Antes de caer en desgracia y y acabar en prisión provisional, el excomisario José Villarejo ya presumía ante su presunto cómplice (el comisario Enrique García Castaño) de mantener "a raja tabla" el secreto de la información sensible que manejaba en sus negocios y comunicaciones
#4:
El cifrado del truecrypt no te lo puedes saltar. Y no es el que software sea inseguro u obsolecto. Es que tuvieron problemas con la NSA y optaron por decir esto antes de ceder a los chantajes de una puerta trasera.
Se hicieron auditorias externas y el truecrypt funcionaba correctamente. https://www.redeszone.net/2015/04/03/truecrypt-auditoria-sin-fallos-de-seguridad/
Advertencia: utilizar TrueCrypt no es seguro ya que puede contener problemas de seguridad no resueltos
Que pueda tener problemas de seguridad no resueltos, no significa que los tenga, sino que no ofrecen garantías de que no los tenga.
Además los problemas de seguridad pueden ser de muy diversa índole.
Inseguridad es que en el momento del cifrado, un hacker pueda acceder a la clave a través de la memoria, y nada tiene que ver con la posibilidad de descifrarlo a posteriori si no se tiene dicha clave.
Otra inseguridad podría ser que algunas claves concretas por sus características pudieran ser susceptibles de algún tipo de ataque concreto y específico, lo cual tampoco ayuda mucho en caso de que la clave no tenga esas características.
Que el programa tenga alguna vulnerabilidad no significa necesariamente que el cifrado que usa se haya roto o que la clave sea recuperable. Esta vulnerabilidad podría estar en puntos no explotables en este caso.
El cifrado del truecrypt no te lo puedes saltar. Y no es el que software sea inseguro u obsolecto. Es que tuvieron problemas con la NSA y optaron por decir esto antes de ceder a los chantajes de una puerta trasera.
Se hicieron auditorias externas y el truecrypt funcionaba correctamente. https://www.redeszone.net/2015/04/03/truecrypt-auditoria-sin-fallos-de-seguridad/
#4 En el artículo tenemos las frases "El FBI pudo acceder a los discos duros encriptados de Christopher Glenn" "la técnica empleada por los agentes federales para acceder a los ficheros continúa siendo un misterio", que de ser ciertas, por lo menos, hace sospechar sobre la seguridad de TrueCrypt. Puede que exista una puerta trasera, pero que todavía no haya sido detectada.
#4 Esta historia me recuerda a los pen drives, con las finanzas de ETA, que si estaban protegidas con PGP, que nosecuantos años para desencriptarlos,... Y ya los tenían desencriptarlos.
Advertencia: utilizar TrueCrypt no es seguro ya que puede contener problemas de seguridad no resueltos
Que pueda tener problemas de seguridad no resueltos, no significa que los tenga, sino que no ofrecen garantías de que no los tenga.
Además los problemas de seguridad pueden ser de muy diversa índole.
Inseguridad es que en el momento del cifrado, un hacker pueda acceder a la clave a través de la memoria, y nada tiene que ver con la posibilidad de descifrarlo a posteriori si no se tiene dicha clave.
Otra inseguridad podría ser que algunas claves concretas por sus características pudieran ser susceptibles de algún tipo de ataque concreto y específico, lo cual tampoco ayuda mucho en caso de que la clave no tenga esas características.
Advertencia: utilizar TrueCrypt no es seguro ya que puede contener problemas de seguridad no resueltos
Después de la última versión, el autor lanzó otra (la posterior a la última, lo digo bien), de solo lectura, con al advertencia de que es inseguro.
Yo, lo que yo creo, y no solo yo, es que recibió presiones para instalar una puerta trasera y optó por cerrar el chiringuito. Cuando la NSA te presiona hay una restricción legal que te impide decir que has recibido un requerimiento. De ahí lo de los canarios. https://en.wiktionary.org/wiki/warrant_canary#English
Que el programa tenga alguna vulnerabilidad no significa necesariamente que el cifrado que usa se haya roto o que la clave sea recuperable. Esta vulnerabilidad podría estar en puntos no explotables en este caso.
