gargamel pisze:

> Użytkownik "Michal Bien" napisał:
>> Jestem przekonany że nie. Dlaczego, odpowiedź poniżej.
>
> nie pytam o przekonania, czy wiarę, spytałem czy jesteś pewien? (czyli
> czy przeanalizowałeś każdą linię kodu TC i potem sobie ten kod
> skompilowałeś?:O)

Jestem praktycznie przekonany, że takich backdoorów nie ma opierając
się na powszechnej dostępności źródeł i popularności projektu (samych
pobrań blisko 10 mln). Mnie to w zupełności wystarczy. Jeśli jednak ktoś
cierpi na paranoję wciskania backdorów w wolnym oprogramowaniu nic nie
stoi na przeszkodzi by sobie kod źródłowy pobrał,
przeanalizował i skompilował, a wynik porównał z sygnaturą
udostępnionych powszechnie binariów. Nie musi tego robić każdy z
użytkowników z osobna - przy tej popularności projektu wszelkie
potencjalne kombinacje z różnicami kodu udostępnionego źródłowo, a
skompilowanego wyszłyby szybko.

> ja wcale nie twierdzę że TC jest zły, dla m nie TC jest po prostu tak
> samo dobty jak każdy inny program szyfrujący tego typu

Z mojego doświadczenia wynika że jest lepszy z powodów o których
wspomniałem już częściowo wcześniej - odpowiem zbiorczo na posty by nie
rozpisywać się każdej osobie oddzielnie i tego nie powtarzać.

1. Nie są mi znane możliwości uzyskania klucza nadrzędnego itp. do
zaszyfrowanych danych. To samo deklarują twórcy projektu - w
przypadku zapomnianego hasła nawet nie ma co do nich pisać.
W przypadku kilku programów komercyjnych z siedzibą twórcy na terenie
UE (USA ma jeszcze większego hopla na punkcie stosowania kryptografii
przez obywateli) - to z tego powodu niektóre firmy zmieniają siedzibę
na różne egzotyczne wyspy czy choćby Szwajcarię. Organa po prostu
występowały o klucz główny i go uzyskiwały czy były uprawnione czy
nie (w przypadku adwokatów czy radców prawnych tajemnica zawodowa
może być uchylona zasadniczo tylko w przypadku tzw. "prania brudnych
pieniędzy", natomiast jeśli komuś strzeli do głowy zabezpieczyć
dokumentację i nośniki elektroniczne kancelarii o co w PL nad wyraz
łatwo (a były takie przypadki, zresztą np: w sprawie "afery
bilboardowej" robiono lepsze jazdy zabezpieczając mnóstwo
dokumentacji luźno związanej ze sprawą na podstawie tworzonych chyba
w stanie "pomroczności jasnej" wynurzeń pewnego człowieka,
stworzonych na doraźne potrzeby kampanii wyborczej. Myślisz że
takich ludzi powstrzyma ustawowa tajemnica zawodowa? To jest dopiero
naiwność!

2. Multiplatformowość. Dla mnie to bardzo istotne, bo mając kontener z
dokumentami mogę nad nimi pracować zarówno pod windows jak i linuksem
(MacOSa nie używam choć też można) a pracując na równie
multiplatformowym OpenOffice, a nie na pakiecie biurowym MS
zabezpieczone szyfrowaniem dokumenty są niezalezne od aktualnego
systemu. Większość komercyjnych systemów kryptograficznych jest pod
jeden OS.

3. Poza tym że otwarty, jest też darmowy. Wolę wpłacać dobrowolną
dotację na rzecz fundacji, niż być dojony przymusowo za każdym razem
i ograniczany dziwacznymi umowami o używanie oprogramowania.

Te trzy cechy przemawiają moim zdaniem na korzyść TC w stosunku do
produktów komercyjnych. Jeśli widzisz cechy przemawiające na korzyść
produktów komercyjnych w stosunku do TC napisz proszę o nich krótko
w punktach. Od razu zaznaczam, że typowy dla dużej firmy gdzie
pracowników nie interesuje globalny efekt, tylko tzw. "dupochron" pt.
support - "jak coś źle pójdzie to nie będą czepiać się mnie tylko
producenta, a że ten spuści ich na drzewo to już nie mój problem"
(po to jest wyłączenie odpowiedzialności za wady oprogramowania
praktycznie w każdej umowie - producent odpowiada praktycznie tylko
za nośnik.

