost zavřít krám a zadní vrátka tam pro ně tedy nedat).
Takže podle vás má NSA možnost přikázat vložit do kódu backdoor, má možnost zakázat o tom mluvit, ale nemá možnost přikázat vložit určitý text do HTML stránky? Můžete alespoň naznačit, jak by taková pravomoc přibližně byla formulována?
Dále ukončení vývoje znamenalo vznik několika forků. Proč na ně ta pravomoc neplatí? A proč stejný postup jednoduše nepoužili autoři TC?
A konečně, jedna věc je mít legální možnost vydat nějaký soudní příkaz, druhá věc je ten soudní příkaz poslechnout. Chápu, že zavření firmy nebo vězení pro majitele, když patří pod jurisdikci USA, je dostatečnou hrozbou. Ale co by bylo tou hrozbou pro autory TC? Že NSA zveřejní jejich identitu?
Takže podle vás má NSA možnost přikázat vložit do kódu backdoor, má možnost zakázat o tom mluvit, ale nemá možnost přikázat vložit určitý text do HTML stránky?
Mike jasně říká, že NSA má omezené pravomoci.
Jedna věc je dosáhnout vložení kódu do softu, ale jiná věc je převzít vývoj nebo webové stránky zcela pod svou kontrolu. To by sotva nějaký soud v USA povolil.
v případě Lavabit taky NSA dokázala získat klíč, ale už nepřinutila Lavabit pokračovat ve vývoji nebo převést firmu na NSA. Takže nakonec se úsilí NSA v podstatě minulo účinkem.
Dále ukončení vývoje znamenalo vznik několika forků. Proč na ně ta pravomoc neplatí? A proč stejný postup jednoduše nepoužili autoři TC?
Já na rozdíl od vás do hlavy autorům TC nevidím, ani netvrdím, že TC 7.2 vydali původní autoři.
(Ne)autoři TC nejenom že neforkovali, ale dokonce před forky varují.
o tom proč by to mohli dělat spekuluje Mike. Vyhledejte si "Mohli sice jednoduše zavřít krám, tak jako to udělal Lavabit"
On by ten soud nepovolil ani nutit někoho k obecné úpravě software. Navíc pořád nevidím ten rozdíl mezi "napište do programu tohle" a "napište na webovou stránku tohle".
tom proč by to mohli dělat spekuluje Mike
To je sice hezké, ale to pořád vychází z předpokladu, že někdo autory TC k něčemu nutil a oni tomu částečně podlehli. Jenže já jsem zatím nezaznamenal jediné věrohodné vysvětlení, proč by takový předpoklad měl být splněn. Zatím nejvěrohodnější vysvětlení bylo: Možná asi by v USA teoreticky mohl platit zákon, který by umožnil soudu přikázat vložení backdooru do kódu - přičemž případ Lavabit ukazuje, že takový zákon neexistuje, ale toho si nebudeme všímat - a zároveň ten neexistující zákon umožňuje přikázat autorům, aby na webu doporučili BitLocker, ale už neumožňuje přikázat, aby to udělali tak, aby tomu věřil i Slowthinker. Když zároveň uvážíme, že není úplně vyloučeno, že všichni autoři TC spadají pod jurisdikci USA, máme tu velmi silné podezření, že by se možná někdo i třeba mohl domnívat, že má nejasné tušení, že se možná něco trošku to. A určitě v tom jede NSA, tím pádem je všechno jasné. Nezlobte se na mě, ale když to porovnám s variantou, že autoři už dva roky nevydali novou verzi, nemají už na ten projekt čas, navíc už existují alternativy zabudované přímo v OS, tak se rozhodli, že než ten projekt nechat potupně vyhnít, že ještě jednou udělají co je správné, a ten projekt prostě férově ukončí a uživatelům dají jasně najevo, ať už od nich nic nečekají - vidíte ten rozdíl? Žádné nadpřirozené jevy, žádné neexistující zákony, žádná neschopná všehoschopná NSA, a jediný předpoklad - že autoři na TC prostě už neměli čas. Což musí napadnout každého, kdo se podívá na časovou osu vydání jednotlivých verzí a vidí to nápadné prázdno na konci.
