EDICIóN GENERAL
394 meneos
 

Ni el FBI pudo contra Truecrypt [Eng]

El Federal Bureau of Investigation de Estados Unidos trató infructuosamente, durante meses, de abrir los discos cifrados con el sistema Truecrypt y que fueron remitidos al FBI por la policía federal brasileña. Las autoridades brasileñas habían incautado los discos al banquero Daniel Dantas, investigado por corrupción y trataron durante meses de abrir los discos cifrados con ataques de diccionario, cosa que les había funcionado en el pasado, esta vez no fue así y recurrieron a los EE.UU. aunque estos tampoco lo consiguieron. Dantas calla

| etiquetas: fbi , truecrypt , daniel dantas
183 211 0 K 453 mnm
183 211 0 K 453 mnm
Comentarios destacados:                
#24 Truecrypt, aunque dispone de más algoritmos, utiliza por defecto el algoritmo AES que se empezó a diseñar en 1998, diseñado por dos criptólogos belgas se estandarizó en el 2002. Fue recomendado por la NSA por su robusted para proteger los datos de la administración de Estados Unidos.

A día de hoy no se conoce (al menos la gente común) ninguna vulnerabilidad sobre la versión de 256bits, es imposible de romper, de ahí que el FBI emplease un ataque por diccionario que no es más que probar muchas claves posibles. Contra esto, si tienes una buena clave o un buen keyfile, te puede llevar años o siglos dar con la clave correcta siendo así una solución inviable.

Por lo anterior, yo diría que el mérito es del algoritmo y de la clave robusta que empleó para cifrar, no de Truecrypt. Truecrypt solo es un programa que hace uso de ese algoritmo, entre otros.

De Truecrypt yo destacaría las posibilidades que tiene: varios algoritmos de cifrado, posibilidad de cifrar en cascada (primero AES, luego Serpent, etc), volúmenes ocultos, cifrado de disco completo, discos cifrados portables, keyfiles... y un buen uso de esos algoritmos. Sin duda un buen programa, pero en este caso el mérito yo creo que es más del algoritmo y de la clave que del programa.

#22 A mí no me sale de la gana que por ser policía pueda ver todo lo mío por muy inocente que sea. Si tal pide que te instalen una cámara en el dormitorio, total, eres inocente.
Que lo retengan en prision hasta que lo desencriten o se de por vencido. Lo que primero llegue.
#2 Quita Truecrypt de la ecuación y tendrás a gente retenida indefinidamente hasta que confiese por delitos que puede que no hayan cometido.

Totalitarismos y estados policiales no, gracias.
#13 En España creo que se puede hacer, ya que el juez te ordena que entregues las contraseñas, cuando no lo haces te acusa de desacato y te impone la pena correspondiente. Así pues se te retiene no para que confieses sino para que des las claves que le permita al tribunal acceder a todas las pruebas. Si hay por aquí algún abogado y ve que esto no es cierto, por favor que me corrija.
#16 Eso, y si al final resulta que era inocente, le pedimos disculpas y a casa. No queremos más torturadores.

#17 TrueCrypt es una herramienta muy útil. Estamos como en el caso de un cuchillo, ¡¡no porque se pueda utilizar para apuñalar vamos a prohibirlo!!

#27 Ese en mi opinión es el camino correcto.
#27 TrueCrypt te permite tener dos contraseñas: una te mostrará unos datos ficticios (pero que pueden parecer tan privados como los otros) y la otra los datos que realmente te interesa esconder. No hay manera técnica de que el juez sepa cual de ellas es la contraseña que "confiesas".
#33 "Ma's dejao acojonao". Nada, los que trabajáis en algoritmos de encriptación ya sabéis, hay que proteger la información frente a cualquier atacante pero a la vez incluir en el algoritmo un detector de delincuentes para que en tal caso la encriptación sea fácilmente reversible por la autoridad pertinente.
#33 " tecnología diseñada para delinquir", menuda pedazo de falacia. Cambia en #32 "juez" por "torturador del IV Reich" y en vez de datos bancarios, son los planos para construir el Arma del Juicio Final.
#37 ¿Y quién te dice a tí que el juez no es un juez corrupto, politizado o de un estado donde se pasen los derechos humanos por el arco del triunfo? ¿La justicia dices? Sí, la justicia del IV Reich es la que ha ordenado al torturador que le saque esa información al torturado. Totalmente legal en el IV Reich, por cierto. Luego conquistarán el mundo con esa información e impondrán esa misma ley sobre el resto de personas.