>> Uważam, że przy jeszcze stosunkowo niewielkim projekcie o tym
>> znaczeniu i takiej rzeszy użytkowników jest wielu ludzi o znacznie ode
>> mnie większej wiedzy programistycznej, którzy to już robili. Nie mam
>> najmniejszych wątpliwości, że są wśród nich zarówno blackhaty i
>> whitehaty, niemniej jednak nic nie wiadomo o lukach czy backdorach tego
>> oprogramowania.
>
> pewnie że jest masa fachowców od programownia, tylko czy ty jesteś aż
> tak naiwny że ci fachowcy za darmo będą analizowali kody darmowego
> oprogramowania?:O)

Czy jestem też tak naiwny, że uważam iż ktoś za darmo napisze użyteczne
oprogramowanie i je udostępni innym? Jakbym Ballmera słyszał
:>
A patrz - takie *BSD, Linux, OpenOffice, produkty Mozilli i mnóstwo
mniejszych projektów istnieje i ma się dobrze. Niektórzy po prostu nie
mogą "zaskoczyć" że można oprogramowanie pisać oraz analizować dla
przyjemności jako hobby, a nie tylko jak sposób zarabiania na życie w
sposób uczciwy lub nie.

> i meritum: jeśli programiści TC chcieli by umieścic w programie tylną
> furtkę to myślisz że umieścili by ją w ogulnie dostępnych kodach
> źródłowych?:O)

Jeśli umieściliby w tylko w binarkach, a nie w ogólnie dostępnych
kodach źródłowych to bardzo szybko wyszłyby różnice bo jednak część
ludzi kompiluje źródła - choćby po to by użyć flag i optymalizacji
kompilatora tylko pod swoją architekturę CPU i zyskać odrobinę na
wydajności.

> a co do komercyjnych programów szyfrujących w UE/USA domyślam sie że
> prawnie muszą takie furtki posiadać, więc dlaczego niby TC miałby się
> temu prawu wymknąć?

Dlatego, że nie ma "kogo wziąć za 4 litery" i na nim wymusić zaszycie
tylnej furtki. Już pisałem, że w przypadku TC jeśli słuchany
jako świadek sam nie ujawnił hasła sprawa kończyła się na niczym i była
prędzej czy później umarzana. Do produktów wolnego programowania po
prostu często nie sposób stosować takich samych rygorów jak do produktów
komercyjnych tworzonych przez spółki, bo tu nawet trudno mówić o
siedzibie i prawie właściwym. To jest solą w oku władzy i pewnie
niedługo w całej UE będzie to co w UK albo i posiadanie produktów
kryptograficznych przez szarego obywatela (władza nie lubi konkurencji)
będzie takim samym "przestępstwem" jak posiadanie teraz byle skręta czy
hantei, bez względu na to ocenę tego przez większość społeczeństwa - to
nie składa się tylko z "moherów". Papier jest cierpliwy i przyjmie każdą
bzdurę stworzoną przez parlament - z techniką i jakością legislacyjną
jest coraz gorzej i w sumie nikt chyba krytycznie tego nie ocenia jeśli
rocznie można stworzyć kilkanaście tys. stron kiepskich aktów
normatywnych, to potem wychodzą takie kwiatki jak ustanowienie w PL od
18.12.2008 "przestępstwa" posiadania komputera czy korzystania z
internetu, bo jeśliby dosłownie wykładać te mądrości tak to mniej więcej
wygląda sprowadzone do absurdu. Kiepskie to IMHO prawo, gdy praktycznie
wszyscy są przestępcami, a tylko niektórych się ściga wg luźno pojętych
kryteriów absurdu, mocy przerobowych i zapotrzebowania na udupienie
konkretnej jednostki. Andriej Wyszyński wiecznie żywy?

