TrueCrypt będzie miał audyt kodu źródłowego?

TrueCrypt będzie miał audyt kodu źródłowego?

    przez -
    36 799
    Bezpieczeństwo i szyfrowanie
    Od ponad dekady na rynku istnieje znany wszystkim TrueCrypt, narzędzie do szyfrowania wszystkiego co się da. Jest ono w pełni wolnym oprogramowaniem, przez co budzi duże zaufanie wśród firm, które muszą dbać o swoje wrażliwe dane. Jednakże od jakiegoś czasu wielu zadaje się jedno poważne pytanie – kto w ogóle stworzył TrueCrypta? Nigdzie nie ma informacji o prawdziwym autorze, co budzi pewne podejrzenia, szczególnie związane z ostatnimi wyciekami o NSA.

    Dlatego środowisko kryptografów postanowiło rozwiać wszelkie wątpliwości i zrobić pełny audyt kodu źródłowego aplikacji. Potrzebne do tego są pewne fundusze i założono dwie kampanie fundacyjne: A public TrueCrypt Audit na FundFill oraz The TrueCrypt Audit na Indiegogo. Uzbierano już łącznie około 35 000 dolarów, z czego 10 000 wpłaciła firma z Atlanty, zajmująca się bezpieczeństwem.

    • Dobre wieści. Fajnie by było, gdyby częściej fundowano takie audyty dla programów o otwartym kodzie.

      • o_O

        Nie dość, że otwarte, to jeszcze zaudytowane, a więc zaufane? Czyli dokładnie odwrotnie niż w przypadku zamkniętego oprogramowania.
        Rozumiem, że Twoje życzenie jest z serii "dokopać leżącemu", żeby closed source już się nie podniosło?

      • Nie do końca rozumiem co ma moja wypowiedź do serii "dokopać leżącemu" i closed source (a może tak dla odmiany piszmy po polsku?).

        Co do programów własnościowych to nie wypowiem się, ale jeśli program ma otwarty kod to ok. Tylko, że ja nie jestem w stanie sprawdzić, przeglądając go, czy jest cacy. Brakuje umiejętności a już o czasie nie wspominając. Dlatego taki audyt, robiony przez fachowców (pytanie tylko na ile godnych zaufania?) to świetna sprawa. Przy okazji mogą natrafić na błędy, których wcześniej nie widziano. Same korzyści.

    • Lam_Pos

      Wreszcie świat pomału staje na nogach. A nie na głowie jak było do tej pory.
      Edwardzie Snowden, do czyjejkolwiek grasz bramki, dzięki ci za to co do tej pory zdziałałeś!
      Zdrowa porcja nieufności i stawianie sobie pytań takich jak powyższe o autorów TrueCrypta, jest moim zdaniem oznaką odzyskiwania przez ludzi zdrowego rozsądku. W odróżnieniu od dotychczasowej postawy – "zaufajmy korporacjom, bo one chcą dla nas dobrze".

      • o_O

        Stanie na nogach, jak zauważy, że każde zamknięte oprogramowanie to luka bezpieczeństwa.

      • miks

        To wszystko tylko pozór. Snowden też jest podejrzany – znalazł się akurat wtedy kiedy rząd USA zaczął mieć gigantyczne problem finansowe i jest świetnym odciągnięcem od innych spraw – w końcu i tak wszyscy wiedzieli, że rząd "szpieguję", a tak ktoś przygotował ładne prezentację (zresztą kto przechowuję prezentację z "Ściśle tajne" na dysku do którego ma dostęp byle pracownik NSA…) no i media i społeczeństwo uwielbia tematy o "wolności słowa".
        Co do kodu – jeśli nawet w Linuksie wciąż jest kod co do którego nie wiadomo do końca jak działa, to cóż, jak ktoś chcę to zawsze znajdzie sposób (niestety).

        "Stanie na nogach, jak zauważy, że każde zamknięte oprogramowanie to luka bezpieczeństwa. "
        Rozumiem, że znasz każdy zamknięty program aby to wysuwać takie fakty. Przecież luki mogą być wszędzie i są projekty open source gdzie też wiszą od lat błędy które są olewane, bo przecież po co je naprawiać – czy to znaczy, że każdy program z otwartym kodem jest pełen dziur? Naprawdę nie ma sensu przechodzić z jednej skrajności w drugą.

    • eeetam

      chodzi o audyt, certyfikat, etc, nie zaden brak autora czy nieznana magie dzialania :)

    • densnow

      Jeżeli ktoś sam sobie kompiluje TrueCrypta to pewnie ma jakiś tam poziom pewności że używa bezpiecznego programu ale co w przypadku gotowych binarek?

      • Żorżeta

        Najpierw musisz sam skompilować kompilator, żeby mieć pewność :P

      • ppss

        Kompilator którym kompilujemy też może mieć backdoora więc to nie pomoże

    • asfsfsaf

      TrueCrypt Foundation is the key

    • marcin

      Już NSA zadba by audyt wykonała firma zależna albo szybko ją uzależni odpowiednim dokumentem z tajnych sądów zajmujących się sprawami bezpieczeństwa narodowego. Tak czy inaczej, dziwne, że wcześniej nikt nie pytał kto normalny za darmo robi tak skomplikowane oprogramowanie, i nie zbiera za to choćby tylko laurów na spotkaniach developerów, specjalistów od bezpieczeństwa informacji.

