Portada
mis comunidades
otras secciones
#22:
#14 Hay algo raro en el mensaje de despedida de truecrypt. Dice muchas tonterias bien gordas.
Hay pocas dudas de que el mensaje proviene de los desarrolladores. Han usado su página, hay modificado el código (luego, lo entienden) y han firmado con su propia clave.
Un atacante poderoso podría también haber hecho todo esto, pero ¿para qué?
Las tonterias que dice serían imperdonables en cualquier aficionado que se atreviese a hablar sobre criptografia, pero del desarrollador de truecrypt podemos afirmar además que sabe de lo que habla, luego podemos afirmar que las tonterías son a propósito.
Raro, lo es. Es innegablemente raro.
Lo anterior no implica que le hayan hecho un lavabit, vale, pero si se lo han hecho, en ese caso, que además intentase colar un mensaje esteganográfico es... creible.
El "mensaje" es bastante birrioso, sí, pero en un lavabit un mensaje claro te cuesta la carcel. O sea que...
Hay pocas dudas de que el mensaje proviene de los desarrolladores. Han usado su página, hay modificado el código (luego, lo entienden) y han firmado con su propia clave.
Un atacante poderoso podría también haber hecho todo esto, pero ¿para qué?
Las tonterias que dice serían imperdonables en cualquier aficionado que se atreviese a hablar sobre criptografia, pero del desarrollador de truecrypt podemos afirmar además que sabe de lo que habla, luego podemos afirmar que las tonterías son a propósito.
Raro, lo es. Es innegablemente raro.
Lo anterior no implica que le hayan hecho un lavabit, vale, pero si se lo han hecho, en ese caso, que además intentase colar un mensaje esteganográfico es... creible.
El "mensaje" es bastante birrioso, sí, pero en un lavabit un mensaje claro te cuesta la carcel. O sea que...
#7:
Espero que no sea una magufería como lo que figura más abajo en ese enlace:
Stop spreading FUD.
That is because there is a router called "NSA310" from the brand Zyxel which runs Debian
Stop spreading FUD.
That is because there is a router called "NSA310" from the brand Zyxel which runs Debian
#14:
Lo de la frase en latín, muy rebuscado. La frase además está mal traducida por Google.
Que hay algo muy raro en lo de TrueCrypt sí, pero esto es una chorrada como un demonio.
Que hay algo muy raro en lo de TrueCrypt sí, pero esto es una chorrada como un demonio.
#11:
No se si en algún momento se podrá confirmar esto, pero lo que es cierto es que se ha dejado de desarrollar TrueCrypt en muy extrañas circunstancias y han surgido 2 forks cuyo objetivo es depurar el código y mantener una filosofía KISS (Keep It Simple, Stupid), para que no se les vuelva a ir de las manos.
Desde luego que, si no hay nada untado, al menos sospechas si que hay, y ya las hubo en el momento que apareció el mensaje por primera vez. En el mundo de la seguridad informática ha sido un terremoto, sobre todo por la cantidad de datos importantes que hay cifrados con TrueCrypt.
Desde luego que, si no hay nada untado, al menos sospechas si que hay, y ya las hubo en el momento que apareció el mensaje por primera vez. En el mundo de la seguridad informática ha sido un terremoto, sobre todo por la cantidad de datos importantes que hay cifrados con TrueCrypt.
#35:
#32 Una máxima de la criptografía que siempre hay que recordar, es que la seguridad no se mide en si es o no fiable sino en tiempo. Prácticamente cualquier cifrado puede romperse (y los que no pueden no son muy prácticos para su uso). El asunto es cuánto tiempo se tarda en romper. Si yo hago una transacción financiera y cuesta un par de días descifrarla, es suficiente porque a los pocos minutos la información ya no sirve de nada.
También hay que tomar en cuenta los recursos necesarios. Un cifrado muy básico puede resistir cualquier intento de una persona normal pero ser inútil frente a la NSA. La cosa es de quién queremos esconder los datos, ¿de tu hermano o de la policía? Porque si un juez te ordena entregar la clave de tus datos, sabrás que o la entregas o vas a la cárcel ¿acaso tus datos son tan incriminatorios que prefieras ir a la cárcel antes de que los vean? Si es así, está justificado que busques cifrados fuertes pero de lo contrario, no tienes de qué preocuparte.
