Ücretsiz ve açık kaynaklı tam disk şifreleme programı TrueCrypt, geliştiricilerinin anonim kalmasına ve kodun bağımsız olarak denetlenmemesine rağmen, güvenlik dünyasının sevgilisidir (Edward Snowden ve Amazon tarafından tavsiye edilir)..


Bu ikinci sorun, Elektronik Sınır Vakfı (EFF) destekli kitle fonlaması yapılan bir projenin ardından devam eden bir denetimle ele alındığında, TrueCrypt geliştiricileri, kullanıcıların çılgınca güvensizliğe geçmesini ve onaylandığından beri aniden yazılımlarının fişini aniden çekti. NSA, BitLocker tarafından ele geçirilecek olan Snowden belgelerine göre, o kadar tuhaf bir hareket ki, birçoğu bunun bir tür açık bir garanti kanaryası olduğunu düşünüyor.

Giderek artan paranoyak bir güvenlik topluluğu arasındaki komplo teorileri, denetiminin I. Aşamasından sonra önemli bir güvenlik açığı bulunmadığını bildiren Açık Kripto Denetim Projesi'ne rağmen gelişti. Her zaman düşük olan TrueCrypt'e güvenerek, ancak yüksek vaat ettiği özelliklere olan talep ile (başka hiçbir program, kendilerinden şüphelenilen çatallar hariç tüm TrueCrypts avantajlarını sunmadı), araştırmacılar denetime baskı yapmaya karar verdi.

Geçen hafta, denetimin II. Aşama sonuçları yayınlandı ve TrueCrypt'e temiz bir sağlık tasarısı verdi. Denetim ekibinin belirleyebildiği kadarıyla (% 100 emin olmanın bir yolu yoktur), kripto-yazılım kasıtlı NSA-sömürülebilir arka kapılar veya güvenlik açıkları içermez. Raporun baş araştırmacısı olarak Matthew Green bir blog yazısında özetledi,

TL TL; DR, bu denetime dayanarak Truecrypt'in nispeten iyi tasarlanmış bir kripto yazılımı parçası gibi görünmesidir. NCC denetimi, kasıtlı arka planlara veya yazılımı çoğu durumda güvensiz hale getirecek ciddi tasarım kusurlarına dair bir kanıt bulamadı. ”

Ekip, düzeltilmesi gerektiğini önerdiği bir dizi sorun buldu, ancak bunlar düzeltilebilir ve en olası durumlar dışında kullanıcılar için büyük bir tehdit oluşturmaz.,

‘Bu Truecrypt'in mükemmel olduğu anlamına gelmez. Denetçiler birkaç hata ve bazı dikkatsiz programlama buldular - doğru koşullarda Truecrypt'in istediğimizden daha az güvence vermesine neden olabilecek birkaç soruna yol açtı.

‘Örneğin: Truecrypt raporundaki en önemli sorun, Truecrypt'in rasgele sayı üretecinin (RNG) Windows sürümü ile ilgili olan ve Truecrypt birimlerini şifreleyen anahtarların oluşturulmasından sorumlu bir bulgudur. Bu önemli bir kod parçasıdır, çünkü öngörülebilir bir RNG sistemdeki diğer her şeyin güvenliği için felakete yol açabilir ...

Bu dünyanın sonu değildir, çünkü böyle bir başarısızlık olasılığı son derece düşüktür. Ayrıca, Windows Kripto API'sı sisteminizde başarısız olsa bile, Truecrypt hala sistem işaretçileri ve fare hareketleri gibi kaynaklardan entropi toplar. Bu alternatifler muhtemelen sizi koruyacak kadar iyidir. Ancak kötü bir tasarım ve kesinlikle herhangi bir Truecrypt çatalına sabitlenmesi gerekiyor. ”

Güvenlik topluluğu muhtemelen büyük bir rahatlama nefes alıyor ve bu sonuçlar muhtemelen TrueCrypt’in teorik çöküşünden bu yana geliştirilen çatallara olan güveni artırıyor. Bu tür çatallarla ilgili en büyük sorun, TrueCrypt kodunun denetim için kullanılabilir olsa da, gerçekte açık kaynak olmaması ve bu nedenle herhangi bir çatalın telif hakkı ihlali ile geliştirilmesidir. Bununla birlikte, bunun bir sorun olması için, orijinal geliştiricilerin kendilerini anonimleştirmek ve iddiayı bastırmak zorunda kalacaktı; bu, kimliklerini korumak için gittikleri çabaya verilen bir şeydir, çoğu gözlemci olası değildir. Bununla birlikte, gelecekteki geliştiricilerin, sonunda kapatılabilecek büyük miktarda zaman ve çaba geliştirme potansiyelini boşa harcamak bir kumardır..

Şu anda geliştirilmekte olan TrueCrypt'in iki ana çatalları VeraCrypt ve CypherShed'dir, bunların VeraCrypt genellikle daha iyi olarak kabul edilir (ve bazı problemleri TrueCrypt ile düzelttiği iddia edilir). VeraCrypt'e derinlemesine bakmak için bu alanı izleyin.

Önceden denetlenmiş koda güvenmeyi tercih edenler, yazılımın eski sürümlerini TrueCrypt Son Sürüm Deposunda bulabilirler (burada bulunan TrueCrypt'i kullanmak için tam bir kılavuzumuz vardır), yine de TrueCrypt'in hala temkinli olanları (bizim için oldukça anlaşılabilir bir konum) yeni bulgulara rağmen) TrueCrypt'in en iyi 5 açık kaynak alternatifi hakkındaki makalemize göz atmak isteyebilirsiniz.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me