TrueCrypt يمر التدقيق

برنامج تشفير القرص الحر والمفتوح المصدر المفتوح كان TrueCrypt محبوبًا في عالم الأمان (الذي أوصى به إدوارد سنودن والأمازون على حد سواء) ، على الرغم من أن مطوريها ظلوا مجهولين ولم تتم مراجعة الكود بشكل مستقل.

فقط عندما تتم معالجة هذه المشكلة الثانية من خلال مراجعة مستمرة في أعقاب مشروع تمويل الجماعي المدعوم من مؤسسة Electronic Frontier Foundation (EFF) ، قام برنامج TrueCrypt devs فجأة بسحب القابس على البرامج الخاصة بهم في ظروف شديدة المراوغة ، والتوصية بأن يتحول المستخدمون إلى الوضع غير الآمن بشكل مؤكد ومنذ تأكيده بواسطة مستندات Snowden التي قد تكون عرضة للتهديد من قبل وكالة الأمن القومي ، BitLocker - خطوة غريبة لدرجة أن الكثيرين يعتبرونها أمرًا واضحًا من نوع ما.

ازدهرت نظريات المؤامرة بين مجتمع الأمن بجنون العظمة بشكل متزايد على الرغم من مشروع مراجعة تشفير مفتوحة يعلن أنه بعد المرحلة الأولى من التدقيق ، لم يتم العثور على نقاط الضعف الرئيسية. مع الثقة في TrueCrypt في أدنى مستوياته على الإطلاق ، ولكن مع الطلب على الميزات التي وعدت بها لا تزال مرتفعة (لم يقدم أي برنامج آخر كل مزايا TrueCrypts باستثناء الشوك منه ، والتي كانت في حد ذاتها مشكوك فيها) ، قرر الباحثون الاستمرار في المراجعة.

في الأسبوع الماضي ، تم نشر نتائج المرحلة الثانية من التدقيق ، وإعطاء TrueCrypt على نطاق واسع فاتورة صحية نظيفة. بقدر ما يمكن لفريق التدقيق تحديد (لا توجد وسيلة للتأكد بنسبة 100 ٪ ،) لا يحتوي البرنامج المشفر على أي خواص أو ثغرات أمنية قابلة للاستغلال في ضمانات الأمن السلبية. بصفته كبير الباحثين في التقرير ، لخص ماثيو جرين في منشور بالمدونة,

TL TL ؛ DR هي أنه بناءً على هذا التدقيق ، يبدو Truecrypt جزءًا من برنامج التشفير المصمم جيدًا نسبيًا. لم يعثر التدقيق في NCC على أي دليل على وجود خلفية متعمدة أو أي عيوب شديدة في التصميم ستجعل البرنامج غير آمن في معظم الحالات.

لقد وجد الفريق عددًا من المشكلات التي يوصي بحاجتها إلى إصلاح ، لكن يمكن حلها ، ولا تشكل بأي حال تهديدًا كبيرًا للمستخدمين إلا في ظل الظروف الأكثر ترجيحًا,

‘هذا لا يعني أن Truecrypt مثالي. لم يجد المدققون بعض الثغرات وبعض البرامج غير الواضحة - الأمر الذي أدى إلى حدوث عدد من المشكلات التي قد تؤدي ، في الظروف المناسبة ، إلى إعطاء Truecrypt ضمانًا أقل مما نود.

‘على سبيل المثال: تتمثل المشكلة الأكثر أهمية في تقرير Truecrypt في الاستنتاج المتعلق بإصدار Windows الخاص بمولد الأرقام العشوائية (RNG) في Truecrypt ، وهو المسؤول عن إنشاء المفاتيح التي تشفر وحدات تخزين Truecrypt. هذا جزء مهم من التعليمات البرمجية ، نظرًا لأن RNG يمكن التنبؤ به يمكن أن يتسبب في كارثة على أمان أي شيء آخر في النظام ...

ليست هذه هي نهاية العالم ، لأن احتمال حدوث مثل هذا الفشل منخفض للغاية. علاوة على ذلك ، حتى إذا فشلت واجهة برمجة تطبيقات Windows Crypto على نظامك ، فإن Truecrypt لا يزال يجمع إنتروبيا من مصادر مثل مؤشرات النظام وحركات الماوس. هذه البدائل ربما تكون جيدة بما يكفي لحمايتك. ولكنه تصميم سيئ ويجب بالتأكيد إصلاحه في أي شوكات Truecrypt. '

من المحتمل أن يتنفس مجتمع الأمن الآن الصعداء الكبير ، ومن المحتمل أن تؤدي هذه النتائج إلى تحسين الثقة في الشوكات التي تم تطويرها منذ زوال TrueCrypt النظري. تكمن المشكلة الكبيرة في مثل هذه الشوكات في أن رمز TrueCrypt ، بينما يكون المصدر متاحًا للتدقيق ، ليس مصدرًا مفتوحًا بالفعل ، وبالتالي يتم تطوير أي شوكة في انتهاك لحقوق الطبع والنشر. ومع ذلك ، لكي تكون هذه مشكلة ، سيتعين على المطورين الأصليين عدم الكشف عن هويتهم والضغط على الادعاء ، وهو أمر نظرًا للجهد الذي بذلوه لحماية هوياتهم ، فإن معظم المراقبين يعتبرون ذلك غير مرجح. مع ذلك ، من المقامرة بالنسبة لـ devs المستقبلية أن تضيع الكثير من الوقت والجهد لتطوير البرامج التي قد يتم إيقافها في النهاية.

الشركتان الرئيسيتان لـ TrueCrypt الجاري تطويرهما حاليًا هما VeraCrypt و CypherShed ، والتي يعتبر VeraCrypt عمومًا أفضلها (والذي يدعي أنه تم إصلاح بعض مشكلات TrueCrypt). شاهد هذه المساحة لإلقاء نظرة متعمقة على VeraCrypt.

يمكن لأولئك الذين يفضلون الوثوق في الكود الذي تم تدقيقه بالفعل العثور على الإصدارات القديمة من البرنامج في مستودع TrueCrypt Final Release (لدينا دليل كامل لاستخدام TrueCrypt متاح هنا) ، في حين أن أولئك الذين ما زالوا حذرين من TrueCrypt تمامًا (موقف مفهوم تمامًا في موقعنا عرض ، على الرغم من النتائج الجديدة) قد ترغب في مراجعة مقالتنا على أفضل 5 بدائل مفتوحة المصدر ل TrueCrypt.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me