Lo dicho, una pedazo de falacia como una catedral.
#27 Actualmente eso en España no es así, ni en la mayoría del mundo desarrollado (notable la excepción del Reino Unido, que se está granhermanizando).

1- El debido proceso te da derecho a guardar silencio. No hay más historia.

2- Si no tuvieras derecho a guardar silencio en este tema concreto de claves de cifrado, el sistema legal actual se cae como un castillo de naipes, porque se viola abiertamente el derecho a la no autoinculpación. Si eres acusado de asesinato tienes derecho a no…   » ver todo el comentario
#44 Según lo dices así más bien parece que sería mejor que estuvieran obligados a confesar delitos por lo menos cuando hubiera indicios suficientes para demostrar su culpabilidad, por decir algo, véase el caso de marta del castillo.

Pero lo complicado del tema es que el uso que se le puede dar no siempre es tan noble, por ejemplo en el tema de que en España todas las conversaciones telefónicas se graben y archiven pero que solo sean accesibles si un juez lo solicita posteriormente está muy bien, el problema es que te pueden hacer acusaciones falsas o incluso se puede abusar ilegalmente de este sistema, ya sea modificando alguna grabación o usándola como información privilegiada.

es.wikipedia.org/wiki/ECHELON
Gente como #37 siempre fallan en ver hacía ambos lados, en estos casos él siempre ve a los que usan este tipo de tecnologías para delinquir pero nunca se le ocurre pensar que programas como trucrypt fueron diseñados para que personas y empresas puedan proteger información crítica, es una tecnología neutral que pueden tener por seguro que es usada mayoritariamente por empresas e individuos, de manera legal, para proteger sus datos y proyectos, pero no, #37 puede afirmar sin dudarlo ni un momento…   » ver todo el comentario
#33 y #37 Eso, que hacienda no cifre sus datos, ni el banco tus conexiones a él, que podamos todos esnifar tus contraseñas para vaciarte la cuenta o que podamos robar la base de datos sin cifrar de hacienda. Y sobre todo, cuando un ladrón quiera robar tus datos confidenciales (Véase #46) nada de poder cifrarlos o por lo menos que tengamos que darle por cojones y bajo pena de muerte la contraseña correcta, nada de tener la opción de volúmenes ocultos para poder darle datos falsos (pero creíbles) porque Truecrypt, o la criptografía, es una herramienta para delinquir.

Manda huevos.

#38 Amén. Cuanto cifrado usamos sin darnos cuenta.
#37 te has levantado hoy con el pie derecho ¿eh?
#36 deef tyef cdtu ihvx eflm ihbc rsef rsop efst uvno turs oplm
#33 pero por dios no digas sandeces si no sabes de lo que hablas.

¿Tienes wifi en casa? ¿una vpn en el trabajo? ¿Entras a la web d tu banco? ¿compras en internet? ¿tienes acciones? ¿correo electrónico? ¿navegas por internet? Entonces eres un terrorista y un delincuente.

Si la demagogia la podemos usar todos...
#27 He estado buscando un artículo que leí hace tiempo, sin éxito. :-( En el mismo se indica que dar las contraseñas era como autoinculparse y como se tiene derecho a declararse inocente no se puede obligar a dar las claves.
En todo caso, a lo mejor el FBI no quiere que se sepa que pueden abrir esos cifrados. Es de "contrainteligencia 1.0": Si el enemigo sabe que descifras su clave, la cambia.

#41 Lo recuerdo, fue un caso de USA contra un presunto pederasta, a lo mejor eso te ayuda a encontrarlo
#48 Yo, por el contraro, opino que #12 sabe de lo que habla. No es la primera vez que el FBI se queda con las ganas de descifrar algo. Las declaraciones de la NSA van en el sentido de que ellos pueden leer las cosas sin necesidad de criptoanálisis, pues conocen los agujeros de seguridad de los diversos sistemas.

Pero la NSA usa la información que obtiene para sus propios fines, básicamente militares. Nunca van a demostrar que pueden leer truecrypt o pgp (si es que pueden) pues eso haría que la gente deje de usarlo. No le van a dar esa información al FBI, tanto si la tienen como si no. A la NSA, un banquero corrupto les da igual.
#13 Allí no se, pero aquí poner trabas a una investigación está penado,y es lo que está haciendo este hombre.
No entiendo por qué decís esas cosas (#20). Si no tuviese nada que ocultar no usaría TC, o en todo caso facilitaría la clave. Es más que evidente que oculta algo.
Truecrypt, aunque dispone de más algoritmos, utiliza por defecto el algoritmo AES que se empezó a diseñar en 1998, diseñado por dos criptólogos belgas se estandarizó en el 2002. Fue recomendado por la NSA por su robusted para proteger los datos de la administración de Estados Unidos.