Protoze hodili do placu spatne zduvodnene informace.
Kdyby napsali neco jako "Je nam lito, nemame na to cas. TC je funkcni, o zadne chybe nevime, ale doporucujeme migraci jinam, protoze zadne dalsi chyby opravovat nebudeme." *), tak samozrejme stale bude spousta spekulaci, ale bylo by celkem jasne, co se snazi zdelit. Z toho, co psali nebylo jasne, zda o nejake vazne chybe vedi, zda tim mysli proste to, ze neni podpora...
O tom, ze dat volnou ruku dalsim lidem k udrzbe kodu (trebas i s tim, ze by nesmeli pouzivat brand TC) by neuskodilo nemluve.
Nekomunikovali zretelne stav, duvody, prakticky nic. Samozrejme je to jejich pravo, ale pochvalu si to nezaslouzi. Dost lidi jim dalo svou duveru a asi by si zaslouzili maximum informaci pro dalsi rozhodovani.
*) nebo trebas i "...vime o chybe, ktera dela TC nebezpecny za tech a tech podminek. Detaily zverejnime tehdy a tehdy, do te doby je dost casu pro migraci..."
Ad Dost lidi jim dalo svou duveru a asi by si zaslouzili... - aha. Autoři TrueCryptu napíšou a odladí kód. Uživatelé ho bez jakékoliv protihodnoty používají, a když vývojáři skončí, tak si uživatelé "zaslouží"... Co si zaslouží? Za co si zaplatili, ať už penězi nebo jinak?
Přesně tak to cítím, jak to Ondra Satai Nekola říká, uživatelé si zaslouží (třeba hodinu práce navíc s vysvětlením)
Já osobně mám radost z toho, že můj bezplatný soft někdo užívá. A i když z toho nemám ani korunu, snažím se uživatelům vyjít v rámci možností vstříc.
Ale tvůrci TC samozřejmě mají právo na jiný úhel pohledu.
V každém případě bych pokládal za užitečnější, kdyby tvůrci TC (nebo kdo to byl) věnovali tu hodinku na vysvětlení než celý den na popis jak přejít na bitlocker.
To jste popsal tu alibistickou variantu, kdy si autoři TC umyjí ruce, zbaví se zodpovědnosti a tváří se, že vůbec netuší, co bude následovat. Tak by asi jednala spousta lidí.
Ve skutečnosti se ale autoři zachovali v duchu předchozí tradice TC - jednali tedy podle toho, že hlavní díl zodpovědnosti je na nich jako na odbornících. Když už nedokázali tuto zodpovědnost nadále naplňovat, napsali o TC plnou pravdu ("není bezpečný, protože může obsahovat neopravené bezpečnostní chyby" - k tomu se nedá napsat víc)a udělali vše pro to, aby uživatelé TC přestali používat (tedy aby ta zodpovědnost dál nebyla na autorech TC). Podle mne si to pochvalu zaslouží, protože by se tak nezachoval zdaleka každý a řečmi o tom, jak se přece každý může sám rozhodnout by to nechal vyhnít. Na druhou stranu mne ten jejich postup nijak nepřekvapuje, protože jednali přesně v duchu toho, proč vůbec TC vznikl - že bezpečnost je zodpovědností bezpečnostních expertů, kteří mají uživateli předložit něco, co uživatel prakticky ani nemůže používat jinak, než bezpečně.
napsali o TC plnou pravdu ("není bezpečný, protože může obsahovat neopravené bezpečnostní chyby" - k tomu se nedá napsat víc) a udělali vše pro to, aby uživatelé TC přestali používat
LOL
- "může obsahovat neopravené bezpečnostní chyby" - to ale o TC platí od doby jeho vzniku
- neopravené bezpečnostní chyby může obsahovat každý šifrovací soft
Podle vaší logiky tedy každý zodpovědný autor šifrovacícho softu svůj soft stáhne z webu a doporučí jej nepoužívat (a také autoři TC to měli udělat už dávno) ...
