<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Thu, May 29, 2014 at 2:27 PM, <span class="gmail_sendername">Peter Trei</span> <span dir="ltr"><<a href="mailto:petertrei@gmail.com" target="_blank">petertrei@gmail.com</a>></span><span dir="ltr"></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><br><div class="gmail_quote"><br><div dir="ltr"><div>[I get the 'digest' form of this list around noon each day, so I'm probably <br>

throwing this into an already active discussion.]<br><br>1.0 What do we know?<br><br></div></div></div></div></blockquote><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div dir="ltr"><div class="gmail_quote"><div dir="ltr"><div>(...)<br><br>1.3 Includes TrueCrypt binaries ("version 7.2") for Windows,<br>Mac, and Linux. The 7.2 version has only decrypt functionality,<br></div><div>
it cannot encrypt.<br></div><div><br>1.3.1    These binaries are signed with a 2004 truecrypt gpg key.<br>

    <a href="https://gist.github.com/daveio/14f7d40f05ac68bb2e63" target="_blank">https://gist.github.com/daveio/14f7d40f05ac68bb2e63</a><br><br></div></div></div></div></blockquote><div><br><div>A data point: <br>The 7.2 binary file is signed (Autheticode) by TrueCrypt Foundation.<br>
<br></div><div>In comparison with the signature on the 7.1a binary:<br></div><div><br></div><div>- Same CA entity (GlobalSign).<br></div><div>- Different certificate (the one used for 7.1a has already expired).<br></div><div>
- Certificate for 7.2 is valid from Aug 2012 (i.e. not recent), thru Aug 2015.<br></div><div>- Different key (also 4096 vs. 2048)<br></div><div>- Object signed ‎27 ‎May, ‎2014 19:45:19 (Symantec time stamping)<br></div><div>
<br></div><div></div>Doron<br><br></div></div><br></div></div>