TrueCrypt pasa la auditoría

El programa de cifrado de disco completo de código abierto y gratuito TrueCrypt era el favorito del mundo de la seguridad (recomendado por Edward Snowden y Amazon por igual), a pesar de que sus desarrolladores permanecieron en el anonimato y el código no había sido auditado de forma independiente.

Justo cuando este segundo problema se estaba abordando con una auditoría en curso después de un proyecto financiado por crowdfunding respaldado por la Electronic Frontier Foundation (EFF), los desarrolladores de TrueCrypt de repente desconectaron su software en circunstancias extremadamente dudosas, recomendando que los usuarios cambien a lo extremadamente inseguro y desde entonces confirmado por los documentos de Snowden que han sido comprometidos por la NSA, BitLocker, un movimiento tan extraño que muchos consideran que es un claro canario de algún tipo.

Las teorías de conspiración entre una comunidad de seguridad cada vez más paranoica florecieron a pesar del Open Crypto Audit Project que anunció que después de la Fase I de su auditoría, no se encontraron vulnerabilidades importantes. Con confianza en TrueCrypt en su punto más bajo de todos los tiempos, pero con la demanda de las características que prometía aún altas (ningún otro programa ofrecía todas las ventajas de TrueCrypts, excepto los tenedores, que eran sospechosos), los investigadores decidieron continuar con la auditoría.

La semana pasada, se publicaron los resultados de la Fase II de la auditoría y, en términos generales, otorgan a TrueCrypt un estado de salud limpio. Hasta donde el equipo de auditoría puede determinar (no hay forma de estar 100% seguro), el software de cifrado no contiene puertas traseras o vulnerabilidades explotables deliberadas por la NSA. Como investigador principal del informe, Matthew Green resumió en una publicación de blog,

TL El TL; DR es que, según esta auditoría, Truecrypt parece ser una pieza de software criptográfico relativamente bien diseñada. La auditoría de NCC no encontró evidencia de puertas traseras deliberadas, o cualquier falla de diseño severa que haga que el software sea inseguro en la mayoría de los casos ".

El equipo encontró una serie de problemas que recomienda solucionar, pero estos pueden solucionarse y, de todos modos, no representan una amenaza importante para los usuarios, excepto en las circunstancias más improbables.,

‘Eso no significa que Truecrypt sea perfecto. Los auditores encontraron algunos problemas técnicos y una programación poco cautelosa, lo que condujo a un par de problemas que, en las circunstancias correctas, podrían hacer que Truecrypt ofrezca menos seguridad de la que nos gustaría..

‘Por ejemplo: el problema más importante en el informe Truecrypt es un hallazgo relacionado con la versión de Windows del generador de números aleatorios (RNG) de Truecrypt, que es responsable de generar las claves que cifran los volúmenes de Truecrypt. Este es un código importante, ya que un RNG predecible puede significar un desastre para la seguridad de todo lo demás en el sistema ...

Este no es el fin del mundo, ya que la probabilidad de tal falla es extremadamente baja. Además, incluso si la API de Windows Crypto falla en su sistema, Truecrypt aún recopila entropía de fuentes como punteros del sistema y movimientos del mouse. Estas alternativas son probablemente lo suficientemente buenas como para protegerlo. Pero es un mal diseño y ciertamente debe repararse en cualquier horquilla Truecrypt ".

Es probable que la comunidad de seguridad ahora esté dando un gran suspiro de alivio, y estos resultados probablemente mejoren la confianza en las horquillas que se han desarrollado desde la desaparición teórica de TrueCrypt. El gran problema con tales bifurcaciones es que el código TrueCrypt, aunque es una fuente disponible para auditoría, no es realmente de código abierto, por lo que cualquier bifurcación se desarrolla en violación de los derechos de autor. Sin embargo, para que esto sea un problema, los desarrolladores originales tendrían que anonimizarse y presionar el reclamo, algo que dado el esfuerzo que hicieron para proteger sus identidades, la mayoría de los observadores consideran poco probable. Sin embargo, es una especie de apuesta para los futuros desarrolladores potencialmente perder una gran cantidad de tiempo y esfuerzo en el desarrollo de software que eventualmente se puede cerrar.

Los dos tenedores principales de TrueCrypt actualmente en desarrollo son VeraCrypt y CypherShed, de los cuales VeraCrypt generalmente se considera mejor (y que afirma haber solucionado algunos de los problemas con TrueCrypt). Mire este espacio para ver en profundidad VeraCrypt.

Aquellos que prefieran confiar en el código ya auditado pueden encontrar versiones heredadas del software en el repositorio de lanzamiento final de TrueCrypt (tenemos una guía completa para usar TrueCrypt disponible aquí), mientras que aquellos que aún desconfían de TrueCrypt (una posición bastante comprensible en nuestro ver, a pesar de los nuevos hallazgos), podría consultar nuestro artículo sobre las 5 mejores alternativas de código abierto para TrueCrypt.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Leave a Reply

Your email address will not be published. Required fields are marked *

81 − 79 =

TrueCrypt pasa la auditoría

El programa de cifrado de disco completo de código abierto y gratuito TrueCrypt era el favorito del mundo de la seguridad (recomendado por Edward Snowden y Amazon por igual), a pesar de que sus desarrolladores permanecieron en el anonimato y el código no había sido auditado de forma independiente.

