TrueCrypt adalah program pengekodan cakera penuh percuma dan terbuka. TrueCrypt adalah sayang dunia keselamatan (disyorkan oleh Edward Snowden dan Amazon sama), walaupun pada hakikatnya pemajunya tetap tanpa nama dan kod itu tidak diaudit secara bebas.


Sebaik sahaja masalah kedua ini ditangani dengan audit berterusan berikutan projek crowdfunded yang disokong oleh Electronic Frontier Foundation (EFF), TrueCrypt beralih tiba-tiba menarik palam pada perisian mereka dalam keadaan yang sangat cerdik, mengesyorkan bahawa pengguna beralih kepada yang tidak selamat dan sejak disahkan oleh Snowden docs yang telah dikompromi oleh NSA, BitLocker -a bergerak begitu pelik yang banyak menganggapnya sebagai waran kenari yang jelas dari beberapa jenis.

Teori konspirasi di kalangan masyarakat keamanan yang semakin paranoid berkembang walaupun Projek Audit Terbuka Crypto mengumumkan bahawa selepas Fasa 1 auditnya, tiada kerentanan utama ditemui. Dengan keyakinan pada TrueCrypt pada semua masa yang rendah, tetapi dengan permintaan untuk ciri-ciri yang dijanjikan masih tinggi (tiada program lain yang menawarkan semua kelebihan TrueCrypts kecuali garpu itu, yang mereka sendiri tersangka), para penyelidik memutuskan untuk meneruskan audit.

Minggu lepas hasil Fasa II audit telah diterbitkan, dan secara meluas memberikan TrueCrypt tagihan bersih kesihatan. Setakat pasukan audit dapat menentukan (tidak ada cara untuk menjadi 100% pasti,) perisian crypto itu tidak mengandungi backdoors atau kerentanan NSA yang boleh diaplikasikan secara sengaja. Sebagai ketua penyelidik laporan itu, Matthew Green meringkaskan dalam jawatan blog,

'TL; DR adalah berdasarkan audit ini, Truecrypt nampaknya merupakan perisian crypto yang direka dengan baik. Audit NCC tidak menemui bukti backdoors yang disengajakan, atau mana-mana kecacatan rekaan yang teruk yang akan menyebabkan perisian tidak selamat dalam kebanyakan kes. '

Pasukan itu mendapati beberapa masalah yang disyorkannya perlu diperbaiki, tetapi ini boleh diperbaiki, dan tidak pula memberikan ancaman utama kepada pengguna kecuali di bawah keadaan yang paling tidak mungkin,

'Itu tidak bermakna Truecrypt adalah sempurna. Juruaudit mendapati beberapa gangguan dan beberapa pengaturcaraan yang tidak bertanggungjawab - yang membawa kepada beberapa isu yang boleh, dalam keadaan yang betul, menyebabkan Truecrypt untuk memberi jaminan yang kurang daripada kami ingin.

'Sebagai contoh: isu paling penting dalam laporan Truecrypt adalah penemuan yang berkaitan dengan versi Windows dari penjana nombor rawak Truecrypt (RNG), yang bertanggungjawab untuk menghasilkan kunci yang menyulitkan jumlah Truecrypt. Ini adalah sekeping kod penting, kerana RNG yang dapat diramal dapat mengeja bencana untuk keselamatan semua yang lain dalam sistem ...

Ini bukan akhir dunia, kerana kemungkinan kegagalan tersebut sangat rendah. Selain itu, walaupun Windows Crypto API gagal pada sistem anda, Truecrypt masih mengumpulkan entropi dari sumber seperti petunjuk sistem dan pergerakan tetikus. Alternatif ini mungkin cukup baik untuk melindungi anda. Tetapi ia adalah reka bentuk yang buruk dan pastinya akan ditetapkan dalam mana-mana garpu Truecrypt. '

Komuniti keselamatan mungkin kini bernafas lega besar, dan hasil ini mungkin meningkatkan keyakinan pada garpu yang telah dikembangkan sejak kematian teori TrueCrypt. Masalah besar dengan garpu itu ialah kod TrueCrypt, sedangkan sumber yang tersedia untuk pengauditan, tidak benar-benar sumber terbuka, dan oleh itu garpu sedemikian dibuat untuk melanggar hak cipta. Walau bagaimanapun, untuk ini menjadi isu, devs asal perlu menjauhkan diri mereka sendiri dan menekan tuntutan itu, sesuatu yang diberikan usaha untuk melindungi identiti mereka, kebanyakan pemerhati tidak menganggapnya. Walau bagaimanapun, sesuatu perjudian untuk pembawa masa depan berpotensi membuang banyak masa dan usaha membangunkan perisian yang akhirnya mungkin ditutup.

Kedua-dua garpu utama TrueCrypt yang sedang dibangunkan ialah VeraCrypt dan CypherShed, yang VeraCrypt pada umumnya dianggap sebagai yang lebih baik (dan yang mendakwa telah menetapkan beberapa masalah dengan TrueCrypt). Tonton ruang ini untuk melihat VeraCrypt yang mendalam.

Mereka yang lebih memilih untuk mempercayai kod yang sudah diaudit boleh menemui versi legasi perisian di TrueCrypt Final Release Repository (kami mempunyai panduan penuh untuk menggunakan TrueCrypt yang tersedia di sini), sementara mereka masih curiga TrueCrypt sama sekali (kedudukan yang cukup difahami dalam kita lihat, walaupun penemuan baru) mungkin ingin melihat artikel kami mengenai 5 alternatif sumber terbuka terbaik untuk TrueCrypt.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me