TrueCrypt passerer revision

Gratis og åben kildekodeprogram for fuld disk TrueCrypt var sikkerhedsverdenens elskede (anbefalet af både Edward Snowden og Amazon), på trods af at dens udviklere forblev anonym og koden ikke var uafhængigt revideret.

Lige når dette andet problem blev løst med en løbende revision efter et Electronic Frontier Foundation (EFF) støttet crowdfunded-projekt, trak TrueCrypt-devs pludselig stikket på deres software under ekstremt modbydelige omstændigheder og anbefalede, at brugerne skiftede til det vildt usikre og siden bekræftet af Snowden dokumenterer at være blevet kompromitteret af NSA, BitLocker - en bevægelse så bisarr, at mange betragter det som en klar garantikanarie af en eller anden art.

Konspirationsteorier blandt et stadig mere paranoid sikkerhedsfællesskab blomstrede trods, at Open Crypto Audit Project meddelte, at der efter fase I af sin revision ikke blev fundet nogen større sårbarheder. Med tillid til TrueCrypt til enhver tid lavt, men med efterspørgsel efter de funktioner, det lovede stadig højt (intet andet program tilbød alle TrueCrypts fordele undtagen gafler deraf, som de selv var mistænkte), besluttede forskerne at fortsætte med revisionen.

I sidste uge blev resultaterne af revisionens fase II offentliggjort og giver stort set TrueCrypt en ren sundhedsregning. Så vidt revisionsteamet kan bestemme (der er ingen måde at være 100% sikker på), indeholder kryptosoftwaren ingen bevidste NSA-udnyttelige bagdøre eller sårbarheder. Som chefforsker af rapporten opsummerede Matthew Green i et blogindlæg,

‘TL; DR er, at baseret på denne revision ser Truecrypt ud til at være et relativt veludviklet stykke kryptosoftware. NCC-revisionen fandt ingen bevis for bevidste bagdøre eller alvorlige designfejl, der vil gøre softwaren usikker i de fleste tilfælde. '

Holdet fandt en række problemer, som det anbefaler, at det er nødvendigt at løse dem, men disse kan rettes, og udgør alligevel ikke en stor trussel for brugerne undtagen under de mest usandsynlige omstændigheder,

‘Det betyder ikke, at Truecrypt er perfekt. Revisorerne fandt et par fejl og nogle utilsigtet programmering - hvilket førte til et par spørgsmål, der under de rigtige omstændigheder kunne få Truecrypt til at give mindre sikkerhed, end vi gerne ville have det til.

‘For eksempel: det mest betydningsfulde problem i Truecrypt-rapporten er en fund, der er relateret til Windows-versionen af ​​Truecrypt's random number generator (RNG), som er ansvarlig for at generere de nøgler, der krypterer Truecrypt-volumener. Dette er et vigtigt stykke kode, da en forudsigelig RNG kan stave katastrofe for sikkerheden ved alt andet i systemet ...

Dette er ikke verdens ende, da sandsynligheden for en sådan fiasko er ekstremt lav. Selv hvis Windows Crypto API ikke fungerer på dit system, indsamler Truecrypt stadig entropi fra kilder som f.eks. Systemvisere og musebevægelser. Disse alternativer er sandsynligvis gode nok til at beskytte dig. Men det er et dårligt design og bør bestemt rettes i alle Truecrypt-gafler. '

Sikkerhedsfællesskabet trækker sandsynligvis nu et stort suk af lettelse, og disse resultater forbedrer sandsynligvis tilliden til gafler, der er udviklet siden TrueCrypt's teoretiske bortgang. Det store problem med sådanne gafler er, at TrueCrypt-koden, selv om den er tilgængelig til revision, ikke rigtig er open source, og at en sådan gaffel er udviklet i strid med copyright. For at dette skulle være et problem, ville de originale devs dog skulle af anonymisere sig og trykke på påstanden, noget som givet den indsats, de er gået for at beskytte deres identitet, betragter de fleste observatører som usandsynlige. Det er ikke desto mindre noget af en gamble for fremtidige devs at potentielt spilde en masse tid og kræfter på at udvikle software, der til sidst kan lukkes ned.

De to store gafler af TrueCrypt, der i øjeblikket er under udvikling, er VeraCrypt og CypherShed, hvoraf VeraCrypt generelt betragtes som det bedre (og som hævder at have rettet nogle af problemerne med TrueCrypt). Se dette rum for et dybtgående kig på VeraCrypt.

De, der foretrækker at stole på den allerede reviderede kode, kan finde ældre versioner af softwaren på TrueCrypt Final Release Repository (vi har en komplet guide til at bruge TrueCrypt, der er tilgængelig her), mens de stadig leerer af TrueCrypt helt (en ganske forståelig position i vores på trods af de nye fund) kan du tjekke vores artikel om 5 bedste open source-alternativer til TrueCrypt.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me