Program enkripsi diska penuh dan sumber terbuka gratis TrueCrypt adalah kesayangan dunia keamanan (direkomendasikan oleh Edward Snowden dan Amazon), terlepas dari kenyataan bahwa pengembangnya tetap anonim dan kode tersebut belum diaudit secara independen.

Tepat ketika masalah kedua ini sedang ditangani dengan audit yang sedang berlangsung setelah proyek crowdfunded yang didukung Electronic Frontier Foundation (EFF), para TrueCrypt devs tiba-tiba menarik steker pada perangkat lunak mereka dalam keadaan yang sangat cerdik, merekomendasikan bahwa pengguna beralih ke yang tidak aman dan karena dikonfirmasi oleh Snowden docs telah dikompromikan oleh NSA, BitLocker - suatu langkah yang sangat aneh sehingga banyak yang menganggapnya sebagai surat perintah kenari yang jelas dari beberapa jenis.

Teori konspirasi di antara komunitas keamanan yang semakin paranoid berkembang meskipun Proyek Audit Crypto Terbuka mengumumkan bahwa setelah Fase I auditnya, tidak ada kerentanan utama yang ditemukan. Dengan kepercayaan pada TrueCrypt di semua waktu rendah, tetapi dengan permintaan untuk fitur yang dijanjikan masih tinggi (tidak ada program lain yang menawarkan semua kelebihan TrueCrypts kecuali garpu itu, yang mereka curigai sendiri), para peneliti memutuskan untuk melanjutkan audit.

Pekan lalu hasil Tahap II audit diterbitkan, dan secara luas memberikan TrueCrypt tagihan kesehatan yang bersih. Sejauh tim audit dapat menentukan (tidak ada cara untuk memastikan 100%), crypto-software tidak mengandung backdoors atau kerentanan yang dapat dieksploitasi NSA secara sengaja. Sebagai kepala peneliti dari laporan tersebut, Matthew Green merangkum dalam sebuah posting blog,

TL TL; DR berdasarkan audit ini, Truecrypt tampaknya merupakan perangkat lunak kripto yang dirancang dengan relatif baik. Audit NCC tidak menemukan bukti adanya pintu belakang yang disengaja, atau cacat desain parah yang akan membuat perangkat lunak tidak aman di sebagian besar kasus.


Tim memang menemukan sejumlah masalah yang direkomendasikan perlu diperbaiki, tetapi ini dapat diperbaiki, dan tidak selalu menghadirkan ancaman besar bagi pengguna kecuali dalam situasi yang paling tidak mungkin.,

‘Itu tidak berarti Truecrypt sempurna. Auditor memang menemukan beberapa gangguan dan beberapa pemrograman yang tidak hati-hati - yang mengarah ke beberapa masalah yang dapat, dalam keadaan yang tepat, menyebabkan Truecrypt memberikan lebih sedikit jaminan daripada yang kita inginkan.

‘Sebagai contoh: masalah paling penting dalam laporan Truecrypt adalah temuan terkait dengan versi Windows dari Truecrypt's random number generator (RNG), yang bertanggung jawab untuk menghasilkan kunci yang mengenkripsi volume Truecrypt. Ini adalah bagian penting dari kode, karena RNG yang dapat diprediksi dapat mengeja bencana untuk keamanan semua hal lain dalam sistem ...

Ini bukan akhir dunia, karena kemungkinan kegagalan seperti itu sangat rendah. Selain itu, bahkan jika Windows Crypto API gagal pada sistem Anda, Truecrypt masih mengumpulkan entropi dari sumber seperti pointer sistem dan gerakan mouse. Alternatif-alternatif ini mungkin cukup baik untuk melindungi Anda. Tapi ini desain yang buruk dan harus diperbaiki di garpu Truecrypt apa pun. "

Komunitas keamanan kemungkinan sekarang bernafas lega, dan hasil ini cenderung meningkatkan kepercayaan pada garpu yang telah dikembangkan sejak kematian teoritis TrueCrypt. Masalah besar dengan garpu tersebut adalah bahwa kode TrueCrypt, sementara sumber yang tersedia untuk audit, tidak benar-benar open source, dan setiap garpu seperti itu dikembangkan dengan melanggar hak cipta. Namun, agar ini menjadi masalah, para pengembang asli harus mendenonimkan diri mereka sendiri dan menekan klaim, sesuatu yang memberikan upaya yang telah mereka lakukan untuk melindungi identitas mereka, sebagian besar pengamat menganggap tidak mungkin. Namun demikian itu adalah pertaruhan bagi pengembang masa depan yang berpotensi membuang banyak waktu dan upaya mengembangkan perangkat lunak yang pada akhirnya dapat ditutup.

Dua fork utama TrueCrypt yang saat ini dalam pengembangan adalah VeraCrypt dan CypherShed, di mana VeraCrypt secara umum dianggap lebih baik (dan yang mengklaim telah memperbaiki beberapa masalah dengan TrueCrypt). Tonton ruang ini untuk melihat lebih dalam di VeraCrypt.

Mereka yang lebih suka mempercayai kode yang sudah diaudit dapat menemukan versi lama dari perangkat lunak di TrueCrypt Final Release Repository (kami memiliki panduan lengkap untuk menggunakan TrueCrypt yang tersedia di sini), sementara mereka yang masih curiga terhadap TrueCrypt sama sekali (posisi yang cukup dimengerti di kami lihat, meskipun ada temuan baru) mungkin ingin memeriksa artikel kami tentang 5 alternatif open source terbaik untuk TrueCrypt.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me