TrueCrypt przechodzi audyt

Darmowy i otwarty program do szyfrowania całego dysku TrueCrypt był ulubieńcem świata bezpieczeństwa (zalecany zarówno przez Edwarda Snowdena, jak i Amazon), mimo że jego twórcy pozostali anonimowi, a kod nie był niezależnie kontrolowany.

Właśnie wtedy, gdy drugi problem był rozwiązywany podczas trwającego audytu po finansowanym przez społeczność finansowanym projekcie Electronic Frontier Foundation (EFF), twórcy TrueCrypt nagle włączyli wtyczkę do swojego oprogramowania w bardzo niepewnych okolicznościach, zalecając użytkownikom przejście do niezwykle niepewnej i potwierdzonej przez doktorów Snowdena, którzy zostali naruszeni przez NSA, BitLocker - ruch tak dziwny, że wielu uważa, że ​​jest to pewnego rodzaju wyraźny kanarek.

Teorie spiskowe wśród coraz bardziej paranoicznej społeczności bezpieczeństwa rozkwitły, pomimo projektu Open Crypto Audit, który ogłosił, że po pierwszej fazie audytu nie znaleziono żadnych poważnych luk. Mając zaufanie do TrueCrypt na zawsze niskim poziomie, ale z popytem na obiecane funkcje wciąż wysokie (żaden inny program nie oferował wszystkich zalet TrueCrypts oprócz forksów, które same były podejrzane), naukowcy postanowili kontynuować audyt.

W ubiegłym tygodniu opublikowano wyniki drugiej fazy audytu, które ogólnie dają TrueCrypt czyste świadectwo zdrowia. O ile zespół audytowy może ustalić (nie ma 100% pewności), oprogramowanie kryptograficzne nie zawiera celowych backdoorów ani luk w zabezpieczeniach wykorzystywanych przez NSA. Jako główny badacz raportu Matthew Green podsumował w poście na blogu,

„TL; DR jest oparty na tym audycie, Truecrypt wydaje się być stosunkowo dobrze zaprojektowanym oprogramowaniem kryptograficznym. Audyt NCC nie znalazł dowodów na celowe działanie backdoorów ani żadnych poważnych wad projektowych, które w większości przypadków spowodowałyby niepewność oprogramowania. ”

Zespół znalazł szereg problemów, które zaleca naprawić, ale można je naprawić i nie stanowią one poważnego zagrożenia dla użytkowników, chyba że w najbardziej nieprawdopodobnych okolicznościach,

„To nie znaczy, że Truecrypt jest idealny. Audytorzy znaleźli kilka usterek i pewne nieostrożne programowanie - prowadzące do kilku problemów, które w odpowiednich okolicznościach mogłyby sprawić, że Truecrypt dałby mniej pewności, niż byśmy tego chcieli.

„Na przykład: najbardziej znaczącym problemem w raporcie Truecrypt jest odkrycie związane z wersją Windows generatora liczb losowych Truecrypt (RNG), który jest odpowiedzialny za generowanie kluczy szyfrujących woluminy Truecrypt. To ważny fragment kodu, ponieważ przewidywalny RNG może oznaczać katastrofę dla bezpieczeństwa całej reszty systemu…

To nie koniec świata, ponieważ prawdopodobieństwo takiej awarii jest bardzo niskie. Co więcej, nawet jeśli Windows Crypto API zawiedzie w twoim systemie, Truecrypt nadal pobiera entropię ze źródeł takich jak wskaźniki systemowe i ruchy myszy. Te alternatywy są prawdopodobnie wystarczająco dobre, aby cię chronić. Ale to zły projekt i na pewno powinien zostać naprawiony we wszystkich widelcach Truecrypt. ”

Społeczność bezpieczeństwa prawdopodobnie odetchnęła z ulgą, a wyniki te prawdopodobnie zwiększą zaufanie do rozwidleń opracowanych od czasu teoretycznej śmierci TrueCrypt. Dużym problemem związanym z takimi rozwidleniami jest to, że kod TrueCrypt, podczas gdy źródło dostępne do kontroli, nie jest tak naprawdę otwartym źródłem, a zatem każdy taki rozwidlenie jest opracowywane z naruszeniem praw autorskich. Jednak, aby było to problemem, pierwotni twórcy musieliby się zanonimizować i wcisnąć roszczenie, co, biorąc pod uwagę wysiłek włożony w ochronę ich tożsamości, zdaniem większości obserwatorów jest mało prawdopodobne. Mimo to przyszłym twórcom granie jest ryzykowne, ponieważ potencjalnie marnuje mnóstwo czasu i wysiłku na opracowanie oprogramowania, które może zostać ostatecznie zamknięte.

Dwa główne rozwidlenia aktualnie opracowywanego TrueCrypt to VeraCrypt i CypherShed, z których VeraCrypt jest ogólnie uważany za lepszy (i który twierdzi, że naprawił niektóre problemy z TrueCrypt). Obserwuj to miejsce, aby uzyskać szczegółowe spojrzenie na VeraCrypt.

Ci, którzy wolą zaufać już skontrolowanemu kodowi, mogą znaleźć starsze wersje oprogramowania w Repozytorium ostatecznych wersji TrueCrypt (mamy tutaj pełny przewodnik na temat korzystania z TrueCrypt), podczas gdy ci, którzy nadal są nieufni w stosunku do TrueCrypt (całkiem zrozumiała pozycja w naszym zobacz, pomimo nowych ustaleń), może chciałbyś zapoznać się z naszym artykułem na temat 5 najlepszych alternatywnych rozwiązań open source do TrueCrypt.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me