Lo que es no tener ni puta idea. ¿Que el programa esté obsoleto quiere decir que el algoritmo de cifrado también lo esté? Un AES-256 es virtualmente indescifrable
#13 Pero que barbaridad estás proponiendo. Eso es anti español. Aquí lo tradicional es hacerle la bañera, la sentadilla, la guía, el corderito, la llamada a misa, el telefonillo... y las demás torturas de los cuarteles, cuartelillos y comisarías españolas. Por falta de personal no creo que sea.
#27 Ya que hablamos de TrueCrypt y de torturas, viene a cuento la funcionalidad de "plausible deniabilty".
TrueCrypt tiene la capacidad de meter dos discos dentro de uno solo. Por supuesto sin que la suma de capacidades supere a la capacidad total. La única diferencia para entrar en uno u otro es que tienen passwords distintos.
No es posible demostrar la existencia del segundo disco sin conocer el password. TrueCrypt no lo sabe.
Luego el tema está en preparar un disco alternativo al que quieres ocultar con suficiente información para convencer a la policía con su contenido. Si te presionan y no puedes evitar ceder, les das el password del honeypot.
Esto se puede hacer incluso con el disco de boot de una máquina.
#6 TrueCrypt no guarda qué algoritmo se ha usado, ni para encriptación ni para hash. Hay varios configurables y varias conbinaciones de ellos. Al entrar el password se prueban todos hasta que uno funciona.
AES es un algoritmo aprobado por la NSA para guardar información no clasificada, lo que de hecho significa que la NSA no sabe como atacarlo.
#22 He logrado traducir tu mensaje, si me dás más sigo:
Querido M. Rajoy. Mientras te escojonas en la cara de los que robas aprovechando tu anonimato, he averiguado que tu nombre acaba en "ano". Ahora mismo estoy investigando a todos los Justiniano Rajoy de la península y sé que cuando te encuentre, podré chantajearte para forrarme como hago con los de
#24 pues no era eso. Era la entradilla en Base64, el "cifrado" más trivial que se me ocurre. Tanto que cifrado va entre comillas. Ahora ponte con una clave asimétrica de 2048 bits a procesar unos cuantos teras...
"Aunque todavía es posible descargar el programa de la página web, sus creadores se despiden advirtiendo que "utilizar TrueCrypr no es seguro" y que "solo deberías descargar TrueCrypt para migrar los datos previamente encriptados con el programa"."
Fácil. Que le digan al Villarejo que el programa que ha utilizado ya no es seguro, y que por el bien de sus secretos debería migrarlo a una nueva versión, que le sumistrará el CNI en un pendrive USB.
El CNI está para lo que está: espiar, pillar a algunos delincuentes, tapar a otros, etc... Imaginaros que han descifrado todos los archivos, y en algunos aparecen las cuentas en paraísos fiscales del rey emérito... Imaginaros que hay algunos archivos de vídeo en el que el rey emérito o algún político relevante aparece con menores... Imaginaros que hay algunos archivos de audio en los que el rey emérito o algún político relevante....
Pues eso, que el CNI lo taparía. ¿Y cómo haría eso? Señoría, estos archivos están corruptos o no somos capaces de descifrarlos.
editado:
Es sólo un guión para una película señores de CNI. Ya se que la realidad es lo que ustedes dicen.
TrueCrypt no tiene absolutamente nada de obsoleto y no tiene absolutamente nada de inseguro.
No entraré en la conocida y conspiranoica historia de este software, pero existe una versión que es la última versión, que en su día (y no hace tanto) superó una auditoría de seguridad donde no se encontró ningún fallo que comprometa su seguridad. No tiene puertas traseras.
De hecho es el programa que yo sigo usando sobre Windows 10.
Bien usado puede ser imposible de penetrar, pero solo si se usa correctamente.
Hay cosas más modernas, pero ello no compromete los algoritmos ni método de funcionamiento (estructura de disco) de TrueCrypt.
Comentarios
El cifrado del truecrypt no te lo puedes saltar. Y no es el que software sea inseguro u obsolecto. Es que tuvieron problemas con la NSA y optaron por decir esto antes de ceder a los chantajes de una puerta trasera.
