TrueCrypt slaagt voor audit

Het gratis en open source volledige schijfcoderingsprogramma TrueCrypt was de lieveling van de beveiligingswereld (zowel aanbevolen door Edward Snowden als Amazon), ondanks het feit dat de ontwikkelaars anoniem bleven en de code niet onafhankelijk was gecontroleerd.


Net toen dit tweede probleem werd aangepakt met een voortdurende audit na een Crowdfunded-project met ondersteuning van de Electronic Frontier Foundation (EFF), trokken de TrueCrypt-ontwikkelaars plotseling de stekker uit hun software in extreem onheilspellende omstandigheden, en beveel gebruikers aan over te schakelen naar de wild onzekere en sinds bevestigde door Snowden docs te zijn gecompromitteerd door de NSA, BitLocker - een beweging die zo bizar is dat velen het beschouwen als een soort duidelijk kanarie van een soort.

Samenzweringstheorieën onder een steeds paranoïde beveiligingsgemeenschap floreerden ondanks het Open Crypto Audit Project dat aankondigde dat na fase I van de audit geen grote kwetsbaarheden werden gevonden. Met vertrouwen in TrueCrypt ooit laag, maar met de vraag naar de functies die het nog steeds beloofde (geen ander programma bood alle TrueCrypts voordelen behalve de vorken ervan, die zelf verdacht waren), besloten de onderzoekers door te gaan met de audit.

Vorige week werden de resultaten van fase II van de audit gepubliceerd, en geven TrueCrypt in het algemeen een duidelijke gezondheidsverklaring. Voor zover het auditteam kan bepalen (er is geen manier om 100% zeker te zijn), bevat de crypto-software geen opzettelijke NSA-exploiteerbare backdoors of kwetsbaarheden. Als hoofdonderzoeker van het rapport vatte Matthew Green samen in een blogpost,

‘De TL; DR is dat op basis van deze audit Truecrypt een relatief goed ontworpen stuk crypto-software lijkt te zijn. De NCC-audit heeft geen bewijs gevonden van opzettelijke achterdeuren of ernstige ontwerpfouten die de software in de meeste gevallen onzeker maken. '

Het team heeft wel een aantal problemen gevonden die volgens haar moeten worden opgelost, maar deze kunnen worden opgelost en vormen in geen geval een grote bedreiging voor gebruikers, behalve in de meest onwaarschijnlijke omstandigheden,

‘Dat betekent niet dat Truecrypt perfect is. De auditors hebben een paar foutjes en een aantal onvoorzichtige programmering gevonden - wat leidde tot een paar problemen die, in de juiste omstandigheden, ertoe konden leiden dat Truecrypt minder zekerheid gaf dan we zouden willen.

‘Bijvoorbeeld: het belangrijkste probleem in het Truecrypt-rapport is een bevinding met betrekking tot de Windows-versie van Truecrypt's random number generator (RNG), die verantwoordelijk is voor het genereren van de sleutels die Truecrypt-volumes coderen. Dit is een belangrijk stuk code, omdat een voorspelbare RNG rampzalig kan zijn voor de beveiliging van al het andere in het systeem ...

Dit is niet het einde van de wereld, omdat de kans op een dergelijk falen extreem laag is. Bovendien, zelfs als de Windows Crypto API op uw systeem faalt, verzamelt Truecrypt nog steeds entropie van bronnen zoals systeemaanwijzers en muisbewegingen. Deze alternatieven zijn waarschijnlijk goed genoeg om u te beschermen. Maar het is een slecht ontwerp en moet zeker worden opgelost in elke Truecrypt-vork. '

De beveiligingsgemeenschap ademt waarschijnlijk nu een grote zucht van opluchting, en deze resultaten verbeteren waarschijnlijk het vertrouwen in de vorken die zijn ontwikkeld sinds de theoretische ondergang van TrueCrypt. Het grote probleem met dergelijke vorken is dat de TrueCrypt-code, hoewel deze beschikbaar is voor auditing, niet echt open source is, en dus is zo'n vork ontwikkeld in strijd met het auteursrecht. Echter, om dit probleem te veroorzaken, zouden de oorspronkelijke ontwikkelaars zichzelf moeten de-anonimiseren en op de claim moeten drukken, iets dat gezien de inspanningen die ze hebben gedaan om hun identiteit te beschermen, de meeste waarnemers onwaarschijnlijk vinden. Het is echter een gok voor toekomstige ontwikkelaars om potentieel veel tijd en moeite te verspillen aan het ontwikkelen van software die uiteindelijk kan worden afgesloten.

De twee belangrijkste vorken van TrueCrypt die momenteel in ontwikkeling zijn, zijn VeraCrypt en CypherShed, waarvan VeraCrypt algemeen wordt beschouwd als de betere (en die beweert enkele van de problemen met TrueCrypt te hebben opgelost). Bekijk deze ruimte voor een diepgaande blik op VeraCrypt.

Degenen die liever de reeds gecontroleerde code vertrouwen, kunnen verouderde versies van de software vinden in de TrueCrypt Final Release Repository (we hebben een volledige handleiding voor het gebruik van TrueCrypt hier beschikbaar), terwijl degenen die TrueCrypt nog steeds wantrouwig zijn (een heel begrijpelijke positie in onze weergave, ondanks de nieuwe bevindingen), zou u graag ons artikel willen lezen over 5 beste open source-alternatieven voor TrueCrypt.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me