También hay que tomar en cuenta los recursos necesarios. Un cifrado muy básico puede resistir cualquier intento de una persona normal pero ser inútil frente a la NSA. La cosa es de quién queremos esconder los datos, ¿de tu hermano o de la policía? Porque si un juez te ordena entregar la clave de tus datos, sabrás que o la entregas o vas a la cárcel ¿acaso tus datos son tan incriminatorios que prefieras ir a la cárcel antes de que los vean? Si es así, está justificado que busques cifrados fuertes pero de lo contrario, no tienes de qué preocuparte.
#3:
Estos de la NSA son peores que la Vieja'l visillo...
#10:
Sacan la supuesta frase y no se dan cuenta de que tiene más sentido si en vez de una frase fueran dos (segun google translate)
uti nsa im
cu si
I use the NSA
if you care
uti nsa im
cu si
I use the NSA
if you care
Comentarios
Espero que no sea una magufería como lo que figura más abajo en ese enlace:
Stop spreading FUD.
That is because there is a router called "NSA310" from the brand Zyxel which runs Debian
#7 "I have idled in many IRC channels over the years, and one of them is freenode's #truecrypt [...] That user name "JyZyXEL" looked familiar somehow [...]"
JyZyXEL es el nickname de un tipo que lleva pululando desde hace años por los canales de IRC de Rizon, como #4chan entre otros. No creo que le haga gracia que alguien venga y le meta en un embrollo con la NSA.
Estos de la NSA son peores que la Vieja'l visillo...
Lo de la frase en latín, muy rebuscado. La frase además está mal traducida por Google.
Que hay algo muy raro en lo de TrueCrypt sí, pero esto es una chorrada como un demonio.
#14 Hay algo raro en el mensaje de despedida de truecrypt. Dice muchas tonterias bien gordas.
Hay pocas dudas de que el mensaje proviene de los desarrolladores. Han usado su página, hay modificado el código (luego, lo entienden) y han firmado con su propia clave.
Un atacante poderoso podría también haber hecho todo esto, pero ¿para qué?
Las tonterias que dice serían imperdonables en cualquier aficionado que se atreviese a hablar sobre criptografia, pero del desarrollador de truecrypt podemos afirmar además que sabe de lo que habla, luego podemos afirmar que las tonterías son a propósito.
Raro, lo es. Es innegablemente raro.
Lo anterior no implica que le hayan hecho un lavabit, vale, pero si se lo han hecho, en ese caso, que además intentase colar un mensaje esteganográfico es... creible.
El "mensaje" es bastante birrioso, sí, pero en un lavabit un mensaje claro te cuesta la carcel. O sea que...
#22 El mensaje estaba pensado para espantar a sus usuarios. Eso estaba claro.
#22 A parte, aunque la pagina hubiese sido hackeada, ha pasado demasiado tiempo para que su dueño no haya podido restaurar la pagina correcta o haberla borrado o que lo hayan hecho los de sourceforge si fuese un hackeo.
No se si en algún momento se podrá confirmar esto, pero lo que es cierto es que se ha dejado de desarrollar TrueCrypt en muy extrañas circunstancias y han surgido 2 forks cuyo objetivo es depurar el código y mantener una filosofía KISS (Keep It Simple, Stupid), para que no se les vuelva a ir de las manos.
Desde luego que, si no hay nada untado, al menos sospechas si que hay, y ya las hubo en el momento que apareció el mensaje por primera vez. En el mundo de la seguridad informática ha sido un terremoto, sobre todo por la cantidad de datos importantes que hay cifrados con TrueCrypt.
#11 1. ¿Cuales son esos fork?
2. No se que es lo que realmente compensa si utilizar un fork o directamente una alternativa.
3. ¿Que hacia especial a TrueCrypt? ¿Era open source?
#11 Hay consenso en que el código actual parece seguro y es muy estable. Hay una auditoría en marcha. Hasta que no acabe la auditoría no tiene sentido hacer forks.
Sacan la supuesta frase y no se dan cuenta de que tiene más sentido si en vez de una frase fueran dos (segun google translate)
uti nsa im
cu si
I use the NSA
if you care
Algunos se pinchan...
