TrueCrypt versus PGP

PGP je sifrovaci standard a jeho svobodnou implementaci je GPG. PGP pouziva k sifrovani RSA, coz se da vyuzit i v truecryptu. Pro bezne pouziti je z hlediska bezpecnosti jedno, jestli pouzijes PGP, nebo truecrypt a nektery z jeho sifrovacich algoritmu. Otazkou bude asi snadnost pouziti. Ja k sifrovani disku pouzivam jen Truecrypt a jsem s nim docela spokojeny(rychlost, spolehlivost). S PGP pro sifrovani disku zkusenosti nemam.

otevreny zdrojovy kod snizuje riziko vyskytu backdooru? ale to je mi krasna vira, tohle presvedceni by si uz pomalu zaslouzilo vlastni cirkev, priznivcu by se jiste naslo dost

Ale k veci: oboji jsou kvalitni programy.

TC: free, jednoduchy, temer jednoucelovy software ktery na vybornou dela to, co se od neho ceka. jako zasadni nevyhody vidim absenci podpory pro PKCS11 tokeny a zcela nepochopitelnou neschopnost desifrovat in-place nesystemovou sifrovanou partition (pritom u systemove nebo u celeho disku to jde, tak kde je problem). Neprijemna je absence moznosti souboroveho sifrovani

PGP (od PGP Corp.) : vyhodu je siroky zaber softu - jednu sadu klicu muze clovek pouzit jak pro sifrovani dat (zarizeni, partition, file), tak pro elektronicky podpis a sifrovani mailu. Portfolio je provazane, ale popravde se mi moc nepovedlo v nem rozumne zorientovat. Podpora v CR (Skynet) je zmatena, kdyz se daji dva technici dohromady, jsou schopni behem nekolika dni zjistit, kolik produkt stoji...

DiskCryptor - vypada velice slibne, ale zatim neni kvalitne zpracovana dokumentace a jako takovy jsem produkt zavrhnul. Doporucuju ale sledovat

Jetico BestCrypt - kvalitni SW, podobne fce jako truecrypt, ale jeho ohromnym plusem je podora Public Key Encryption. Vytecna drobnost je fakt, ze pokud pripojeny kontejner sdilite do site, BestCrypt si to pamatuje a pri dalsim pripojeni kontejner nasdili sam s pravy, ktera mel predtim. Dobry na domaci servery

Utimaco Safeguard - tohle je SW trochu z jineho soudku. Funkci sice habakuk, ale je to presne to, cemu bych se vyhnul na nekolik kilometru. Software je to neprehledny, dokumentace neprilis citelna nebo podrobna. Ale podpora v CR je na slusne urovni

dalsi nevim nebo si nevzpomenu...

V uzavrenem kodu se samozrejme backdoor snaze schova, nevim co je na tom divneho. Truecrypt ma spousty uzivatelu a rekl bych, ze minimalne na spravnou implementaci sifrovacich algoritmu se uz par lidi podivalo.

Pár ne, troškaři. Ale pár odborníků z univerzit. Chytře je nakontaktovali a to je dobře. Je to skvělý produkt.

ale no tak, prece nebudete verit vsemu, co se traduje...

existuje doc ela zajimavy "sport" zabyvajici se schovavanim backdooru do opensource. a schovat se daji opravdu dobre...ostatne, poctete si sam, dalsi zdroje se daji odvodit:

http://www.pepak.net/bezpecnost/open-source-a-... ...

jedine, co nam zbyva, je verit, ze tvurci nic podobneho nedelali, nedelaji a delat nebudou. ale presvedceny o tom nikdy nebudu - ikdyz verim.

Ale ovsem, i v zdrojovem kodu muze byt backdoor, jenze ukryt jej tam da vic prace (a najit ho v zdrojaku da naopak min prace), nez v spustitelne binarce. Tohle snad nespochybnujete. Sam samozrejme nejsem tak dobrym koderem abych si ty zdrojaky prosel sam, spoleham ovsem na to ze je hodne dobrych programatoru, kteri se na ne opravud podivaji...

Co se tyce druheho bodu toho clanku, taky nesouhlasim. Jsou firmy, ktere program vyvijeji, komercne prodavaji, a presto k davaji k dispozici i zdrojak (treba PGP Corporation, nebo taky pro DriveCrypt byli sveho casu k dispozici zdrojove kody). U takove firmy by nalezeny backdoor spusobil mensi poprask. I kdyz prejmenovat firmu taky neni nic tezkeho, zejo...