--
Pozdrawiam, Michal Bien
#GG: 351722 #ICQ: 101413938
JID: m...@j...org

do góry

Użytkownik "gargamel" <s...@d...eu> napisał w wiadomości
news:gph6kg$9u2$2@news.wp.pl...
>
> i meritum: jeśli programiści TC chcieli by umieścic w programie tylną
> furtkę to myślisz że umieścili by ją w ogulnie dostępnych kodach
> źródłowych?:O)
>
Ale ty jesteś naiwny, a niby gdzie mieli je umieścić, jeśli nie w kodzie
programu? W kosmosie?
Idea takich projektów polega na tym, że każdy może sobie pobrać komplet
źródeł i sam skompilować program, co jest bardzo popularne np. przy
instalowaniu oprogramowania na FreeBSD, czy linuksie. Czy naprawdę uważasz,
że nikt nie zwrócił by uwagi, że program skompilowany samodzielnie ma inną
długość, czy choćby sumę kontrolną, niż ten skompilowany w dystrybucji?
Takie archiwa zawierają wszystko łącznie z plikami ustawiającymi różne opcje
kompilatora dla konkretnego kodu. Co więcej same kompilatory też są dostępne
w formie kodu źródłowego. To nie program z m$, że nikt nie wie jak działa.

do góry

Użytkownik "Michal Bien" <m...@u...edu.pl.invalid> napisał w wiadomości
news:gpfuia$cp3$1@mx1.internetia.pl...
> Konrad Kosmowski pisze:
>> ** Michal Bien <m...@u...edu.pl.invalid> wrote:
> Prawodawstwo UE, w tym przypadku w szczególności niemieckie to jest
> takie zagmatwane bagno, że w PL mało kto się tym zajmuje i dokładnie
> zna. Mogę napisać tylko tyle (tak wysoki poziom ogólności że nie ma mowy
> o naruszeniu tajemnicy) że ilekroć w prokuraturze była potrzeba
> odszyfrowania danych z programu producenta mającego siedzibę na terenie
> UE, najczęściej pewniej niemieckiej firmy, występowano o klucz
> i po około miesiącu producent przysyłał klucz.
> Zazwyczaj nie pasował, występowano ponownie i jeszcze raz i po kilku
> podejściach osiągano zamierzony skutek. Przy danych z rozwiązań OS, w
> szczególności wspomnianego truecrpta było tylko zgrzytanie zębami i o
> ile klient jeszcze jako świadek "nie pękł" nic nie można było z tym
> zrobić - w rezultacie umarzano sprawę.
>

A możesz zdradzić o którego producenta chodzi? Czyzby Securstar?

Pozdr,V.

do góry

Órzytkownik "Marcin Wasilewski" napisał:
> Ale ty jesteś naiwny, a niby gdzie mieli je umieścić, jeśli nie w kodzie
> programu? W kosmosie?

ja mówię o kodzie żródłowym, a nie wynikowym:O)


> Idea takich projektów polega na tym, że każdy może sobie pobrać komplet
> źródeł i sam skompilować program, co jest bardzo popularne np. przy
> instalowaniu oprogramowania na FreeBSD, czy linuksie.

pewnie że może, pod warunkiem że stać go na kompilator i ewentualne
biblioteki potrzebne kompilatorowi (nie bawiłem się więc nie będę wnikał jak
to wygląda w praktyce)


> Czy naprawdę uważasz, że nikt nie zwrócił by uwagi, że program
> skompilowany samodzielnie ma inną długość, czy choćby sumę kontrolną, niż
> ten skompilowany w dystrybucji?

widzisz, to ty jesteś naiwny sądząc że ten sam kod kompilowany różnymi
kompilatorami będzie maił identyczną postać wynikową:O)

a tak na marginesie to taką tylną furtkę można też jawnie umieścić w
dostępnym kodzie, ale tak to zagmatwać i namieszać że nikt nie dojdzie że to
jest to, to żaden problem:O)

do góry

Órzytkownik "Michal Bien" napisał:
> Jestem praktycznie przekonany /ciap/ Mnie to w zupełności wystarczy /ciap/

ok, witamy w klubie radia maryja ojca rydzyka, wasza wiara jest głęboka:O)


> nic nie stoi na przeszkodzi by sobie kod źródłowy pobrał,
> przeanalizował i skompilował, a wynik porównał z sygnaturą
> udostępnionych powszechnie binariów.

ok, widzę że kolega nie ma zielonego pojęcia o programowaniu więc troszkę
wyjaśnie:
przeanalizować to sobie można mały programik z kilkoma liniami programu na
krzyż:O)
praktycznie nie jest możliwości przeanalizowanie wielu tysięcy lini kodu
(tego nie potrafi nawet twórca tego kodu jeśli nie zrobił sobie wcześniej
kompleksowej jego dokumentacji, a nikt poza twórcami takiej dokumentacji nie
posiada), to jest niewykonalne, dodatkowo analizując kod musiał byś
przeanalizować wszystkie funkcje biblioteczne:O) które mogą być napisane w
asemblerze, albo możesz wcale nie posiadać danej biblioteki (bo ona nie jest
darmowa, tylko kosztuje setki tysięcy dolaruf, albo wcale nie jest
publicznie dostępna:O)


