TrueCrypt passerer tilsyn

Gratis og åpen kildekodingsprogram for full disk kryptering TrueCrypt var kjærligheten til sikkerhetsverdenen (anbefalt av Edward Snowden og Amazon både), til tross for at utviklerne forble anonyme og koden ikke hadde blitt uavhengig revidert.

Akkurat da dette andre problemet ble adressert med en pågående revisjon etter et Electronic Frontier Foundation (EFF) støttet crowdfunded-prosjekt, trakk TrueCrypt-devs plutselig pluggen på programvaren sin under ekstremt dodgy omstendigheter, og anbefalte at brukere byttet til det vilt usikre og siden bekreftet av Snowden dokumenterer å ha blitt kompromittert av NSA, BitLocker-et trekk så bisart at mange anser det for å være en klar garantikanarie av noe slag.

Konspirasjonsteorier blant et stadig mer paranoid sikkerhetssamfunn blomstret til tross for at Open Crypto Audit Project kunngjorde at etter fase I av tilsynet, ble det ikke funnet noen store sårbarheter. Med tillit til TrueCrypt til enhver tid, men med etterspørsel etter funksjonene den lovet fortsatt høy (ikke noe annet program tilbød alle TrueCrypts fordeler bortsett fra gafler av det, som selv var mistenkt), bestemte forskerne seg for å fortsette med tilsynet.

I forrige uke ble resultatene fra fase II av tilsynet publisert, og gir i det store og hele TrueCrypt en ren helsefortegnelse. Så langt revisjonsteamet kan bestemme (det er ingen måte å være 100% sikker på), inneholder kryptoprogramvaren ingen bevisste NSA-utnyttbare bakdører eller sårbarheter. Som sjefforsker av rapporten oppsummerte Matthew Green i et blogginnlegg,

‘TL; DR er at basert på dette tilsynet ser Truecrypt ut til å være et relativt godt designet stykke kryptoprogramvare. NCC-tilsynet fant ingen bevis for bevisste bakdører eller noen alvorlige designfeil som vil gjøre programvaren usikker i de fleste tilfeller. '

Teamet fant en rekke problemer som det anbefaler behov for å fikse, men disse kan løses, og utgjør uansett ikke noen stor trussel for brukere, bortsett fra under de mest usannsynlige omstendigheter,

‘Det betyr ikke at Truecrypt er perfekt. Revisorene fant noen få feil og noen ubehagelig programmering - noe som førte til et par problemer som under de rette omstendigheter kan føre til at Truecrypt gir mindre sikkerhet enn vi ønsker det..

‘For eksempel: det viktigste problemet i Truecrypt-rapporten er et funn relatert til Windows-versjonen av Truecrypts random number generator (RNG), som er ansvarlig for å generere nøklene som krypterer Truecrypt-volum. Dette er et viktig stykke kode, siden en forutsigbar RNG kan stave katastrofe for sikkerheten til alt annet i systemet ...

Dette er ikke verdens ende, siden sannsynligheten for en slik fiasko er ekstremt liten. Selv om Windows Crypto API ikke mislykkes på systemet ditt, henter Truecrypt fremdeles entropi fra kilder som systempekere og musebevegelser. Disse alternativene er sannsynligvis gode nok til å beskytte deg. Men det er et dårlig design og bør absolutt fikses i Truecrypt-gafler. '

Sikkerhetssamfunnet puster nå sannsynligvis et stort lettelsens sukk, og disse resultatene forbedrer sannsynligvis tilliten til gafler som er utviklet siden TrueCrypt's teoretiske bortgang. Det store problemet med slike gafler er at TrueCrypt-koden, selv om kilden er tilgjengelig for revisjon, ikke virkelig er åpen kildekode, og at en slik gaffel er utviklet i strid med copyright. For at dette skulle være et problem, ville de opprinnelige devsene måtte av anonymisere seg og trykke påstanden, noe som ga anstrengelsen de har gått for å beskytte identiteten deres, anser de fleste observatører som usannsynlige. Det er likevel noe av et gamble for fremtidige investorer å potensielt kaste bort mye tid og krefter på å utvikle programvare som til slutt kan legges ned.

De to viktigste gaflene til TrueCrypt som for tiden er i utvikling er VeraCrypt og CypherShed, hvorav VeraCrypt generelt blir sett på som de bedre (og som hevder å ha løst noen av problemene med TrueCrypt). Se på denne plassen for en grundig titt på VeraCrypt.

De som foretrekker å stole på den allerede reviderte koden, kan finne gamle versjoner av programvaren på TrueCrypt Final Release Repository (vi har en fullstendig guide til å bruke TrueCrypt tilgjengelig her), mens de fremdeles hilser på TrueCrypt helt (en ganske forståelig posisjon i vår til tross for de nye funnene) kan vi gjerne sjekke artikkelen vår om de 5 beste open source-alternativene til TrueCrypt.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me