Justo cuando este segundo problema se estaba abordando con una auditoría en curso después de un proyecto financiado por crowdfunding respaldado por la Electronic Frontier Foundation (EFF), los desarrolladores de TrueCrypt de repente desconectaron su software en circunstancias extremadamente dudosas, recomendando que los usuarios cambien a lo extremadamente inseguro y desde entonces confirmado por los documentos de Snowden que han sido comprometidos por la NSA, BitLocker, un movimiento tan extraño que muchos consideran que es un claro canario de algún tipo.

Las teorías de conspiración entre una comunidad de seguridad cada vez más paranoica florecieron a pesar del Open Crypto Audit Project que anunció que después de la Fase I de su auditoría, no se encontraron vulnerabilidades importantes. Con confianza en TrueCrypt en su punto más bajo de todos los tiempos, pero con la demanda de las características que prometía aún altas (ningún otro programa ofrecía todas las ventajas de TrueCrypts, excepto los tenedores, que eran sospechosos), los investigadores decidieron continuar con la auditoría.

La semana pasada, se publicaron los resultados de la Fase II de la auditoría y, en términos generales, otorgan a TrueCrypt un estado de salud limpio. Hasta donde el equipo de auditoría puede determinar (no hay forma de estar 100% seguro), el software de cifrado no contiene puertas traseras o vulnerabilidades explotables deliberadas por la NSA. Como investigador principal del informe, Matthew Green resumió en una publicación de blog,

TL El TL; DR es que, según esta auditoría, Truecrypt parece ser una pieza de software criptográfico relativamente bien diseñada. La auditoría de NCC no encontró evidencia de puertas traseras deliberadas, o cualquier falla de diseño severa que haga que el software sea inseguro en la mayoría de los casos ".

El equipo encontró una serie de problemas que recomienda solucionar, pero estos pueden solucionarse y, de todos modos, no representan una amenaza importante para los usuarios, excepto en las circunstancias más improbables.,

‘Eso no significa que Truecrypt sea perfecto. Los auditores encontraron algunos problemas técnicos y una programación poco cautelosa, lo que condujo a un par de problemas que, en las circunstancias correctas, podrían hacer que Truecrypt ofrezca menos seguridad de la que nos gustaría..

‘Por ejemplo: el problema más importante en el informe Truecrypt es un hallazgo relacionado con la versión de Windows del generador de números aleatorios (RNG) de Truecrypt, que es responsable de generar las claves que cifran los volúmenes de Truecrypt. Este es un código importante, ya que un RNG predecible puede significar un desastre para la seguridad de todo lo demás en el sistema ...

Este no es el fin del mundo, ya que la probabilidad de tal falla es extremadamente baja. Además, incluso si la API de Windows Crypto falla en su sistema, Truecrypt aún recopila entropía de fuentes como punteros del sistema y movimientos del mouse. Estas alternativas son probablemente lo suficientemente buenas como para protegerlo. Pero es un mal diseño y ciertamente debe repararse en cualquier horquilla Truecrypt ".

Es probable que la comunidad de seguridad ahora esté dando un gran suspiro de alivio, y estos resultados probablemente mejoren la confianza en las horquillas que se han desarrollado desde la desaparición teórica de TrueCrypt. El gran problema con tales bifurcaciones es que el código TrueCrypt, aunque es una fuente disponible para auditoría, no es realmente de código abierto, por lo que cualquier bifurcación se desarrolla en violación de los derechos de autor. Sin embargo, para que esto sea un problema, los desarrolladores originales tendrían que anonimizarse y presionar el reclamo, algo que dado el esfuerzo que hicieron para proteger sus identidades, la mayoría de los observadores consideran poco probable. Sin embargo, es una especie de apuesta para los futuros desarrolladores potencialmente perder una gran cantidad de tiempo y esfuerzo en el desarrollo de software que eventualmente se puede cerrar.

Los dos tenedores principales de TrueCrypt actualmente en desarrollo son VeraCrypt y CypherShed, de los cuales VeraCrypt generalmente se considera mejor (y que afirma haber solucionado algunos de los problemas con TrueCrypt). Mire este espacio para ver en profundidad VeraCrypt.

Aquellos que prefieran confiar en el código ya auditado pueden encontrar versiones heredadas del software en el repositorio de lanzamiento final de TrueCrypt (tenemos una guía completa para usar TrueCrypt disponible aquí), mientras que aquellos que aún desconfían de TrueCrypt (una posición bastante comprensible en nuestro ver, a pesar de los nuevos hallazgos), podría consultar nuestro artículo sobre las 5 mejores alternativas de código abierto para TrueCrypt.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Leave a Reply

Your email address will not be published. Required fields are marked *

+ 1 = 6

Adblock
detector