> Czy jestem też tak naiwny, że uważam iż ktoś za darmo napisze użyteczne
> oprogramowanie i je udostępni innym? Jakbym Ballmera słyszał :>
> A patrz - takie *BSD, Linux, OpenOffice, produkty Mozilli i mnóstwo
> mniejszych projektów istnieje i ma się dobrze.

pewnie nie jestes już dzieckiem, więc zrozum że nic nie ma za darmo, to że
państwowa służba zdrowia nazywa sie darmowa to nie oznacza ża taka jest
faktycfznie, tak samo to ze ktoś swoje oprogramowanie nazwał darmowym to
wcale nie znaczy że jest ono faktycznie darmowe, słowo darmowe oznacza
jedynie niewiadome źródło finansowania co ty jako dorosły chłop wiedziec
powinienes!:O)

co do linuksa to pamiętam dobrze przygodę z nim dawnych znajomych
programistów, jak się zabrali pod oprogramowywanie linuksa to nagle się
okazało że biblioteki wymagane do kompilacji wcale nie są darmowe i kosztują
tyle ze oni przez całe życie by na nie nie zarobili (takiej sumki zażyczyli
sobie właściciele darmowego linuksa:O) dodatkowo okazało się że podobne
biblioteki dla płatnego windowsa są baardzo tanie i wyszło że faktycznie to
darmowy linux jest wiele razy droższy od płatnego windowsa:O)

do góry

gargamel pisze:

> darmowa, tylko kosztuje setki tysięcy dolaruf, albo wcale nie jest
> publicznie dostępna:O)

dolaruf
hahaha


--
animka

do góry

gargamel <s...@d...eu> wrote:

> ok, witamy w klubie radia maryja ojca rydzyka, wasza wiara jest
> głęboka:O)
>
> ok, widzę że kolega nie ma zielonego pojęcia o programowaniu

Jezeli mamy dyskutowac, to prosze bys nie pisal w ten sposob.

> więc troszkę wyjaśnie: przeanalizować to sobie można mały programik
> z kilkoma liniami programu na krzyż:O)

Ja i Ty nie mamy czasu i zapewne umiejetnosci by usiasc i to
zrobic, ale przy okresie zycia projektu i jego popularnosci gdyb cos
bylo w zrodlach juz dawno zostaloby wyluskane. To troche takie
programistyczne "obliczenia rozproszone".

> praktycznie nie jest możliwości przeanalizowanie wielu tysięcy lini
> kodu (tego nie potrafi nawet twórca tego kodu jeśli nie zrobił sobie
> wcześniej kompleksowej jego dokumentacji, a nikt poza twórcami takiej
> dokumentacji nie posiada),

Tak? To dlaczego byly takie boje o udostepnienie (czesci) kodu
MS Windows i to bardzo ograniczonemu kregowi podmiotow? A skala takiego
stosunkowo niewielkiego truecrypta i OS MS to zupelnie co innego.

> to jest niewykonalne, dodatkowo analizując
> kod musiał byś przeanalizować wszystkie funkcje biblioteczne:O) które
> mogą być napisane w asemblerze,

Chcesz opierac bezpieczenstow na zamknietych i slono platnych
rozwiazaniach jak kodowanie Teletransmisji Prokomu - Twoja sprawa.
Ja jednak wole rozwiazania z otwartymi zrodlami jak TC i tego nie
zmienisz.

> albo możesz wcale nie posiadać danej
> biblioteki (bo ona nie jest darmowa, tylko kosztuje setki tysięcy
> dolaruf, albo wcale nie jest publicznie dostępna:O)

Pzepraszam, ale moze bys tak nie pisal o domyslach, tyko skompilowal
te zrodla. Poza standardowa instalacja debiana nic nie potrzeba.