Se hicieron auditorias externas y el truecrypt funcionaba correctamente.
https://www.redeszone.net/2015/04/03/truecrypt-auditoria-sin-fallos-de-seguridad/
#4 En el artículo tenemos las frases "El FBI pudo acceder a los discos duros encriptados de Christopher Glenn" "la técnica empleada por los agentes federales para acceder a los ficheros continúa siendo un misterio", que de ser ciertas, por lo menos, hace sospechar sobre la seguridad de TrueCrypt. Puede que exista una puerta trasera, pero que todavía no haya sido detectada.
#11 Hasta donde se, después de la publicación del mensaje ese se analizó el software y no encontraron nada importante.
El código estaba disponible, de todas formas, podéis usar veracrypt.
https://www.veracrypt.fr/en/Downloads.html
#11 Claro,no utilizaron ninguna técnica secreta,les dio la contraseña para que le redujeran la condena
PD: Christopher Glenn se enfrentaba a 30 años de carcel y al final se quedaron en 10
#4 Esta historia me recuerda a los pen drives, con las finanzas de ETA, que si estaban protegidas con PGP, que nosecuantos años para desencriptarlos,... Y ya los tenían desencriptarlos.
Titular sensacionalista.
Advertencia: utilizar TrueCrypt no es seguro ya que puede contener problemas de seguridad no resueltos
Que pueda tener problemas de seguridad no resueltos, no significa que los tenga, sino que no ofrecen garantías de que no los tenga.
Además los problemas de seguridad pueden ser de muy diversa índole.
Inseguridad es que en el momento del cifrado, un hacker pueda acceder a la clave a través de la memoria, y nada tiene que ver con la posibilidad de descifrarlo a posteriori si no se tiene dicha clave.
Otra inseguridad podría ser que algunas claves concretas por sus características pudieran ser susceptibles de algún tipo de ataque concreto y específico, lo cual tampoco ayuda mucho en caso de que la clave no tenga esas características.
En definitiva: Titular sensacionalista.
#10 Ahora voy a entrar en el tema conspiranoico.
Advertencia: utilizar TrueCrypt no es seguro ya que puede contener problemas de seguridad no resueltos
Después de la última versión, el autor lanzó otra (la posterior a la última, lo digo bien), de solo lectura, con al advertencia de que es inseguro.
Yo, lo que yo creo, y no solo yo, es que recibió presiones para instalar una puerta trasera y optó por cerrar el chiringuito. Cuando la NSA te presiona hay una restricción legal que te impide decir que has recibido un requerimiento. De ahí lo de los canarios.
https://en.wiktionary.org/wiki/warrant_canary#English
Meneado por error.
Que el programa tenga alguna vulnerabilidad no significa necesariamente que el cifrado que usa se haya roto o que la clave sea recuperable. Esta vulnerabilidad podría estar en puntos no explotables en este caso.
#7 La auditoría encontró algunos problemas, pero ninguno que comprometa la seguridad.
Estos problemas están solucionados en sus sucesores, con otros nombres. (esto es código abierto)
No han podido descifrar quien es M. Rajoy ... y van a poder descifrar esto.
Lo que es no tener ni puta idea. ¿Que el programa esté obsoleto quiere decir que el algoritmo de cifrado también lo esté? Un AES-256 es virtualmente indescifrable
#6 https://xkcd.com/538/
#13 MUY relevante
#13 De hecho, al final todo es "ingeniería social"
#13 Pero que barbaridad estás proponiendo. Eso es anti español. Aquí lo tradicional es hacerle la bañera, la sentadilla, la guía, el corderito, la llamada a misa, el telefonillo... y las demás torturas de los cuarteles, cuartelillos y comisarías españolas. Por falta de personal no creo que sea.
#27 Ya que hablamos de TrueCrypt y de torturas, viene a cuento la funcionalidad de "plausible deniabilty".
TrueCrypt tiene la capacidad de meter dos discos dentro de uno solo. Por supuesto sin que la suma de capacidades supere a la capacidad total. La única diferencia para entrar en uno u otro es que tienen passwords distintos.
No es posible demostrar la existencia del segundo disco sin conocer el password. TrueCrypt no lo sabe.
Luego el tema está en preparar un disco alternativo al que quieres ocultar con suficiente información para convencer a la policía con su contenido. Si te presionan y no puedes evitar ceder, les das el password del honeypot.
Esto se puede hacer incluso con el disco de boot de una máquina.
