TrueCryptは監査に合格します

無料でオープンソースのフルディスク暗号化プログラムTrueCryptは、開発者が匿名のままであり、コードが独立して監査されていなかったにもかかわらず、セキュリティの世界の最愛の人でした(エドワードスノーデンとAmazonも同様に推奨)。.

Electronic Frontier Foundation(EFF)が支援するクラウドファンディングプロジェクトに続いて進行中の監査でこの2番目の問題が対処された直後、TrueCrypt開発者は非常に危険な状況で突然ソフトウェアのプラグを抜いて、ユーザーを非常に安全でない状態に切り替えてから確認することを推奨しましたSnowden docsにより、NSA、BitLockerによって侵害された-非常に奇妙な動きであり、多くの人がそれを何らかの種類の明確な令状カナリアと見なす.

Open Crypto Audit Projectが監査のフェーズIに続いて主要な脆弱性は発見されなかったと発表したにもかかわらず、ますます妄想的なセキュリティコミュニティの陰謀説が繁栄しました。 TrueCryptには常に低い信頼性がありますが、機能に対する需要はまだ高いと約束しました(フォーク以外のTrueCryptsの利点を提供するプログラムは他にないため、それ自体が疑わしい)、研究者は監査を続けることを決定しました.

先週、監査のフェーズIIの結果が公開され、TrueCryptに明確な健康状態表が広く提供されました。監査チームが判断できる限り(100%確実である方法はありません)、暗号ソフトウェアには意図的なNSAが悪用可能なバックドアや脆弱性は含まれていません。レポートの主任研究員として、マシュー・グリーンはブログ投稿で要約しました,

「TL; DRは、この監査に基づいて、Truecryptが比較的適切に設計された暗号ソフトウェアであるように見えることです。 NCCの監査では、意図的なバックドアの証拠や、ほとんどの場合ソフトウェアを安全でないものにする重大な設計上の欠陥は見つかりませんでした。

チームは修正が必要な多くの問題を発見しましたが、修正することができ、とにかく最もありそうもない状況を除いてユーザーに大きな脅威を与えません,

「それはTruecryptが完璧であることを意味しません。監査人は、いくつかの不具合といくつかの不注意なプログラミングを見つけました-適切な状況で、Truecryptが私たちが望むよりも少ない保証を与える可能性のあるいくつかの問題につながります.

「たとえば、Truecryptレポートで最も重要な問題は、Truecryptボリュームを暗号化するキーを生成するTruecryptの乱数ジェネレーター(RNG)のWindowsバージョンに関連する発見です。これは重要なコードです。予測可能なRNGは、システム内の他のすべてのセキュリティに災害をもたらす可能性があるためです…

このような失敗の可能性は非常に低いため、これは世界の終わりではありません。さらに、Windows Crypto APIがシステムで失敗しても、Truecryptはシステムポインターやマウスの動きなどのソースからエントロピーを収集します。これらの選択肢はおそらくあなたを保護するのに十分です。しかし、これは悪い設計であり、Truecryptフォークで確実に修正する必要があります。」

現在、セキュリティコミュニティは大きな安ighのため息をついているようです。これらの結果は、TrueCryptの理論的終since以降に開発されたフォークへの信頼を高める可能性があります。このようなフォークの大きな問題は、TrueCryptコードは、監査に利用できるソースですが、真にオープンソースではないため、そのようなフォークはすべて著作権に違反して開発されることです。しかし、これが問題になるためには、元の開発者は匿名を解除し、主張を押す必要があります。これは、アイデンティティを保護するために行った努力を考えると、ほとんどのオブザーバーは考えにくいと考えています。それにもかかわらず、将来の開発者が最終的にシャットダウンされる可能性のあるソフトウェアの開発に多大な時間と労力を浪費する可能性はギャンブルのようなものです.

現在開発中のTrueCryptの2つの主要な分岐点はVeraCryptとCypherShedであり、VeraCryptは一般的に優れていると見なされています(TrueCryptの問題の一部を修正したと主張しています)。 VeraCryptの詳細については、このスペースをご覧ください.

既に監査されたコードを信頼したい人は、TrueCrypt最終リリースリポジトリでソフトウェアのレガシーバージョンを見つけることができます(ここにTrueCryptの使用に関する完全なガイドがあります)。新しい発見にもかかわらずビューをご覧ください)TrueCryptの5つのオープンソースの代替案に関する記事をご覧ください。.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me