A día de hoy no se conoce (al menos la gente común) ninguna vulnerabilidad sobre la versión de 256bits, es imposible de romper, de ahí que el FBI emplease un ataque por diccionario que no es más que probar…   » ver todo el comentario
Para los que no sepan que es Truecrypt:

secure.wikimedia.org/wikipedia/en/wiki/Truecrypt
www.truecrypt.org/

Obviamente no se puede romper TC en sí, por eso han intentado realizar ataques de diccionario que por lo que se ve... no han funcionado.
#3 Efectivamente. Por algoritmia se supone que es seguro (TC permite utilizar varios sistemas de cifrado. Por omisión AES.) Pero además, el tema de la clave funciona bastante bien con el refuerzo del keyfile. Lo hace seguro a ataques de diccionario. Otro tema interesante es el archivo oculto en otro. En fin, licencias aparte, es un software interesante.
El caso de Truecrypt me parece curioso en cuanto a su licencia. Ellos se definen como "Free open-source disk encryption software for Windows 7/Vista/XP, Mac OS X, and Linux"[1] pero en la Wikipedia ponen lo siguiente[2]: "El proyecto Fedora explica lo siguiente:
El programa TrueCrypt se encuentra bajo una licencia muy pobre, que no solo no es libre, sino que es activamente peligrosa para los usuarios finales que la acepten,

…   » ver todo el comentario
#5 Vaya, ellos mismos en la licencia se definen como software libre. Punto III.1.a: "Even though TrueCrypt and the TrueCrypt logo are trademarks, TrueCrypt is and will remain open-source and free software."

Pero vaya, según vas leyendo la licencia no te da la misma sensación que leer la gpl. Por ahora no puedo hacer un análisis más exahustivo, no son horas. Luego sigo porque la verdad es que me parece interesante.
#8 Free Software en este caso sólo es igual a Software gratuito
#4 Quizá por eso se debería dm-crypt (que es libre y todas esas cosas)

#6 en mi blog tengo muchos manuales y entre ellos truecrypt pero no por ello me pongo a spammear no crees?
#7 ¿Eso es spam? Peligroso criterio tienes entonces...
#4 pues yo sigo sin pillarlo :-S
#51 Pues que tanto el open source como el software libre ponen a tu alcance el código fuente pero en el caso del open source su uso puede o estar prohibido directamente o estar lleno de trabas, dificultades, amenazas legales, etc que hagan imposible su uso de forma "segura" (lo que parece ser el caso de truecrypt).
#4 Hasta donde yo sé, la licencia no ha sido aprobada por la OSI, ni aparentemente cumple los requisitos para ser considerada Open Source ( secure.wikimedia.org/wikipedia/es/wiki/TrueCrypt#Licencia )
Manuales/tutoriales de Truecrypt
www.kriptopolis.org/truecrypt
la clave era "password"
Alguien ha leído criptonomicon? Darle a un delincuente un sistema de cifrado y veras lo que sucede
#11 y que quieres decir con eso...?
#16 Pues que el libro `http://es.wikipedia.org/wiki/Criptonomic%C3%B3n en su trama habla de la creación de La cripta, un paraíso fiscal y de la información; paraiso que sería el sitio más codiciado por los delicuentes para esconder sus datos a salvo... y hasta aqui puedo leer. ;)
Es que el FBI no tiene ni puta idea. Los que saben abrirlo son los de la NSA. :-P
joer.., con la de gente en este pais que tiene cosas que ocultar.., y ahora tienen el arma definitiva... ayssss..,
Dejadme al banquero y le saco el código por fuerza bruta, vamos, a ostias con el banquero.
JoseluisFR #17 es simplemente un chiste, existe un método llamado ataque por fuerza bruta que consiste en probar todas las posibilidades, en este caso probar todas las claves posibles.

A mí me ha hecho gracia, incluso me ha provocado una carcajada, así que tiene mi positivo.
Mi experiencia me dice que la clave seguramente sea 1234. ¿Alguien tiene el número del FBI?
#18 Dí que sí, nada de mejorar sistemas de encriptación que solo son un "arma que las autoridades no pueden controlar"
#18 Sí, es triste que dispongan de armas como: coches, cabinas telefónicas, internet, y el resto de tecnología moderna que les permite llevar a cabo sus acciones criminales de forma más segura y eficiente.
#30 claro, no se puede robar un coche y cambiarle las matriculas y falsificar los papeles claro claro.