#4 pero son más a los que les pinchan
La cosa es... En el supuesto de que sea cierto... ¿Qué usar ahora? (en Windows)
#24 Se habló de Bitlocker. Creo que incluso los propios desarrolladores de TC hablaron de que era una buena opción.
Fuente: http://lawyerist.com/74111/truecrypt-secure-use-bitlocker-filevault-instead/
wow esta frase corriendo como la pólvora más que nada viene a significar que hoy día ya no tenemos ni puta idea de latín y nos tragamos cualquier cosa que google nos vomite
Entonces, ¿la NSA tiene acceso al pr0n que guardo?
#8 No hace falta, tienen copia y siempre va más rápido por intranet.
Relacionada: http://menea.me/1a75m -- http://lamiradadelreplicante.com/2013/09/09/backdoor-en-linux-de-la-nsa-no-invente-senora/
¿Hay confirmación en algún sitio? ¿O tenemos que creer que esta gilipollez es cierta porque alguien así lo afirma en un foro?
#9 No se si lo del mensaje es cierto...
Pero lo de TrueCrypt tiene muchos visos...
Es cierto!, es cierto!
Google lo confirma, en latín significa eso.
https://translate.google.com/?sl=en&tl=es&prev=_t&hl=en&ie=UTF-8&text=taser#la/es/uti%20nsa%20im%20cu%20si
#1 ¿google lo confirma? ¡¡Half life 3 confirmado!!
Para mí, Truecrypt sigue siendo válido. No pretendo ocultar nada a nivel de "seguridad del estado". Me basta con que si un día tengo que prestar mi PC a un colega o llevarlo un servicio técnico, haya "ciertas cosas" que no puedan ver (el porno vaya).
Creo que se nos va la olla un poco con esto de la seguridad: exigimos un programa de encriptado capaz de resitirse a los mainframes de la NSA, pero cerramos nuestra casa con una puerta de madera.
#64 Y yo no digo que haya metadatos ni nada parecido, cuando un perito analiza un disco de truecrypt o un disco físico no "le pregunta" al truecrypt, el perito conoce mejor que el usuario cómo funciona el truecrypt, y hay más herramientas para analizar discos y ver (a partir de cosas como la entropía) que una parte de ese disco no es basura sino datos encriptados y que por tanto la clave que le has dado es "la otra".
Para evitar que nadie se lie, debo corregir.
Los peritos no saben más de seguridad que los desarrolladores de Truecrypt ni conocen mejor Truecrypt que quién lo ha hecho.
"No hay metadatos" significa que no hay nada que ver. Se sepa o no se sepa del tema, la información no existe. No hay nada más. Un fichero de Truecrypt no "contiene" nada. Solo está el disco encriptado, del todo ilegible. Por mucho que se sepa cómo funciona, lo que no está, no se puede ver. Da igual lo muchísimo que sepa quién está mirando: es que no hay nada que ver.
Todos los sectores de un disco virtual están siempre encriptados, es decir que no son comprimibles, es decir que su entropía es siempre máxima. No hay nada que hacer por ese lado. La única forma de demostrar que es una cosa o la otra es teniendo la clave. Sin la clave son completamente indistingibles. No hay ninguna cantidad de ciencia que permita distinguirlos sin romper la encriptación.
El propio Truecrypt no sabe ni puede saber si el segundo disco existe, a menos que se le proporcione la clave correcta. Por lo tanto no hay nada que ver dentro del programa tampoco, aunque esto es un corolario del párrafo anterior, pues haga lo que haga el programa, sin datos que leer, no importa lo que haga.
Por ejemplo, "no hay metadatos" también significa que Truecrypt no sabe con qué algoritmos se ha encriptado ese disco. No le queda otra que probarlos todos.
Sí que se han demostrado análisis de uso del disco físico, que se resumen en "si eso es espacio vacío ¿por qué se ha actualizado recientemente?".
Pero:
1. Los peritos judiciales o policiales están a años luz de ser capaces de algo así. No en España. Ni de coña. ¿tu has visto nunca la foto de un policia usando un microscopio electrónico? Pues eso. Y en el peor de los casos, tal análisis permite sospechar, pero no demostrar nada.
