Το TrueCrypt περνά τον έλεγχο

Το πρόγραμμα κρυπτογράφησης πλήρους δίσκου ελεύθερου και ανοιχτού κώδικα Το TrueCrypt ήταν το αγαπημένο του κόσμου ασφαλείας (συνιστάται από τον Edward Snowden και Amazon), παρά το γεγονός ότι οι προγραμματιστές του παρέμειναν ανώνυμοι και ο κώδικας δεν είχε ελεγχθεί ανεξάρτητα.


Ακριβώς όταν το δεύτερο πρόβλημα αντιμετωπίστηκε με συνεχή έλεγχο μετά από ένα έργο που χρηματοδοτήθηκε από το Electronic Frontier Foundation (EFF), το TrueCrypt εξήγαγε ξαφνικά το βύσμα του λογισμικού του σε εξαιρετικά απειλητικές περιστάσεις, συνιστώντας στους χρήστες να αλλάζουν άγρια ​​ανασφαλείς και επιβεβαιωμένες από τα έγγραφα Snowden να έχουν τεθεί υπό αμφισβήτηση από την NSA, BitLocker - κίνηση τόσο περίεργη που πολλοί θεωρούν ότι είναι ένα ξεκάθαρο έντυπο καναρίνι κάποιου είδους.

Οι θεωρίες συνωμοσίας ανάμεσα σε μια ολοένα και πιο παρανοϊκή κοινότητα ασφαλείας άνθισαν παρά το Open Audit Crypt Project, ανακοινώνοντας ότι μετά την πρώτη φάση του ελέγχου, δεν εντοπίστηκαν μεγάλες ευπάθειες. Με την εμπιστοσύνη στο TrueCrypt σε χαμηλά επίπεδα όλων των εποχών, αλλά με τη ζήτηση για τα χαρακτηριστικά που υποσχέθηκαν ακόμα υψηλά (κανένα άλλο πρόγραμμα δεν προσέφερε όλα τα πλεονεκτήματα του TrueCrypt, εκτός από τα πιρούνια του, τα οποία ήταν και τα ίδια ύποπτα), οι ερευνητές αποφάσισαν να συνεχίσουν τον έλεγχο.

Την περασμένη εβδομάδα δημοσιεύτηκαν τα αποτελέσματα της Φάσης ΙΙ του ελέγχου και γενικά έδωσαν TrueCrypt ένα καθαρό νομοσχέδιο υγείας. Όσο η ομάδα ελέγχου μπορεί να καθορίσει (δεν υπάρχει κανένας τρόπος να είναι 100% σίγουρος), το κρυπτο-λογισμικό δεν περιέχει εσκεμμένα αναστρέψιμα backdoors ή ευπάθειες. Ως επικεφαλής ερευνητής της έκθεσης, ο Matthew Green συνοψίζει σε μια θέση blog,

«Το TL, DR είναι αυτό που βασίζεται σε αυτόν τον έλεγχο, το Truecrypt φαίνεται να είναι ένα σχετικά καλά σχεδιασμένο κομμάτι του λογισμικού κρυπτογράφησης. Ο έλεγχος του NCC δεν διαπίστωσε την ύπαρξη σκόπιμων παρασκηνίων ή οποιωνδήποτε σοβαρών ελλείψεων στο σχεδιασμό που θα καθιστούσαν το λογισμικό ανασφαλές στις περισσότερες περιπτώσεις.

Η ομάδα διαπίστωσε ορισμένα προβλήματα που συνιστά την επιδιόρθωση της ανάγκης, αλλά αυτά μπορούν να διορθωθούν και δεν παρουσιάζουν ουσιώδη απειλή για τους χρήστες εκτός από τις πιο απίθανες περιστάσεις,

«Αυτό δεν σημαίνει ότι το Truecrypt είναι τέλειο. Οι ελεγκτές βρήκαν μερικές δυσλειτουργίες και κάποιο αναρμόδιο προγραμματισμό - οδηγώντας σε μερικά θέματα που θα μπορούσαν, υπό τις κατάλληλες συνθήκες, να οδηγήσουν το Truecrypt να δώσει λιγότερες εγγυήσεις από ό, τι θα θέλαμε να.

