Prosti in odprtokodni program za šifriranje polnega diska TrueCrypt je bil dragi svet varnosti (priporočila sta ga Edward Snowden in Amazon podobno), čeprav so njegovi razvijalci ostali anonimni in koda ni bila neodvisno revidirana.


Ravno takrat, ko se je ta težava reševala s tekočo revizijo po projektu, ki je financiral množično financiranje s strani Fundacije Electronic Frontier (EFF), so TrueCrypt razvijalci v neljubih okoliščinah nenadoma potegnili čep na svoji programski opremi in priporočili, da uporabniki preidejo na divje negotovo in odkar potrjeno dokumentov Snowdena, ki bi jih NSA ogrozila, je BitLocker - to je tako bizarno, da mnogi menijo, da gre za očitno karantarsko kanarno neke vrste.

Teorije zarote med vse bolj paranoično varnostno skupnostjo so cvetele kljub projektu Open Crypto Audit, ki je objavil, da po 1. fazi revizije ni bilo ugotovljenih večjih ranljivosti. Z zaupanjem v TrueCrypt ves čas nizko, a povpraševanje po funkcijah, ki jih je obljubljalo, še vedno veliko (noben drug program ni ponudil vseh prednosti TrueCrypts, razen vilic, za katere so bili sami sumljivi), so se raziskovalci odločili, da bodo z revizijo nadaljevali..

Prejšnji teden so bili rezultati revizije faze II objavljeni in TrueCrypt na splošno daje čisto zdravstveno stanje. Kolikor revizijska skupina lahko ugotovi (ni mogoče biti 100-odstotno prepričana), kripto-programska oprema ne vsebuje namernih varnostnih sistemov, ki bi jih bilo mogoče uporabiti z nedržavnimi varnostnimi sredstvi ali ranljivosti. Kot glavni raziskovalec poročila je Matthew Green povzel v objavi na blogu,

„TL; DR je, da se na podlagi te revizije zdi, da je Truecrypt razmeroma dobro oblikovan kos kripto programske opreme. Revizija NCC ni našla nobenih dokazov o namernem zaledju ali hudih pomanjkljivostih oblikovanja, zaradi katerih bi bila programska oprema v večini primerov nevarna. "

Skupina je našla številne težave, za katere priporoča, da jih je treba popraviti, vendar jih je mogoče odpraviti in vseeno ne predstavljajo večje grožnje za uporabnike, razen v najbolj verjetnih okoliščinah,

„To ne pomeni, da je Truecrypt popoln. Revizorji so odkrili nekaj napak in nekaj previdnega programiranja - kar je povzročilo nekaj vprašanj, ki bi lahko v pravih okoliščinah Truecryptu zagotovila manj zagotovila, kot ga želimo.

„Na primer: najpomembnejša težava v poročilu Truecrypt je ugotovitev, povezana z Windows različico generatorja naključnih števil TrueCrypt (RNG), ki je odgovorna za ustvarjanje ključev, ki šifrirajo količine Truecrypt. To je pomemben del kode, saj lahko predvidljiv RNG črta katastrofo zaradi varnosti vsega drugega v sistemu ...

To še ni konec sveta, saj je verjetnost takšnega neuspeha izjemno majhna. Še več, četudi Windows Crypto API v vašem sistemu ne uspe, Truecrypt še vedno zbira entropijo iz virov, kot so sistemski kazalci in premiki miške. Te alternative so verjetno dovolj dobre, da vas zaščitijo. Vendar je slab dizajn in ga je vsekakor treba popraviti v vseh vilicah Truecrypt. "

Varnostna skupnost zdaj verjetno oddahne z velikim olajšanjem in ti rezultati bodo verjetno izboljšali zaupanje v vilice, ki so jih razvili po teoretični smrti TrueCrypta. Velika težava takšnih vilic je, da koda TrueCrypt, čeprav je vir, ki je na voljo za revidiranje, ni resnično odprtokoden, zato je vsaka taka vilica razvita v nasprotju z avtorskimi pravicami. Da pa bi to lahko postalo vprašanje, bi se morali originalni vragoli sami de anonimizirati in vložiti zahtevek, kar bi glede na trud, ki so ga vložili za zaščito svoje identitete, večino opazovalcev ocenilo malo verjetno. Kljub temu je za prihodnje razvojne računalnike nekaj lagodnega, kar bi lahko zapravilo veliko časa in truda za razvoj programske opreme, ki bi jo lahko sčasoma zaprli.

Trenutno sta v razvoju dve največji vilici TrueCrypt: VeraCrypt in CypherShed, od katerih VeraCrypt na splošno velja za boljšega (in ki trdi, da je odpravil nekatere težave z TrueCryptom). Oglejte si ta prostor za poglobljen pogled na VeraCrypt.

Tisti, ki bi raje zaupali že revidirano kodo, lahko najdejo starejše različice programske opreme v skladišču TrueCrypt Final Releaseposit (tu imamo na voljo celoten vodnik za uporabo TrueCrypt-a), medtem ko tiste, ki še vedno uporabljajo TrueCrypt, še vedno povsem razumljiv (povsem razumljiv položaj v našem Pogled, kljub novim ugotovitvam), bi morda želeli prebrati naš članek o 5 najboljših odprtokodnih alternativ TrueCrypt.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me