TrueCrypt godkänner revisionen

Det fria och öppna källkodsprogrammet för fullständig disk TrueCrypt var säkerhetsvärldens älskling (rekommenderas av både Edward Snowden och Amazon), trots att dess utvecklare förblev anonym och koden inte hade granskats självständigt.


Precis när detta andra problem behandlades med en pågående revision efter ett Electronic Frontier Foundation (EFF) stödde crowdfunded-projekt, drog TrueCrypt-devs plötsligt pluggen på sin programvara under extremt dodiga omständigheter, och rekommenderade att användare växlar till det vilda osäkra och sedan bekräftade av Snowden docs att ha blivit komprometterad av NSA, BitLocker-en rörelse så bisar att många anser att det är en tydlig garanti kanarie av något slag.

Konspirationsteorier bland ett alltmer paranoid säkerhetsgemenskap blomstrade trots att Open Crypto Audit Project tillkännagav att det inte fanns några större sårbarheter efter fas I av sin granskning. Med förtroende för TrueCrypt hela tiden lågt, men med efterfrågan på de funktioner som det lovade fortfarande högt (inget annat program erbjöd alla TrueCrypts fördelar utom gafflar av det, som själva misstänkte), beslutade forskarna att fortsätta med revisionen.

Förra veckan publicerades resultaten från fas II av revisionen och ger i stort sett TrueCrypt en ren hälsofråga. Så långt granskningsteamet kan bestämma (det finns inget sätt att vara 100% säker på) innehåller kryptoprogramvaran inga avsiktliga NSA-exploaterbara bakdörrar eller sårbarheter. Som huvudforskare i rapporten sammanfattade Matthew Green i ett blogginlägg,

"TL; DR är att baserat på denna granskning verkar Truecrypt vara en relativt väl utformad bit av kryptoprogramvara. NCC-granskningen fann inga bevis på avsiktliga bakdörrar eller några allvarliga designfel som kommer att göra programvaran osäker i de flesta fall. '

Teamet hittade ett antal problem som det rekommenderar behöver fixas, men dessa kan åtgärdas och utgör i alla fall inte ett stort hot för användare utom under de mest osannolika omständigheterna,

‘Det betyder inte att Truecrypt är perfekt. Revisorerna hittade några problem och en del otillbörlig programmering - vilket ledde till ett par frågor som under rätt omständigheter kan leda till att Truecrypt ger mindre försäkran än vad vi skulle vilja att.

‘Till exempel: det viktigaste problemet i Truecrypt-rapporten är ett fynd relaterat till Windows-versionen av Truecrypts slumpnummergenerator (RNG), som är ansvarig för att generera nycklarna som krypterar Truecrypt-volymer. Detta är en viktig kodkod, eftersom en förutsägbar RNG kan stava katastrof för säkerheten för allt annat i systemet ...

Detta är inte världens slut, eftersom sannolikheten för ett sådant misslyckande är extremt låg. Även om Windows Crypto API inte fungerar på ditt system, samlar Truecrypt fortfarande entropi från källor som systempekare och musrörelser. Dessa alternativ är förmodligen tillräckligt bra för att skydda dig. Men det är en dålig design och borde verkligen fixas i alla Truecrypt-gafflar. '

Säkerhetsgemenskapen andas nu troligen ett stort suck av lättnad, och dessa resultat förbättrar sannolikt förtroendet för gafflar som har utvecklats sedan TrueCrypt's teoretiska bortgång. Det stora problemet med sådana gafflar är att TrueCrypt-koden, även om den är tillgänglig för granskning, inte riktigt är öppen källkod, och all sådan gaffel utvecklas i strid med upphovsrätten. Men för att detta skulle vara en fråga, skulle de ursprungliga devsna måste de-anonymisera sig själva och trycka på påståendet, något som med tanke på den ansträngning de har gått för att skydda deras identitet, anser de flesta observatörer osannolikt. Det är ändå något av ett gamble för framtida avsikter att potentiellt slösa mycket tid och ansträngning att utveckla programvara som så småningom kan stängas av.

De två stora gafflarna av TrueCrypt som för närvarande håller på att utvecklas är VeraCrypt och CypherShed, av vilka VeraCrypt allmänt betraktas som bättre (och som påstår sig ha fixat några av problemen med TrueCrypt). Titta på detta utrymme för en fördjupad titt på VeraCrypt.

De som föredrar att lita på den redan granskade koden kan hitta äldre versioner av programvaran på TrueCrypt Final Release Repository (vi har en fullständig guide för att använda TrueCrypt som finns här), medan de fortfarande läcker om TrueCrypt helt (en ganska förståelig position i vår visa, trots de nya resultaten) kanske vill kolla in vår artikel om 5 bästa open source-alternativ till TrueCrypt.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me