... snad kromě situace, kdy proběhne důkladný audit.
Takže všichni by měli své softy stáhnout, včetně bitlockeru. Jenom TC měl zůstat a vyčkat na výsledek auditu.
Vy evidentně pořád nechápete, co byl TrueCrypt. TrueCrypt vznikl proto, aby uživatelé bez zvláštních znalostí mohli snadno používat šifrování souborů. Proto vznikl jako GUI klikací aplikace pro Windows, která od uživatele nevyžaduje žádné zvláštní znalosti, a zpřístupní mu šifrovaný disk jako další „písmenko disku“, se kterým může pracovat přesně tak, jako pracoval dosud s jinými disky.
Starost o bezpečnost je tím pádem starostí autorů aplikace, to oni jsou ti, kteří si uvědomují, že TC může obsahovat neopravené bezpečnostní chyby, ale oni se starají o to, aby to tak nebylo.
Jenže když přestanou TC podporovat, přestanou se o ty potenciální bezpečnostní chyby starat, tím pádem není bezpečné ten program používat.
Používat bezpečnostní program se známou bezpečnostní dírou je trochu na nic. Jenže když nějaký bezpečnostní program používáte, nikdy nevíte, zda druhý den nebude zveřejněna zásadní bezpečnostní díra. A když se to stane, existují dvě možnosti – buď je ten program udržovaný, a se zveřejněním té díry je už dost možná zveřejněná i záplata, nebo se na ní alespoň pracuje. Druhá možnost je, že program udržovaný není – a v tom okamžiku jste v té situaci uživatele používajícího bezpečnostní software se známou bezpečnostní dírou, a hledáte, jak rychle přejít na nějaký jiný software. To je důvod, proč není bezpečné používat neudržovaný bezpečnostní software, i když zatím není známá žádná jeho bezpečnostní chyba.
Mimochodem, proto také bylo správné přemigrovat uživatele TC jinam ještě před koncem toho auditu – protože právě tím víc hrozilo, že se najde nějaká bezpečnostní díra a spousta uživatelů TC by se ocitla v situaci, že mají děravý software, za který nemají náhradu.
Ale oceňuju, že jste ten argument konečně vzal na vědomí a začal se jím zabývat.
Vysvětlení, proč je chování vydavatelů verze 7.2 podivné, jste už dostal několikrát.
Ovšem já jsem na to vysvětlení několikrát reagoval, že na něm nic podivného nevidím, naopak mi připadá správné. A podrobně jsem vysvětloval proč.
V kruhu se netočím já, já na vaše argumenty reaguju. To vy to vracíte zpět, kdy mé argumenty ignorujete a pouze zopakujete své původní tvrzení. Rozporoval jste snad nějak, že zodpovědné je snažit se uživatele přesvědčit, aby software přestali používat? Nerozporoval, jenom jste zopakoval, že chování autorů je podivné. Reagoval jste nějak na to, že autoři zdůvodnili ne-bezpečnost tím, že může obsahovat neopravené bezpečnostní chyby? Ne, nereagoval, pouze dál tvrdíte, že to autoři nijak nezdůvodnili. Mohl byste napsat, že to pro vás odůvodnění není a proč, mohl byste napsat, že to pro vás není relevantní důvod, mohl byste na to reagovat spoustou jiných způsobů. Ale vy ne, vy se dál tváříte, že ta věta na stránkách vůbec neexistuje.
Navíc pořád nevidím ten rozdíl mezi "napište do programu tohle" a "napište na webovou stránku tohle".
Vysvětlím to podruhé a jinými slovy:
"napište na webovou stránku tohle" se možná i stalo. Ale to je něco jiného než "předejte webové stránky do rukou NSA, ať si tam píšou co chtějí".
