TrueCrypt läpäisee tarkastuksen

Ilmainen ja avoimen lähdekoodin koko levyn salausohjelma TrueCrypt oli turvallisuusmaailman kultaseni (suositellut sekä Edward Snowden että Amazon) huolimatta siitä, että sen kehittäjät pysyivät nimettöminä ja koodia ei ollut tarkastettu riippumattomasti.


Juuri kun tätä toista ongelmaa käsiteltiin käynnissä olevalla tarkastuksella, joka seurasi EFF: n tukemia joukkorahoitettua hanketta, TrueCrypt-ohjelmistot äkillisesti vetivät ohjelmistonsa pistokkeen äärimmäisen haisevissa olosuhteissa, suosittelemalla käyttäjiä vaihtamaan villiturvallisuuteen ja sen jälkeen kun se on vahvistettu jonka mukaan NSA on vaarantanut Snowdenin asiakirjat, BitLocker - liikkuu niin omituisella tavalla, että monet pitävät sitä selvänä jonkinlaisena optiikanariana.

Yhä paranoidimmassa turvallisuusyhteisössä esiintyneet salaliitto teoriat kukoistivat huolimatta siitä, että Open Crypto Audit -projekti ilmoitti, että tarkastuksen ensimmäisen vaiheen jälkeen suuria haavoittuvuuksia ei löytynyt. Uskoen TrueCrypt -tuotteeseen jatkuvasti alhaisella tasolla, mutta luvattujen ominaisuuksien kysynnän ollessa edelleen korkea (mikään muu ohjelma ei tarjonnut kaikille TrueCrypts-etuja lukuun ottamatta sen haarukoita, jotka itse epäilivät), tutkijat päättivät jatkaa tarkastuksen kanssa.

Viime viikolla tarkastuksen toisen vaiheen tulokset julkaistiin, ja ne antavat TrueCryptille yleisesti puhtaan terveyslaskun. Sikäli kuin tarkastusryhmä voi selvittää (ei ole mitään keinoa olla täysin varmoja), krypto-ohjelmisto ei sisällä tarkoituksellisia NSA: n hyväksyttäviä takaovia tai haavoittuvuuksia. Raportin päätutkijana Matthew Green teki tiivistelmän blogikirjoituksessa,

'TL; DR on, että tarkastukseen perustuen Truecrypt näyttää olevan suhteellisen hyvin suunniteltu krypto-ohjelmisto. NCC: n auditoinnissa ei löytynyt todisteita tahallisesta takaovesta tai vakavista suunnitteluvirheistä, jotka tekevät ohjelmistosta useimmissa tapauksissa turvattomia. "

Ryhmä löysi joukon ongelmia, jotka se suosittelee korjaamaan, mutta ne voidaan korjata, eivätkä ne missään tapauksessa ole merkittäviä uhkia käyttäjille paitsi todennäköisimmissä olosuhteissa,

'Tämä ei tarkoita, että Truecrypt olisi täydellinen. Tilintarkastajat löysivät muutamia häiriöitä ja joitain epätarkkoja ohjelmointeja - johtaen pariin aiheeseen, jotka oikeissa olosuhteissa saattavat aiheuttaa Truecryptin antaman vähemmän varmuuden kuin me haluaisimme..

'Esimerkiksi: Truecrypt-raportin merkittävin ongelma on havainto, joka liittyy Truecryptin satunnaislukugeneraattorin (RNG) Windows-versioon, joka vastaa Truecrypt-levyjen salausta avaimien tuottamisesta. Tämä on tärkeä osa koodia, koska ennustettavissa oleva RNG voi kirjoittaa katastrofin järjestelmän kaiken muun turvallisuudelle ...

Tämä ei ole maailman loppu, koska tällaisen epäonnistumisen todennäköisyys on erittäin pieni. Lisäksi, vaikka Windows Crypto API epäonnistuisi järjestelmässäsi, Truecrypt kerää edelleen entropiaa lähteistä, kuten järjestelmän osoittimet ja hiiren liikkeet. Nämä vaihtoehdot ovat todennäköisesti tarpeeksi hyviä suojaamaan sinua. Mutta se on huono muotoilu ja se tulisi varmasti korjata mihin tahansa Truecrypt-haarukkaan. "

Turvallisuusyhteisö hengittää todennäköisesti nyt suurta helpotusta, ja nämä tulokset todennäköisesti parantavat luottamusta haarukoihin, joita on kehitetty TrueCryptin teoreettisen kuoleman jälkeen. Suuri ongelma tällaisissa haarukoissa on se, että TrueCrypt-koodi, vaikka se on käytettävissä tarkastettavaksi, ei ole todella avoin lähdekoodi, ja niinpä mikä tahansa tällainen haarukka on kehitetty tekijänoikeuksien vastaisesti. Jotta tämä olisi ongelma, alkuperäisten kehittäjien on kuitenkin purettava itsensä anonyymi ja painotettava vaatimusta. Useimmat tarkkailijat pitävät epätodennäköistä, koska he ovat pyrkineet identiteettinsä suojelemiseen. Se on kuitenkin uhkapeliä, että tulevat kehittäjät voivat hukkaa paljon aikaa ja vaivaa kehittääkseen ohjelmistoja, jotka lopulta voidaan sulkea.

Kaksi parhaillaan kehitettävää TrueCrypt-haaruketta ovat VeraCrypt ja CypherShed, joista VeraCryptiä pidetään yleensä parempana (ja joka väittää korjatensa joitain TrueCrypt-ongelmista). Tarkastele tätä tilaa saadaksesi syvällisen kuvan VeraCryptistä.

Ne, jotka haluaisivat luottaa jo tarkastettuun koodiin, voivat löytää vanhoja ohjelmistoversioita TrueCrypt Final Release -varastosta (meillä on täydellinen opas TrueCryptin käytöstä, saatavana täällä), kun taas ne, jotka edelleen puhuvat TrueCryptistä, kokonaan (varsin ymmärrettävä sijainti meidän uusista löydöksistä huolimatta) saattaa haluta tutustua artikkeliimme TrueCryptin viidestä parhaasta avoimen lähdekoodin vaihtoehdosta.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

2 + = 9

map