      Nie od dziś wiadomo, że wywiady stosują taktykę prezentów po to by upowszechnić dany standard oprogramowania i samemu mieć wszystkie klucze do drzwi w instytucjach innych państw.

    • NoName

      @ Michał proszę o sprostowanie – TrueCrypt jest wydany na licencji "TrueCrypt Collective License"
      Nie jestem prawnikiem ani znawcą licencji, lecz moim zdaniem powyższa licencja jest podobna podkreślam podobna do freeware.

      Natomiast na wolnej licencji jest wydawany DiskCryptor – http://en.wikipedia.org/wiki/GNU_General_Public_L… niestety cieszyć się z niego mogą użytkownicy Windows.

      Użytkownicy Linuksa powinni raczej używać LVM i LUKS.

      Nie widzę powodu do zachwytu!

      Pzdr
      NoName

    • Pan Łukasz

      TrueCrypt nie jest w pełni wolnym oprogramowaniem. Jego licencja nie jest uznawana przez FSF. Czyli jest niewolny, co najwyżej można uznać, że gdzieś tam się pałęta w pobliżu wolnego oprogramowania, ale jest do niego jedynie podobne.

      • Pan Łukasz

        Co, prawda boli? Stąd te minusy? Poszukajcie se w internecie informacji, czy ta licencja jest uznawana za wolną. Poza tym zadajcie sobie pytanie czemu np. w Debianie, Fedorze nie ma tego programu.

      • Pan Łukasz

        I tak, to Free Software Foundation jest wyznacznikiem tego, jakie licencje są wolne, bo to Stallman stworzył pojęcie wolnego oprogramowania. To FSF utrzymuje definicję wolnego oprogramowania, a nie jakieś tam OSI czy inne dziwactwo.

      • pijaczek

        To jasne, że FSF jest wyznacznikiem wolnego oprogramowania (nie wiem po co pisałeś o OSI, która nie zajmuje się wolnym oprogramowaniem wcale, a tylko Otwartym Oprogramowaniem). TrueCrypt na szczęście nie jest częścią Free Software (i ich odbierających wolność licencji), a jest po prostu oprogramowaniem Open Source (a tu już wyznacznikiem zdecydowanie jest OSI).

      • Pan Łukasz

        O, toś się sam podłożył synek. Licencje BSD, które są częścią Free Software, potraktowałeś jako odbierające wolność.
        Poza tym GNU GPL nie odbiera wolności oprogramowania. Wolność ta jest ściśle określona przez czteropunktową definicję wolnego oprogramowania i nie jest niczym więcej.

      • pijaczek

        Nie się podłożył tylko nie zrozumiałeś treści. Licencja BSD nie jest licencją FSF (ich są licencje GNU), a jest jedynie zaakceptowana (i ciężko się dziwić, bo nie mogliby odrzucić licencję tylko dlatego, że jest bardziej wolna od ich licencji).
        Jasne, że GPL ogranicza wolność! To, że spełnia warunki swoich twórców uzurpujących słowo wolność nie oznacza, że nie ogranicza wolności. GPL to bardziej:
        " Wolność*

        * pod ograniczeniami zawartymi w licencji."
        niż faktyczna wolność z jaką mamy przyjemność w BSD i podobnych.

      • Pan Łukasz

        Faktyczna wolność, o której piszesz, jest nieoznaczona. Nie istnieje wolność absolutna, bo zawsze istnieją jakieś zasady. można definiować tylko konkretne wolności, tak jak w przypadku wolności oprogramowania, która ma swoją definicję. W wolności oprogramowania nie należy doszukiwać się niczego więcej, niż w we wspomnianej czteropunktowej definicji.

      • Pan Łukasz

        A GNU GPL, jak i BSD, z tą definicją są zgodne. Cześć pieśni.

      • Pan Łukasz

        W szczególności definicja wolnego oprogramowania nie stwierdza, że musi istnieć możliwość inkorporacji programu do domeny niewolnych programów.
        O ironio więc w pewnym sensie definicja z FSF daje więcej wolności, niż hipotetyczna pięciopunktowa definicja z warunkiem możliwości przeniesienia programu do niewolnych, bo nie nakazuje takiego licencjonowania programu, żeby koniecznie trzeba było umożliwić zrobienie z programu niewolnego. To powoduje, że w definicji FSF mieści się więcej licencyj, niż w takiej hipotetycznej definicji, swoje miejsce mają w niej zarówno licencje BSD i domena publiczna, jak i GNU GPL 3.

      • Pan Łukasz

        O takiej hipotetycznej "rozszerzonej" definicji wolnego oprogramowania piszę dlatego, że odżegnujesz programy na GNU GPL "od czci", negując względem nich własność bycia wolnym oprogramowaniem, co świadczy o tym, że nawet jeśli negujesz samą ideę tworzenia definicji wolnego oprogramowania, to i tak przynajmniej na potrzeby swojego systemu pojęciowego (w którym GNU GPL nie funkcjonuje jako wolna licencja) taką (lub podobną) "rozszerzoną" definicję stosujesz.