Srovnejte si to, když se někdo soudí s novinami a chce omluvu. Soud přikáže text omluvy, ale už nepředá noviny do rukou žalobce ani nezabrání vydavateli aby k textu omluvy nepřidal svůj komentář.
autoři už dva roky nevydali novou verzi, nemají už na ten projekt čas, navíc už existují alternativy zabudované přímo v OS, tak se rozhodli, že než ten projekt nechat potupně vyhnít, že ještě jednou udělají co je správné, a ten projekt prostě férově ukončí a uživatelům dají jasně najevo, ať už od nich nic nečekají
To je ale taky spekulace, stejně jako je spekulace to o NSA. Zatímco já připouštím, že to o NSA je jenom spekulace, vy jste od začátku přesvědčený, že vaše křišťálová koule nebo z čeho to věšíte nelže.
O tom, proč vaše spekulace kulhá, se tu už mluvilo několikrát:
ukončení je náhlé a bez varování, zastánci open source najednou doporučují closed source, varují před svým software ale neřeknou nám proč, nepřejí si forky, stáhnou zdrojáky, nemají už na vývoj čas a přesto vydají novou verzi 7.2, která nepřináší nic nového
Ale to se pořád točíme v kruhu. Oba opakujeme, co jsme už řekli. Vás to ještě baví?
a ještě dvě podivnosti přidám:
- ukončení je nejenom náhlé, ale hlavně bez komunikace
- ukončení TC a vyjádření, že TC není bezpečný, přichází v době, kdy probíhá audit TC. Pokud by audit prokázal zásadní chyby, dávalo by ukončení smysl. Ale v opačném případě je ukončení TC a ukončení komunikace ještě podivnější.
Já jsem ale nepsal nic o předání webové stránky do rukou NSA. Psal jsem přesně o tom "napište tam tohle".
"napište na webovou stránku tohle" se možná i stalo
Takže to možná schválně NSA udělala tak, aby o tom Slowthinker a další spekulovali. A Slowthinker o tom spekuluje, záměr NSA se tedy daří. Každý konspirační teoretik se tedy musí ptát, co tím Slowthinker sleduje, že naplňuje plány NSA?
vy jste od začátku přesvědčený, že vaše křišťálová koule nebo z čeho to věšíte nelže.
Nikoli. Já jenom tvrdím, že není spekulace jako spekulace. Že to, že se někdo v určité době věnuje opensource, ale později už na to nemá čas, se stalo už mnohokrát, takže není důvod, proč by se to nemohlo stát znova. A že proti tomu stojí spekulace, ve které mimo jiné Slowthinker plní plány NSA, a že takovýchhle spekulací si dokážu navymýšlet miliony, navzájem si odporujících.
ukončení je náhlé a bez varování
Jistě, dva roky bez jakékoli verze, nevyslyšená žádost o podporu, ale zapomněli praštit Slowthinkera lopatou po hlavě, takže to bylo náhlé a bez varování.
zastánci open source najednou doporučují closed source
Autoři TC nebyli žádní zastánci opensource, opensource pro ně byl jenom nástroj, ne moc podstatný. Vždyť začali vyvíjet software pro Windows, zdrojáky zveřejnili jen kvůli možnosti bezpečnostního auditu, ty nebyly určené k tomu, aby se z nich program běžně překládal, a už vůbec se nepočítalo s tím, že bude do projektu přispívat někdo další. Kdyby byli autoři TC zastánci opensource, naprogramují šifrování do Linuxového jádra (což později udělal někdo jiný). Navíc oni nedoporučují closed source, oni doporučují nativní šifrování na dané platformě. Které např. na Linuxu není closed source.
varují před svým software ale neřeknou nám proč
"it may contain unfixed security issues" Umíte tu větu přečíst? Rozumíte jejímu významu?
nepřejí si forky, stáhnou zdrojáky
Samozřejmě, protože už za to nechtějí nést zodpovědnost. Alibista by prohlásil, že uživatelé už bezpečnosti rozumí stejně dobře, jako on, a ať se sami rozhodnou. Zodpovědný bezpečnostní expert udělá vše pro to, aby to lidé přestali používat.
nemají už na vývoj čas a přesto vydají novou verzi 7.2, která nepřináší nic nového
Ta verze ukončuje TC.