#6 TrueCrypt no guarda qué algoritmo se ha usado, ni para encriptación ni para hash. Hay varios configurables y varias conbinaciones de ellos. Al entrar el password se prueban todos hasta que uno funciona.
AES es un algoritmo aprobado por la NSA para guardar información no clasificada, lo que de hecho significa que la NSA no sabe como atacarlo.
No es "inseguro"... es un problema de...
Ah! que es de "El Mundo"...
Pues Billy el Niño (Gonzalez Pacheco), ya le habría sacado las claves.
Que los hagan públicos que yo les ayudo.
#2 QW50ZXMgZGUgY2FlciBlbiBkZXNncmFjaWEgeSB5IGFjYWJhciBlbiBwcmlzacOzbiBwcm92aXNpb25hbCwgZWwgZXhjb21pc2FyaW8gSm9zw6kgVmlsbGFyZWpvIHlhIHByZXN1bcOtYSBhbnRlIHN1IHByZXN1bnRvIGPDs21wbGljZSAoZWwgY29taXNhcmlvIEVucmlxdWUgR2FyY8OtYSBDYXN0YcOxbykgZGUgbWFudGVuZXIgImEgcmFqYSB0YWJsYSIgZWwgc2VjcmV0byBkZSBsYSBpbmZvcm1hY2nDs24gc2Vuc2libGUgcXVlIG1hbmVqYWJhIGVuIHN1cyBuZWdvY2lvcyB5IGNvbXVuaWNhY2lvbmVz
Ese es el principio.
#22 He logrado traducir tu mensaje, si me dás más sigo:
Querido M. Rajoy. Mientras te escojonas en la cara de los que robas aprovechando tu anonimato, he averiguado que tu nombre acaba en "ano". Ahora mismo estoy investigando a todos los Justiniano Rajoy de la península y sé que cuando te encuentre, podré chantajearte para forrarme como hago con los de
#24 pues no era eso. Era la entradilla en Base64, el "cifrado" más trivial que se me ocurre. Tanto que cifrado va entre comillas. Ahora ponte con una clave asimétrica de 2048 bits a procesar unos cuantos teras...
#2 Amén!
"Aunque todavía es posible descargar el programa de la página web, sus creadores se despiden advirtiendo que "utilizar TrueCrypr no es seguro" y que "solo deberías descargar TrueCrypt para migrar los datos previamente encriptados con el programa"."
Fácil. Que le digan al Villarejo que el programa que ha utilizado ya no es seguro, y que por el bien de sus secretos debería migrarlo a una nueva versión, que le sumistrará el CNI en un pendrive USB.
Un plan sin fisuras.
En la sede de la TIA tienen que estar preocupadísimos...
La peleita esta de enamorados les ha salido cara... Sanz Roldán ha tenido que dimitir y Villarejo va a pasar mucho tiempo en el caldero.
spoiler: TrueCrypt.
El CNI está para lo que está: espiar, pillar a algunos delincuentes, tapar a otros, etc... Imaginaros que han descifrado todos los archivos, y en algunos aparecen las cuentas en paraísos fiscales del rey emérito... Imaginaros que hay algunos archivos de vídeo en el que el rey emérito o algún político relevante aparece con menores... Imaginaros que hay algunos archivos de audio en los que el rey emérito o algún político relevante....
Pues eso, que el CNI lo taparía. ¿Y cómo haría eso? Señoría, estos archivos están corruptos o no somos capaces de descifrarlos.
Por lo visto será obsoleto por antigüedad, pero inseguro ni de coña.
Que las liberen en torrent a ver si un alma caritativa encuentra la solución
Windows 95, y fijo que se han quedado sin soporte...
TrueCrypt
TrueCrypt no tiene absolutamente nada de obsoleto y no tiene absolutamente nada de inseguro.
No entraré en la conocida y conspiranoica historia de este software, pero existe una versión que es la última versión, que en su día (y no hace tanto) superó una auditoría de seguridad donde no se encontró ningún fallo que comprometa su seguridad. No tiene puertas traseras.
De hecho es el programa que yo sigo usando sobre Windows 10.
Bien usado puede ser imposible de penetrar, pero solo si se usa correctamente.
Hay cosas más modernas, pero ello no compromete los algoritmos ni método de funcionamiento (estructura de disco) de TrueCrypt.