      • pijaczek

        GPL zgodna jest z definicją wolnego oprogramowania stworzoną przez jej twórców i w żadnym wypadku nie neguję tego. Jednak to tylko redefinicja słowa wolność pisana na potrzeby tej licencji, a z samym znaczeniem słowa wolność (za PWN "możliwość podejmowania decyzji zgodnie z własną wolą") jest tylko bardzo luźno powiązana. GPL zapewnia dalece mniejszą wolność niż licencje BSD-like, a dokładniej nakazując zachowanie licencji macierzystej gwałci tą wolność – nie zgodnie z pisaną dla tej licencji definicji wolnego oprogramowania, ale zgodnie ze znaczeniem słowa wolność – to co przedstawia sobą GPL to jest para-wolność lub prawie-wolność.

      • Pan Łukasz

        Nie jesteś wolny. Nie możesz podejmować decyzji zgodnie z własną wolą. Jestem w stanie podać co najmniej jedną czynność, której nie bedziesz mógł wykonać pomimo podjęcia decyzji. "Definicja" z PWN to humanistyczne gadanie w języku naturalnym na potrzeby przeciętnego człowieka.

      • pijaczek

        Wolny nie jesteś – prawa fizyki ograniczają Ci wolność. Nie rozumiem jednak o czym ty tu mówisz. Mówimy o oprogramowaniu i GPL ogranicza wolność dużo bardziej niż licencje liberalne jak BSD. Daleki jestem od mówienia, że nie jest to jednak wolna licencja, a jedynie licencja "z gwiazdką" dotyczącą zabrania części wolności. W GPL dużo mniej jest wolności niż w licencjach MIT/BSD/… i tego nie zmienisz redefiniując znaczenia słów, czy próbując zdewaluować znaczenia takich słów jak wolność – tak po prostu jest.

      • miks

        Nie ma to jak samozwańczy guru wolności. Ja rozumiem wszystko, ale jak można stwierdzić, że będzie się określać co jest wolne, a co nie – to zaczyna być podejrzane…
        Ogólnie Stallman stworzył samo pojęcie "wolne oprogramowanie", ale takie coś już istniało wcześniej – ba raczej było standardem niż regułą, zwłaszcza pośród uczelni i hobbystów i pierwotny ideą było bliżej "otwartemu" niż "wolnemu" oprogramowaniu. Ale to tylko taka ciekawostka.

      • pijaczek

        Ogólnie stallman opierał się na rozwiązaniach z uczelni jak Massachusetts Institute of Technology (licencja MIT) jak i University of California, Berkeley (licencja BSD) – obje starsze niż GPL (a podobnych było wiele), tylko stallman stwierdził, że za dużo wolności w tej otwartości i trzeba zrobić licencje otwartą, ale zabierającą wolność samodzielnego wyboru licencji potomnej… i nazwał to wolnością (chyba dlatego, że WOLNO mu pozwać każdego kto do ograniczeń wolności się nie dostosuje).

      • Pan Łukasz

        Gdyby w tym artykule nie stało napisane, że TrueCrypt jest w pełni wolnym oprogramowaniem, nie czepiałbym się. To tyle.

      • miks

        Według ogólnej definicji wolności TrueCrypt jest wolnym oprogramowaniem.
        Nie jest tylko wolnym według definicji Stallmana, ale jeśli masz 20 różnych określeń wolności i do dziewiętnastu coś pasuję to może należy zastanowić się nad tą dwudziestą – co jest z nią nie tak?

      • Pan Łukasz

        Pokaż mi te mnóstwo innych definicji, niż ta z FSF. Bo ja wiem tylko jeszcze o DFSG, definicji z OSI (prawie to samo co DFSG) i wytycznych Fedory. Reszta dystrybucyj zazwyczaj prawie nie ma wytycznych lub panuje całkowity bajzel i w ich repo są najzwyczajniej w świecie niewolne programy. Więc nie przesadzaj z tą mnogością alternatywnych pojmowań wolnego oprogramowania. wbrew pozorom jest tu dosyć duży porządek pomimo usilnych starań ludzi od "ołpensors".

      • miks

        Rozumiem, że dla ciebie "wolność" to tylko to co mówi FSF.
        Niestety ale to jest pojęcie "stare jak świat" (http://encyklopedia.pwn.pl/haslo/3997768/wolnosc.html) i dość dziwne żeby redefiniować je tylko na potrzeby oprogramowania. Ba, jak ktoś zmienia tak stare pojęcia to jest to trochę dziwne – gdyby nazwano to jakoś inaczej w stylu "oprogramowanie społeczności" (wiem, że głupio brzmi), ale wolność tutaj za bardzo nie pasuję.

    • Pingback: Podsumowanie roku 2014 w Open Source()

    • Pingback: TrueCrypt 7.1a z dwoma poważnymi lukami bezpieczeństwa - OSWorld.pl()