2. Eso se cura moviendo los datos arriba y abajo del disco frecuentemente porque sí. Existen unos programas llamados "desfragmentadores" que hacen exactamente esto, y no hacen falta excusas raras para usarlos.
Yo llevo usando TrueCrypt desde hace muchos años, desde que lo descubrí despues de que me robaran un disco externo atestado de información sin encriptar, lo sigo y seguiré usando hasta que no encuentre una alternativa igual de cómoda y buena . Si me roban o pierdo un disco encriptado, que se lo manden a la NSA para que lo desencripte...
No hagáis mucho caso a Google en latín: http://www.reddit.com/r/latin/comments/28at8l/can_someone_please_translate_this_for_me_i_dont/
#44 Existen los que se llaman "cifrados perfectos", uno de ellos es el conocido como "One Time Pad". Sin embargo, ningún "cifrado perfecto" es práctico cuando hay que esconder grandes cantidades de datos. Todos los demás, sí o sí, pueden descifrarse. Lo que pasa es que en algunos casos puede tomar años o siglos. En otros puede tomar horas o días. Todo depende del uso que se de o de la cantidad de información a cifrar. En el caso de TrueCrypt, los sistemas que usaban eran conocidos por su fortaleza, lo cual no significa que la NSA no lo pueda leer, sino que puede tomarles demasiado tiempo. Si arrestas a un "terrorista" (léase "pobre pringado que se ha quejado del gobierno"), y las pruebas están cifradas con TrueCrypt, tienes 48 horas para descifrarlo, de lo contrario tendrás que soltarlo, y eso es lo que les molesta.
Por ejemplo con la televisión codificada la cantidad de información transmitida es inmensa. Por lo tanto la clave se va cambiando cada pocos segundos, y el cifrado que usan es razonablemente bueno (AES). Si no lo cambiaran, alguien terminaría dando con la clave correcta en horas o días.
#44 Tranquilo, que #47 ha visto muchas películas de Hollywood. En España estás en tu derecho a no dar ninguna clave si no quieres (de hecho es lo que pasa en todos los juicios). Y la policía es medianamente inútil (en el sentido etimológico de la palabra) en estos casos, no dispone de más conocimiento ni de más recursos que un club de amigos de la informática. No puede hacer magia.
#52 ¿En España un juez no puede ordenarte dar acceso a tus datos?
#57 No soy abogado, pero diría que no. En cualquier caso lee esto: http://derechoynormas.blogspot.com.es/2007/12/las-contraseas-de-cifrado-y-la-ley.html
#60 es un caso de USA... T allí tienen su quinta enmienda que dice que nadie está obligado a contestar si la respuesta puede incriminarlo... Y en USA se toman muy en serio la constitución.
#57 "No me acuerdo"... "No me consta"... etc. Ya sabes.
#42 metes 10 GB de información basura por cada 1 MB de información relevante.
Eso no es latín, ni tiene ningún sentido en latín. Google Translate podrá decir Misa (Negra, si quiere), de hecho "lorem ipsum" (que tampoco quiere decir nada) lo traduce como "China". Así que si significa algo, estará encriptada o en otra lengua, porque eso no es que ni sea latín (plano), es que quitando el "uti" ni lo parece tan siquiera.
Sois la polla.
#58 Pues yo cada dos por tres veo noticias de que el paro baja, junto con noticias que dicen que esto es un desastre en portada ambas... Y eso no quiere decir que haya una lucha entre grupos de meneantes por favorecer una u otra opinión.
Yo lo envié porque me pareció curioso ¿Credibilidad? la justa, cada cual que le dé la que quiera.
#55 Si yo sólo he enviado una noticia, cada uno que la vote como quiera, que tenéis una manía con asignar al enviador una especia de autoría o de "estar de acuerdo" con la notica que es demasié.
Además, el mejor desmentido sería el del que escribió el mensaje, no es tan difícil desmentir algo así... Por otro lado, lo del latin es lo de menos, si el que escribió el mensaje lo tradujo con el google translator y le salió ese churro, puede no tener ni idea de lo que significa ni de si tiene sentido, para mí probaría algo más que alguien encontrase qué frase en inglés da como resultado esa frase en latín (latín de google, obvio).
