TrueCrypt ने ऑडिट पास किया

फ्री और ओपन सोर्स फुल डिस्क एन्क्रिप्शन प्रोग्राम TrueCrypt सुरक्षा दुनिया का प्रिय था (एडवर्ड स्नोडेन और अमेज़ॅन एक जैसे द्वारा अनुशंसित), इस तथ्य के बावजूद कि इसके डेवलपर्स गुमनाम रहे और कोड का स्वतंत्र रूप से ऑडिट नहीं किया गया था.

जब यह दूसरी समस्या इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन (EFF) समर्थित क्राउडफंडड प्रोजेक्ट के बाद चल रहे ऑडिट के साथ संबोधित की जा रही थी, ट्रूक्रिप्ट देवों ने अचानक अपने सॉफ्टवेयर को बेहद खराब परिस्थितियों में प्लग खींच लिया, जिससे उपयोगकर्ताओं को बेतहाशा असुरक्षित होने की पुष्टि हो गई और पुष्टि हो गई। स्नोडेन डॉक्स द्वारा NSA द्वारा समझौता किया जाना, BitLocker -a इतनी विचित्र चाल है कि कई इसे किसी तरह का स्पष्ट वारंट कैनरी मानते हैं.

ओपन क्रिप्टो ऑडिट प्रोजेक्ट की घोषणा के बावजूद एक तेजी से अपसामान्य सुरक्षा समुदाय के बीच षड्यंत्र के सिद्धांत पनप रहे हैं, इसके ऑडिट के बाद, कोई बड़ी कमजोरियां नहीं पाई गईं। ट्रू-क्रिप्ट में विश्वास के साथ सर्वकालिक कम, लेकिन सुविधाओं के लिए मांग के साथ यह अभी भी उच्च का वादा किया (इसके अलावा कोई अन्य कार्यक्रम ट्रिक्स के फायदे की पेशकश नहीं करता है, जो खुद को संदिग्ध थे), शोधकर्ताओं ने ऑडिट के साथ प्रेस करने का फैसला किया.

पिछले सप्ताह ऑडिट के दूसरे चरण के परिणाम प्रकाशित किए गए थे, और मोटे तौर पर ट्रू क्रिप्ट को स्वास्थ्य का एक साफ बिल दिया गया था। जहां तक ​​ऑडिट टीम निर्धारित कर सकती है (100% सुनिश्चित होने का कोई तरीका नहीं है), क्रिप्टो-सॉफ्टवेयर में कोई जानबूझकर एनएसए-शोषक बैकडोर या कमजोरियां नहीं हैं। रिपोर्ट के मुख्य शोधकर्ता के रूप में, मैथ्यू ग्रीन ने एक ब्लॉग पोस्ट में संक्षेप किया,

, टीएल; DR यह है कि इस ऑडिट के आधार पर, Truecrypt क्रिप्टो सॉफ्टवेयर का एक अपेक्षाकृत अच्छी तरह से डिज़ाइन किया गया टुकड़ा प्रतीत होता है। एनसीसी ऑडिट में जानबूझकर बैकडोर, या किसी भी गंभीर डिजाइन खामियों का कोई सबूत नहीं मिला, जो अधिकांश उदाहरणों में सॉफ्टवेयर को असुरक्षित बना देगा। '

टीम को कई समस्याओं का पता चला, जिनके लिए इसे ठीक करने की आवश्यकता है, लेकिन इन्हें ठीक किया जा सकता है, और किसी भी परिस्थिति में उपयोगकर्ताओं के लिए एक बड़ा खतरा नहीं है, सिवाय परिस्थितियों के बिना,

‘इसका मतलब यह नहीं है कि Truecrypt एकदम सही है। ऑडिटरों ने कुछ गड़बड़ियां और कुछ अनौपचारिक प्रोग्रामिंग की खोज की - कुछ ऐसे मुद्दों के बारे में, जो सही परिस्थितियों में, Truecrypt को कम आश्वासन देने का कारण बन सकते हैं, जैसा हम चाहते हैं।.