Porad si tedy myslim, ze u open-source programu je nizsi riziko umyslne vneseneho backdooru, nez u closed-source programu. O opacnem stavu ste mne totiz nepresvedcil...

ja se nesnazim presvedcovat, jen konstatuji holy fakt, ze nemusi platit opensource=bezpecnost, z urciteho uhlu pohledu je i sance praveho opaku (ekonomie zabehnute closed-source firmy vs. temer nevydelecna cinnost nejakeho vyvojare opensource).

stejne jako vy, i ja doufam a zaroven verim, ze to vyvojari (truecryptu i dalsich sw, ktere pouzivam) nedelaji - ale nejsem schopen to spolehlive overit.
ovsem nedelam si iluze o "hodne dobrych programatorech", kteri kod kontrolovali - v komentari k linkovanemu clanku se vyjadruje i pan Klima - z jeho komentu je jasne, ze on, jakozto odbornik na sifrovani, nemuze pri kontrole obsahnout vsechny aspekty programatorskeho remesla (z cehoz rovnez plyne, ze sebelepsi programator nemuze obsahnout vsechny aspekty prace spickoveho kryptologa, cest pripadnym vyjimkam)

shrnuto - jen jsem chtel poukazat na fakt, ze slepa vira neni dobra cesta. ale nam uzivatelum holt nezbyva nez duverovat na zaklade dostatecneho mnozstvi informaci...

(sam pouzivam jak truecrypt, tak uzavrena reseni, na vyvoji jednoho zde nezmineneho jsem se i podilel)

U soukrome americke firmy, ktera prodava sifrovaci program, nebo ho nabizi jako(uzavreny) freeware je podle me mnohem vetsi pravdepodobnost, ze si na ne doslapne NSA, nez ze se jim podari propasovat backdoor do open source.

neprozradim zadnou interni informaci kdyz reknu, ze strany vlad neni na vyrobce sifrovacich reseni zadny jiny tlak, nez ktery je verejne znamy, tj. konkretne v USA zakony upravujici vyvoz sifrovacich technologii apod.

naopak vlady maji zajem na tom, aby zajimave sifrovaci softwary poskytovaly pro ne samotne moznost implementovat do funkcnich mechanismu jejich vlastni algoritmy, vyrobci programu nepristupne. A pouzivaji je, to mi verte...

jakykoli natlak na backdoor ze strany libovolneho statu je jen nepodlozena konspiracni teorie

Dukazy samozrejme nemam, ale uzavreny sifrovaci program bych zkratka nepouzil.

ze stejneho duvodu muzete odmitat pouzit i opensource (pokud jste si ho tedy sam dukladne neproveril a nejste tudiz jednim z vyvolenych elitnich kryptologu a zaroven programatoru )

holt jsme odkazani cely zivot nekomu verit - nebo neverit a zit cely zivot v totalnim odlouceni...ja radsi verim nez bych sedel offline s nesifrovanymi disky

Ja jsem taky netvrdil, ze opensource je hned zarukou bezpecnosti. Jenom mam nazor, ze u programu s otevrenym zdrojovym kodem je nizsi sance na ukryti nakeho skodliveho kodu, nez u programu kde zdrojovy kod neni k dispozici. Tot vse. A o tom, ze by to snad bylo opacne mne zatim nikdo nepresvedcil...

Overit bezpecnost sifrovaciho programu s otevrenym kodem podle me nepredstavuje nijak extremni problem. Staci zasifrovat treba nejaky soubor a vysledek srovnat s vysledkem referencni implementace sifrovaciho algoritmu(kterou si muzu sam napsat). Pak uz jen staci porovnat zbyly obsah disku s tim, co na nem bylo pred zasifrovanim(myslim krome toho zasifrovaneho souboru) a kdyz tam nebude zadna perzistentni zmena, tak si truecrypt heslo nikam neulozil a nema tak sanci ten soubor rozsifrovat bez toho, ze uzivatel to heslo znovu vlozi. Muzeme samozrejme jeste zpochybit bezpecnost jednotlivych sifrovacich algoritmu, ale to uz je hodne velka konspiracni teorie.

PGP - na licencování by stálo za to se podívat. Před asi 8mi lety byla jiná licence mimo území států (zcela free) a pro USA omezená. Vyplývá to ze zákonů pro USA.
SW šifrování/krypto už neužívám, je strašně pomalé. Teď mám HW šifrovací desku a kromě nutnosti zadání hesla při ihned startu PC mám pocit, že nic není "bržděno".