#56 Si no estas de acuerdo con una noticia no la envías, creo yo. No se, si creo que el gobierno está llevandonos a la miseria no pongo una nota de prensa del pp o una noticia de la razón donde digan que hemos bajado el paro (y oculten que es a costa de que la gente se va del país). Por poner un ejemplo.
Por otro lado, no vas a leer nada oficial de ellos por varios motivos: No quieren saber mas del tema (sea por presiones sea por que se han cansado) y luego lo de google me parece excesivamente rebuscado.
#49 Claro que no es prueba de nada, excepto de que hay una parte por descifrar, y por tanto, es lo mismo no darle ninguna clave que darle la clave "chunga", donde no entro es en qué puede pasarte por no facilitarles la clave, pero vamos, es lo mismo darles la calve "chunga" que no darles nada, porque ellos sí saben que hay algo (aunque no sepan qué es).
#53 Está mejor hecho que eso. Truecrypt guarda dos discos dentro del mismo fichero. El primero desde el inicio hacia adelante, y el segundo (el secreto) desde el final hacia atrás.
Cada uno de los discos virtuales va con una clave distinta. Si no se le da la clave del segundo disco, truecrypt no puede saber si existe o no, puesto que eso no está escrito en ningún sitio. Para el primer disco, lo que hay hacia adelante es espacio disponible, y si los datos crecen lo suficiente, de hecho lo sobreescribirá.
Puesto que en truecrypt todos los sectores están siempre encriptados, el espacio vacio es totalmente indistinguible de otro disco con clave diferente.
Ni el propio Truecrypt, ni nadie, puede saber si el segundo disco existe o no. La única forma es proporcionando la clave correcta, para que se desencripte en un disco correcto. Cualquier otra clave proporcionará el mismo resultado que la ausencia del segundo disco... suponiendo que exista...
"Plausible deniability"
Solo por insistir. Un fichero de Truecrypt no contiene metadatos de ninguna clase. Ni cabeceras ni nada. No se trata de lo que la interfaz de usuario diga. En el interior del programa tampoco existe ninguna información que pueda llevar a pensar que un segundo disco existe.
Si existe, es indemostrable.
Si el juez te pide una clave, le das la del primer disco. A descifrar. Ese disco ocupa el tamaño completo del fichero. Otra cosa es que el disco no esté lleno a tope. Es que los hago grandes para que me quepan más datos en el futuro.
Si te pregunta por "plausible deniability", la respuesta correcta es "lo cualo?".
Truecrypt tiene otros muchos trucos muy bien pensados.
#63 No si la teoría la sé, y que seguro que el juez no puede decir nada ni hacer nada sin pruebas (al menos en España) pero lo que digo es que es equivalente a no darle la clave diciéndole que te has olvidado, en la justicia no importa parecer inocente, con que no puedan demostrar que eres culpable...
Y yo no digo que haya metadatos ni nada parecido, cuando un perito analiza un disco de truecrypt o un disco físico no "le pregunta" al truecrypt, el perito conoce mejor que el usuario cómo funciona el truecrypt, y hay más herramientas para analizar discos y ver (a partir de cosas como la entropía) que una parte de ese disco no es basura sino datos encriptados y que por tanto la clave que le has dado es "la otra".
Y repito, la policía no es tonta, y vuelvo a repetir, eso no hace que te puedan acusar de lo que fuere sólo por no darle la calve, en España, en otros paises sí.
A los "expertos" entonces que metodo nos queda que sea fiable? ninguno?
#32 Una máxima de la criptografía que siempre hay que recordar, es que la seguridad no se mide en si es o no fiable sino en tiempo. Prácticamente cualquier cifrado puede romperse (y los que no pueden no son muy prácticos para su uso). El asunto es cuánto tiempo se tarda en romper. Si yo hago una transacción financiera y cuesta un par de días descifrarla, es suficiente porque a los pocos minutos la información ya no sirve de nada.
También hay que tomar en cuenta los recursos necesarios. Un cifrado muy básico puede resistir cualquier intento de una persona normal pero ser inútil frente a la NSA. La cosa es de quién queremos esconder los datos, ¿de tu hermano o de la policía? Porque si un juez te ordena entregar la clave de tus datos, sabrás que o la entregas o vas a la cárcel ¿acaso tus datos son tan incriminatorios que prefieras ir a la cárcel antes de que los vean? Si es así, está justificado que busques cifrados fuertes pero de lo contrario, no tienes de qué preocuparte.