Oba opakujeme, co jsme už řekli.
Přesněji řečeno vy jste něco napsal, já jsem na to reagoval, a vy tu reakci ignorujete a tvrdíte pořád dokola to samé.
@ Mike- myslim ze si muzete pripsat plnej pocet bodu za bezchybnou logickou uvahu :o) tak nejak to klidne mohlo byt. Jen je otazka jestli tvurci jsou Americani ci residenti USA pak by melo smysl mluvit o NSL+gagorder. Posilat NSL developerum treba z CCC v Nemecku by asi nemelo valny efekt. Navic tenkrat kdyz TC skoncil a vsichni to hrozne resili tak se mluvilo i o tom ze PRVNE ta TC domena byla registrovana na nejake CESKE jmeno+adresu...... smyslenou samozrejme. Docela by me zajimalo jestli v ceskem pravnim radu existuje neco na zpusob NSL?? Je tady nekdo z BISky ze by nam to vysvetlil? :o))) Anebo aspon jaky je pravni nazor naseho mistniho experta Filipa Jirsaka? on a Klaus maji odpoved na vsechno, urcite bude vedet i tohle :o)
Tak samozřejmě celá ta má úvaha stojí a padá na tom, že autoři TrueCryptu jsou z USA. Celý ten cirkus s českou doménou a pod. v minulosti mohla být jen jejich snaha o odvedení pozornosti amerických úřadů.
Pokud by byli třeba z Ruska, tak by podobný scénář nefungoval, tam by bohužel ani "luxus" NSL neměli a buď by prostě s FSB kooperovali, nebo skončili pod drnem (rusofilové možná budou protestovat, ale taková je realita, stačí se podívat do nedávné historie Putinova panství).
Česká Policie ani BIS naštěstí takové možnosti nemá (alespoň ne zákonné) a pokud by byli autoři v ČR, nijak by je ke kooperaci donutit nemohla (a nejsme v totalitě, aby jim prošly praktiky FSB). Naše Ústava a Listina základních práv a svobod na tom naštěstí není tak špatně a naši zákonodárci až na pár excesů si s ní ještě nezvládají natolik vytírat zadek jako to aktuálně činní v USA s jejich Ústavou...
Ad pokud by byli autoři v ČR, nijak by je ke kooperaci donutit nemohla - ehm... pokud by udělali chybu, tak samozřejmě mohla.
http://www.root.cz/zpravicky/truecrypt-je-bezpecny-potvrzuje-i-druha-cast-auditu/538360/
Stačí znát zákony (viz třeba jak je uvedeno v samotném článku, který jste linkoval):
"Bezpečnostní a informační služba nesmí podle zákona nikoho vyslýchat, zadržet, ani k ničemu nutit."
Jak už psal váš předřečník výše - nežijeme v totalitě, aby tu BIS mohla provozovat praktiky jako ruská FSB. Holt to zkusili, ale nevyšlo jim to, tak museli sklapnout a jít o dům dál.
Máte dost mizernou fantazii. Co takhle:
- Autoři řekli, že už to nechtějí dělat zdarma, produkt zkomercializovali, ale nikdo ho nekupoval tak zkrachovali.
- Autoři řekli, že z toho chtějí mít nějaké peníze a že pokud se do měsíce nevybere dost peněz na pokrytí jejich živobytí na dva roky, tak s tím praští no a protože se nevybralo, tak s tím praštili.
Oba dva tyto případy by zavdávaly minimum důvodů k dohadům, proč byl vývoj ukončen.
Nicméně co se stalo je, že vývoj byl ukončen najednou, bez jakéhokoli předchozího varování/oznámení a navíc s dost podivným komentářem.
Teď zvážíme dvě možná vysvětlení:
A) Autorům se stalo totéž, co provozovateli Lavabitu, jen v soudním rozhodnutí bylo navíc uvedeno, že o něm nesmí mluvit. Tak se to alespoň pokusili naznačit nesmyslným oznámením o ukončení.