Ec उदाहरण के लिए: Truecrypt रिपोर्ट में सबसे महत्वपूर्ण मुद्दा Truecrypt के यादृच्छिक संख्या जनरेटर (RNG) के विंडोज संस्करण से संबंधित एक खोज है, जो Truecrypt संस्करणों को एन्क्रिप्ट करने वाली कुंजियों को उत्पन्न करने के लिए जिम्मेदार है। यह कोड का एक महत्वपूर्ण टुकड़ा है, क्योंकि एक पूर्वानुमानित आरएनजी सिस्टम में बाकी सभी चीजों की सुरक्षा के लिए आपदा का कारण बन सकता है ...

यह दुनिया का अंत नहीं है, क्योंकि इस तरह की विफलता की संभावना बेहद कम है। इसके अलावा, भले ही विंडोज क्रिप्टो एपीआई आपके सिस्टम पर विफल हो, Truecrypt अभी भी सिस्टम पॉइंटर्स और माउस आंदोलनों जैसे स्रोतों से एन्ट्रॉपी इकट्ठा करता है। ये विकल्प शायद आपकी रक्षा करने के लिए पर्याप्त हैं। लेकिन यह एक खराब डिजाइन है और इसे निश्चित रूप से किसी भी Truecrypt कांटे में तय किया जाना चाहिए। '

सुरक्षा समुदाय अब राहत की एक बड़ी सांस ले रहा है, और इन परिणामों से उन फोर्क में विश्वास में सुधार होने की संभावना है जो ट्रूक्रॉफ्ट के सैद्धांतिक निधन के बाद विकसित किए गए हैं। इस तरह के कांटे के साथ बड़ी समस्या यह है कि ट्रू क्रिप्ट कोड, जबकि ऑडिटिंग के लिए उपलब्ध स्रोत, वास्तव में खुला स्रोत नहीं है, और इसलिए इस तरह के किसी भी कांटे को कॉपीराइट के उल्लंघन में विकसित किया जाता है। हालाँकि, इसके लिए एक मुद्दा होने के लिए, मूल देवों को खुद को डी-अनामीज़ करना होगा और दावे को दबाना होगा, कुछ ऐसा जो उन्होंने अपनी पहचान की रक्षा के लिए किया है, जिसे देखते हुए अधिकांश पर्यवेक्षक संभावना नहीं मानते हैं। यह भविष्य के देवताओं के लिए संभावित जुआ खेलने का समय और प्रयास विकासशील सॉफ्टवेयर का एक बड़ा हिस्सा बर्बाद करने के लिए है जो अंततः बंद हो सकता है।.

वर्तमान में विकास में ट्रू क्रिप्टेक के दो प्रमुख कांटे वेराक्रिप्ट और साइफ्रेडशेड हैं, जिनमें से वेराक्रिप्ट को आमतौर पर बेहतर माना जाता है (और जो कि ट्रू क्रिप्टेक के साथ कुछ समस्याओं को ठीक करने का दावा करता है)। VeraCrypt पर गहराई से देखने के लिए इस स्थान को देखें.

जो लोग पहले से ही ऑडिट किए गए कोड पर भरोसा करना पसंद करेंगे, वे ट्रू क्रिप्ट फाइनल रिलीज़ रिपॉजिटरी में सॉफ्टवेयर के विरासत संस्करण पा सकते हैं (हमारे पास ट्रू क्रिप्ट्री का उपयोग करने के लिए एक पूर्ण मार्गदर्शिका उपलब्ध है), जबकि वे अभी भी ट्रू क्रिप्टेक का पूरी तरह से उपयोग करते हैं (हमारे बारे में काफी समझ में आने वाली स्थिति देखें, नए निष्कर्षों के बावजूद) ट्रू-क्रिप्ट के 5 सर्वश्रेष्ठ ओपन सोर्स विकल्पों पर हमारे लेख को देखना पसंद कर सकते हैं.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me