#35 Bueno, dejando la filosofia a un lado, existe ahora alguna alternativa?
bueno, me autocontesto
http://alternativeto.net/software/truecrypt/
#35 Si te exigen entregar la clave, TrueCrypt tiene dos particiones. Con la clave "buena" accedes a la información oculta, con la clave "chunga" a una partición distinta.
Guardas la información real con la buena y en la mala metes basura ligeramente vergonzante pero no ilegal, por ejemplo porno transexual, la décima temporada de Cuéntame o la discografía completa de Cantajuegos. Y un juez no va a poder saber lo que hay realmente tras la clave "buena".
#38 El juez no, pero los peritos sí, saben que hay una parte por descifrar... La policía no es tonta.
#42 El périto no puede saber con seguridad que hay otra partición, como mucho puede suponerlo por el hecho de que el volumen que estás montando tiene bastante menor tamaño que el total del fichero, pero eso no es prueba de nada.
#35 ¿Esto es seguro?
Pregunto desde a mas absoluta ignorancia, porque precisamente en otra noticia sobre TrueCrypt en Meneame lei que no podian, a ver si doy con ella, pero yo me pierdo.
Tambien lei en otra distinta que puedes decir que se te ha olvidado, qué pasa si se te olvida, a la carcel?
LUKS + Linux-libre si usas Fedora.
#5 A mi me gusta ecryptfs. Permite almacenar los datos en un disco normal sin crear un contenedor especial. Los datos pueden copiarse o borrarse normalmente incluso sin saber la clave porque se almacenan en cualquier filesystem.
Comentario duplicado por Opera Mini
Vaya chorrada, la virgen.
#41 ¿Quieres referencias? Me da un poco de pereza buscarlas pero si eso dame 5 minutos.
Que es de la NSA? No se, 2 auditorias independientes del codigo fuente, y que cualquiera se puede bajar para comprobarlo.
#17 También cualquiera puede llegar andando de aquí a Rumanía y tomarse una cerveza en algún pub de allí.
#17 Cierto. Mi panadero ya se lo ha bajado y lo está comprobando. 5 años de aprendizaje para saber cuando la masa madre está en su punto tienen que dar su fruto…
Noticia de finales del mes pasado y llega ahora? :facepalm:
Que sepáis que las traducciones de Google son manipulables si unos cuantos se ponen de acuerdo y le enseñan la misma traducción para la misma cosa.
#36 ¿Finales del mes pasado?
#41
http://askleo.com/is-truecrypt-dead/#comment-181454 (31 May 2014)
http://forum.spiegel.de/showthread.php?t=127720&page=2&p=15805710&viewfull=1#post15805710 (30.05.2014)
http://blog.dntopping.com/truecrypt-three-letter-agency-theory/ (May 31st, 2014)
Y no tengo log del irc (#truecrypt @ freenode), pero en esos días se comento múltiples veces.
#51 No si a lo que me refiero es que hablas de finales del mes pasado como si fuese hace un siglo... Me parece muy bien que 15 días en tu mundo perruno sea como un año en el mundo humano, pero ya me parece hasta demasiado infantil lo de "yo ya lo sabía!!"
#54 No es un yo ya lo sabia es un: Estas enviando una noticia antigua que se ha desmentido en repetidas ocasiones por gente que sabe latín y por gente que ha demostrado que es posible manipular google translator.
Acaso no fue la nsa la que nos dió en su dia truecrypt? Tengo mala memoria..
#16 No. Truecrypt es la continuación de un programa freeware más antiguo. Por aquel entonces había dos programas de encriptar discos virtuales en windows, ambos freeware. Se unieron ambos para crear una alternativa comercial, y paralelamente surgió truecrypt del código de uno de ellos.
La versión comercial acabó dentro de PGP.
Hombre yo no digo que nada de eso sea cierto pero joder, si cogemos las iniciales del texto formamos una frase en latín, que además es latín "mal escrito", lo traducimos al inglés y ya nos queda clarísimo el mensaje...
http://www.geardiary.com/wp-content/uploads/2011/02/conspiracy.jpg