B) Autoři se jednou strašně opili a v alkoholem indukované sebelítosti se rozhodli, že zahodí X let práce a ukončí jeden z nejúspěšnějších SW v daném oboru. A ještě k tomu napíší kryptickou zprávu na web, ať si BFUčka lámou hlavičky.
Ať se na to koukám jak se koukám, tak mnohem jednodušší je vysvětlení A.
Co by při neprávním základu bránilo NSA nebo komukoli jinému nadiktovat si, jak přesně má to ukončení vývoje vypadat? Tedy že stránka s oznámením o ukončení vývoje bude vypadat tak, aby jí důvěřoval i Slowthinker? (A nebo to v podmínkách bylo a Slowthinker má teď na svědomí zatčení syna autorů TC za držení heroinu.)
<konspiracni_teorie> Treba presne to udelali. Vyvolali kontroverzi, nasledne nikdo neeri TC, spousta uzivatelu vezme doporuceni vazne a skonci u BL. A BL treba maji dostatecne osefovany. Veci jsou presne tak, ja je soudruzi z NSA chteli. </konspiracni_teorie>
Tak jsme si krasne zakonspirovali, tak toho nechme, nez skoncime u sedych ufonu. I kdyby to nakrasne byla pravda, tak dukazy neziskame, pokud bych ziskali, mohli bychom se tesit jeste tak asi na pul hodinu zivota.
FBI udajne vyzvedla 2 maly holky o ktery se tou dobou staral a pak mu rekli ze jeho samotnyho ted seberou a deti pujdou automaticky do decaku protoze jejich matka (=hackerova teta) sedi toho casu ve vezeni, coz asi bylo duvodem proc -> Since literally the day he was arrested, the defendant has been cooperating with the government proactively," sometimes staying up all night engaging in conversations with co-conspirators to help the government build cases against them, Assistant U.S. Attorney James Pastore said at a secret bail hearing on August 5, 2011. A few days after that bail hearing, Monsegur entered a guilty plea to 12 criminal charges, including multiple counts of conspiracy to engage in computer hacking, computer hacking in furtherance of fraud, conspiracy to commit access device fraud, conspiracy to commit bank fraud and aggravated identity theft. He faced up to 124 years in prison
http://en.wikipedia.org/wiki/Hector_Monsegur
v utery vecer Steve Gibson ve svem pravidelnem tydennim podcastu rozebral jednotlive "nalezy" auditu TC a vysvetlil "polopaticky" co ktera chyba znamena +a nakolik je zavazna ci zanedbatelna v realnem svete.
http://twit.tv/show/security-now/502
zacatek preskocit a samotny pokec o auditu zacina na 1h09m33s.
Textovy prepis podcastu v PDF ci TXT byva ke stazeni cca o 2 dny pozdeji zde:
https://www.grc.com/securitynow.htm
Posledni dil Last Week Tonight Show prinesl neocekavany rozhovor ktery behem 4dni shledlo 4,2milionu divaku.
Jelikoz 1.cervna by mel US kongres schvalovat prodlouzeni tzv. Patriot Act- coz je zakon umoznujici takrka plosne fizlovani vseho a vsech pod plastikem boje proti terorismu John Oliver se snazi vtipnou formou probudit Americkou populaci z letargie. Zaroven ukaze (pro nas Evropany ponekud sokujici) uroven znalosti pojmu Snowden v USA. Pri rozhovoru v Moskve vyvede dokonce notne z miry i samotneho Snowdena :o)
Klobouk dolu pred stanici HBO ze takovy porad pripravila a odvysilala.
Zde i s ceskymi titulky: http://www.videacesky.cz/ostatni-zabavna-videa/sledovani-vladou-usa
Na YT: Last Week Tonight with John Oliver: Government Surveillance (HBO) https://www.youtube.com/watch?v=XEVlyP4_11M#t=1881