Аудит TrueCrypt-а.
Oct. 25th, 2013 08:23 am![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
vitus_wagnerНарод развлекается аудитом TrueCrypt-а, а также доказательством того,
что официальный релиз действительно собран из опубликованных исходников.
Очень интересное чтение.
Особенно показательно то, что введение нового уровня защиты (подпись бинарников) создает новые угрозы. По крайней мере репутационные. Невнимательный исследователь может прийти к выводу, что распространяемые бинарники не вовспроизводятся из распространяемых исходников как раз из-за подписи, которую, естественно, без секретных ключей не воспроизвести. Да и с секретными ключами во всех алгоритмах подписи, основанных на схеме Эль-Гамаля (DSA, ECDSA, ГОСТ Р 34.10 всех лет) , участвует случайное число. Которое не воспроизведешь.
что официальный релиз действительно собран из опубликованных исходников.
Очень интересное чтение.
Особенно показательно то, что введение нового уровня защиты (подпись бинарников) создает новые угрозы. По крайней мере репутационные. Невнимательный исследователь может прийти к выводу, что распространяемые бинарники не вовспроизводятся из распространяемых исходников как раз из-за подписи, которую, естественно, без секретных ключей не воспроизвести. Да и с секретными ключами во всех алгоритмах подписи, основанных на схеме Эль-Гамаля (DSA, ECDSA, ГОСТ Р 34.10 всех лет) , участвует случайное число. Которое не воспроизведешь.