>> Czy jestem też tak naiwny, że uważam iż ktoś za darmo napisze
>> użyteczne oprogramowanie i je udostępni innym? Jakbym Ballmera
>> słyszał :> A patrz - takie *BSD, Linux, OpenOffice, produkty Mozilli
>> i mnóstwo mniejszych projektów istnieje i ma się dobrze.
>
> pewnie nie jestes już dzieckiem, więc zrozum że nic nie ma za darmo,
> to że państwowa służba zdrowia nazywa sie darmowa to nie oznacza ża
> taka jest faktycfznie, tak samo to ze ktoś swoje oprogramowanie nazwał
> darmowym to wcale nie znaczy że jest ono faktycznie darmowe, słowo
> darmowe oznacza jedynie niewiadome źródło finansowania co ty jako
> dorosły chłop wiedziec powinienes!:O)

No oczywiscie - Mafia :>

Jeszcze raz - powyzsze traci mocno Ballmerem i jego madrosciami.
Podejrzewam ze pracujesz w szeroko pojetych uslugach informatycznych
badz przy programowaniu stosunkowo niedawno majac takie podejscie.
Z czasem to zazwyczaj mija i potrafi rozdzielic sie prace zarobkowa
i za darmo dla zasady, dla innych. Tak jest w wiekszosci zawodow.


> co do linuksa to pamiętam dobrze przygodę z nim dawnych znajomych
> programistów, jak się zabrali pod oprogramowywanie linuksa to nagle
> się okazało że biblioteki wymagane do kompilacji wcale nie są darmowe
> i kosztują tyle ze oni przez całe życie by na nie nie zarobili (takiej
> sumki zażyczyli sobie właściciele darmowego linuksa:O) dodatkowo
> okazało się że podobne biblioteki dla płatnego windowsa są baardzo
> tanie i wyszło że faktycznie to darmowy linux jest wiele razy droższy
> od płatnego windowsa:O)

Tak, oczywiscie. Developers, developers, developers...

A co do bibliotek. Te poza zamknietym oprogramowaniem komercyjnym
biblioteki masz niemal zawsze w systemie w systemach albo repozytoriach
gdzie kompilator jest czescia dystrybucji. Jedyny problem z platnymi
bibliotekami z jakim mialem posredni (bo nie mnie dotyczyl) to osoba ktora
musiala gesto tlumaczyc sie przed ludzmi zwiazanymi z BSA z bbliotek
borlanda dolacoznych do jakiegos malo istotnego programu shareware pod MS
Windows.

P.S.
Nadal czekam na wypunktowanie przewagi kryptograficznych rozwiazan
zamknietych nad otwartymi jak bedacy przedmiotem dyskucji TC.
Bo takie gadanie "o d*e maryni" bez konkretow do niczego nie prowadzi.

--
Pozdrawiam, Michal Bien
#GG: 351722 #ICQ: 101413938
JID: m...@j...org

do góry

Jest rozwiązanie np. Pointsec-a http://www.checkpoint.com/pointsec/
Działa to tak - w MBR-rze instaluje się soft, który autoryzuje
użytkownika (hasło lub karta chipowa), następnie ładowany jest program
umożliwiający dostęp do zaszyfrowanych partycji. Zaszyfrowane są całe
partycje łącznie z systemową. Jeśli zgubisz laptopa twoje dane są
względnie bezpieczne - bez znajomości hasła lub posiadania karty
chipowej nie ma dostępu do danych na dysku, nawet nie zacznie uruchamiać
się system operacyjny. Zamazanie MBR-a nic nie da, bo nadal na dysku
jest zaszyfrowana zawartość. Natomiast user, który poprawnie się
zautoryzuje ma normalny dostęp do dysku. Szyfrowanie i deszyfrowane
odbywają się w locie i są przeźroczyste dla windowsów, niestety soft
działa poprawnie jedynie na windows serii pro (lub vista business), z
OS-ami nie MS sprawa wygląda źle...

g.

do góry

In the darkest hour on Thu, 19 Mar 2009 00:00:49 +0100,
geyb <g...@g...pl> screamed:
> zautoryzuje ma normalny dostęp do dysku. Szyfrowanie i deszyfrowane
> odbywają się w locie i są przeźroczyste dla windowsów, niestety soft
> działa poprawnie jedynie na windows serii pro (lub vista business), z
> OS-ami nie MS sprawa wygląda źle...
>

Niektóre OS-y nie MS mają ten mechanizm wbudowany (dm-crypt).

--
[ Artur M. Piwko : Pipen : AMP29-RIPE : RLU:100918 : From == Trap! : SIG:234B ]
[ 08:28:58 user up 12016 days, 20:23, 1 user, load average: 0.69, 0.89, 0.84 ]

We're going to have the best-educated American people in the world.

do góry