"Για παράδειγμα: το πιο σημαντικό ζήτημα στην αναφορά Truecrypt είναι μια διαπίστωση που σχετίζεται με την έκδοση των τυχαίων αριθμών (RNG) της Truecrypt, η οποία είναι υπεύθυνη για τη δημιουργία των κλειδιών που κρυπτογραφούν τους τόμους Truecrypt. Αυτό είναι ένα σημαντικό κομμάτι κώδικα, αφού ένα προβλέψιμο RNG μπορεί να συμβεί καταστροφή για την ασφάλεια οτιδήποτε άλλο στο σύστημα ...

Αυτό δεν είναι το τέλος του κόσμου, καθώς η πιθανότητα μιας τέτοιας αποτυχίας είναι εξαιρετικά χαμηλή. Επιπλέον, ακόμα και αν το Windows Crypto API αποτύχει στο σύστημά σας, το Truecrypt εξακολουθεί να συλλέγει την εντροπία από πηγές όπως δείκτες συστήματος και κινήσεις του ποντικιού. Αυτές οι εναλλακτικές λύσεις είναι πιθανώς αρκετά ικανοποιητικές για να σας προστατεύσουν. Αλλά είναι κακός σχεδιασμός και σίγουρα θα πρέπει να καθοριστεί σε οποιαδήποτε πιρούνια Truecrypt. "

Η κοινότητα ασφάλειας είναι πιθανό να αναπνεύσει τώρα ένα μεγάλο αναστεναγμό και αυτά τα αποτελέσματα είναι πιθανό να βελτιώσουν την εμπιστοσύνη στα πιρούνια που έχουν αναπτυχθεί από τη θεωρητική κατάρρευση του TrueCrypt. Το μεγάλο πρόβλημα με τέτοιες πιρούνες είναι ότι ο κώδικας TrueCrypt, ενώ η πηγή είναι διαθέσιμος για έλεγχο, δεν είναι πραγματικά ανοιχτή πηγή, και έτσι κάθε τέτοιο πιρούνι αναπτύσσεται κατά παραβίαση των πνευματικών δικαιωμάτων. Ωστόσο, για να είναι αυτό το ζήτημα, οι αρχικοί συντηρητές θα έπρεπε να απονομιμοποιούν τον εαυτό τους και να πιέζουν τον ισχυρισμό, κάτι που δεδομένης της προσπάθειας που έχουν καταβάλει για να προστατεύσουν την ταυτότητά τους, οι περισσότεροι παρατηρητές θεωρούν απίθανη. Παρόλα αυτά, πρόκειται για ένα τυχερό παιχνίδι για τους μελλοντικούς προγραμματιστές που πιθανόν να χάνουν πολύ χρόνο και προσπάθεια για την ανάπτυξη λογισμικού που τελικά θα μπορούσε να κλείσει.

Οι δύο μεγαλύτερες πιρούνες του TrueCrypt που βρίσκονται σήμερα σε εξέλιξη είναι οι VeraCrypt και CypherShed, των οποίων το VeraCrypt θεωρείται γενικά το καλύτερο (και το οποίο ισχυρίζεται ότι έχει επιδιορθώσει μερικά από τα προβλήματα με το TrueCrypt). Παρακολουθήστε αυτό το χώρο για μια σε βάθος ματιά στο VeraCrypt.

Όσοι προτιμούν να εμπιστεύονται τον ήδη ελεγμένο κώδικα μπορούν να βρουν παλιές εκδόσεις του λογισμικού στο TrueCrypt Final Release Repository (έχουμε έναν πλήρη οδηγό για τη χρήση του TrueCrypt που είναι διαθέσιμος εδώ), ενώ αυτοί που εξακολουθούν να υποφέρουν από TrueCrypt είναι εντελώς κατανοητές άποψη, παρά τα νέα ευρήματα) ίσως να θέλαμε να ελέγξουμε το άρθρο μας σχετικά με 5 καλύτερες εναλλακτικές λύσεις ανοιχτού κώδικα για TrueCrypt.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

20 − = 18

map