Seguramente en ETA también utilicen internet, correo electrónico etc.... hacemos una cosa, vamos a dejar que todo lo controle el estado como en china... oh wait.

Estamos en lo de siempre joder, la culpa es de la tecnología o de la forma de usarla? que hubiese pasado si hubiesen prohibido el fuego hace años pq el vecino lo usaba para quemarme la cosecha? Un poco de cabeza con lo que decimos.
#30 ¡Atención! ¡Ignorante a la vista!

Mira, mira quién utiliza el cifrado, además del protagonista de esta noticia:

Todas las distribuciones Linux tienen sistemas de cifrado potente equivalentes a TrueCrypt que son ampliamente utilizadas en todo tipo de entornos corporativos para protección de datos. Ubuntu, sin ir más lejos, te permite cifrar toda la carpeta de usuario desde el asistente de instalación. Ejemplos de cifrado en Linux:…   » ver todo el comentario
#30 "...deben estar registrados para evitar su uso incorrecto. La expansión de la tecnología es beneficiosa siempre que sus efectos negativos sean controlados por las autoridades."

Me da pánico la gente que piensa de esa forma. La abrumadora mayoría de "efectos negativos" a lo largo de la historia no han venido de la expansión de la tecnología, sino de las actuaciones de las autoridades al respecto, por el miedo a esos "efectos negativos". Las autoridades, que se dediquen a controlar lo mínimo imprescindible para que la sociedad funcione adecuadamente, y no intenten controlar todos los aspectos de nuestras vidas. No, gracias.
#55 Es que hay gente que le encanta el saludo romano y el Heil, o el saludo del puño y un mostacho en su defecto.
Alternativas libres a Truecrypt:

encfs, ecryptfs, dm-crypt.
Como debe de ser. La criptografia no entiende de moralidad.
DetectiveLibrero la información se codifica para que personajillos varios como los que tu defiendes (por ejemplo) no metan las narizotas donde no deben. No tiene nada que ver que se use para delinquir ¿Qué se pueda usar para ello? sí, como todo. También un cuchillo se puede usar para matar a una persona o para cortar jamón.

Salu2
El fin del cifrado es que tú y sólo tú puedas ver tus datos, sin que nadie pueda verlos sin tu permiso. Como con todo, tenemos el problema aquí es el uso que se da a esta tecnología. Desde luego lo ideal sería que nadie usara esta tecnología para cometer ningún delito, pero no por ello se va a prohibir. El ejemplo del cuchillo que poneis todos aquí es correcto, no se va a prohibir porque se utilice para cometer crímenes, ¿verdad?.

Si no existieran algoritmos de cifrado lo suficientemente potente como el AES de 256 bits, no podríamos estar seguros haciendo ninguna operación por Internet, y el uso de los ordenadores decaería enormemente.
Para todos los que dicen "algo tiene que ocultar" pues por supuesto, es un banquero, y mal banquero seria si no ocultase sus datos ¿os gustaria que, por ejemplo, los datos de vuestras cuentas , circulasen por ahi sin cifrar? Yo cifro mis discos de datos, son mis datos personales, cartas, documentos, paranoias escritas, planos, esquemas, listados, fotos de mis amantes, de mis gatos, de mi coleccion de maquinas de escribir ochocentistas, de mis "momentos" deportivos, etc. Si entra un ladron y se lleva los ordenadores al menos tendre la garantia de que mis datos no acabaran en megaupload.
Pues a mi me parece un programa cojonudo cuando la primera vez que lo instalé vi que podía poner juntos en un mismo contenedor diversos algoritmos de alto nivel de cifrado me quedé maravillado por las posibilidades que ofrecía.

Ahora, si realmente han probado solo y exclusivamente un ataque por diccionario me parece que no han exprimido todas las opciones posibles. En EEUU tienen equipos informaticos bastante mas potentes que los de casa y un ataque por fuerza bruta quizás no debería…   » ver todo el comentario
Me da la impresión de que como el delincuente es un banquero el fbi no se empleó a fondo para romper el cifrado. Ya sabemos que hacienda no va a denunciar a los defraudadores que encontró en Suiza. Como son ricos...
comentarios cerrados

menéame