TrueCrypt通过审核

免费和开源的全盘加密程序TrueCrypt是安全界的宠儿(爱德华·斯诺登和亚马逊都推荐),尽管它的开发人员仍然是匿名的,并且该代码未经独立审核.


就在通过电子前沿基金会(EFF)支持的众筹项目进行持续审核解决了第二个问题时,TrueCrypt开发人员突然在极端狡猾的情况下拔掉了他们的软件,建议用户切换到极为不安全的状态,并确定由美国国家安全局(NSA)BitLocker破坏,这一举动之所以如此怪异,以至于许多人认为它是某种明确的授权金丝雀.

尽管Open Crypto Audit Project宣布在其审核的第一阶段之后,未发现重大漏洞,但越来越多的偏执的安全社区中的阴谋论仍然兴旺。由于对TrueCrypt的信心一直处于历史低位,但对它所承诺的功能的需求仍然很高(除其他程序外,其他程序都没有提供TrueCrypts的所有优势,但它们本身就值得怀疑),研究人员决定着手进行审核.

上周,审核第二阶段的结果发布了,并广泛地为TrueCrypt提供了清晰的健康单。就审计团队所能确定的(无法百分百确定),该加密软件不包含任何故意被NSA利用的后门或漏洞。作为该报告的首席研究员,Matthew Green在博客文章中进行了总结,

‘TL; DR是基于这次审核的结果,Truecrypt似乎是设计相对完善的加密软件。 NCC审核发现,没有证据表明有故意的后门程序,也没有任何严重的设计缺陷,在大多数情况下都会使软件不安全。’

团队确实发现了一些建议解决的问题,但是可以解决,除非在最不可能的情况下,否则不会对用户构成重大威胁,

‘这并不意味着Truecrypt是完美的。审核员确实发现了一些小故障和一些不适当的编程-导致了一些问题,这些问题在适当的情况下可能导致Truecrypt提供的保证比我们期望的要少。.

‘例如:Truecrypt报告中最重要的问题是与Windows版本的Truecrypt随机数生成器(RNG)有关的发现,RNG负责生成用于加密Truecrypt卷的密钥。这是重要的代码,因为可预测的RNG可能会破坏系统中其他所有内容的安全性……

这不是世界末日,因为这种故障​​的可能性极低。而且,即使Windows Crypto API在您的系统上确实失败了,Truecrypt仍然会从诸如系统指针和鼠标移动之类的源中收集熵。这些替代方法可能足以保护您。但这是一个糟糕的设计,当然应该在任何Truecrypt分支中进行修复。’

安全界现在可能会松一口气,这些结果可能会增强人们对TrueCrypt自理论灭亡以来开发的分叉的信心。这种分支的最大问题是,尽管TrueCrypt代码可用于审核,但它并不是真正的开源,因此开发任何此类分支都侵犯了版权。但是,要想解决这个问题,原始开发人员将不得不取消匿名处理并提出主张,鉴于他们为保护自己的身份而付出的努力,大多数观察者认为这不太可能。但是,对于将来的开发人员来说,可能浪费大量时间和精力来开发可能最终被关闭的软件,这是一场赌博。.

目前正在开发的TrueCrypt的两个主要分支是VeraCrypt和CypherShed,通常认为VeraCrypt更好,并且声称已经解决了TrueCrypt的一些问题。观看此空间,深入了解VeraCrypt.

那些希望信任已审计代码的人可以在TrueCrypt最终版本存储库中找到该软件的旧版本(我们在此处提供了使用TrueCrypt的完整指南),而那些人仍然对TrueCrypt持怀疑态度(在我们的位置上是可以理解的)视图,尽管有新发现)可能想查看我们关于TrueCrypt的5种最佳开源替代品的文章.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me