Безплатна и с отворен код пълна програма за криптиране на диска TrueCrypt беше любимата на света на сигурността (препоръчана от Едуард Сноудън и Amazon), въпреки факта, че нейните разработчици останаха анонимни и кодът не беше независимо одит.

Точно когато този втори проблем беше решен при текущ одит след финансиран от crowdfunded проект на Electronic Frontier Foundation (EFF) проект, TrueCrypt разработчиците внезапно извадиха щепсела от софтуера си при крайно неясни обстоятелства, препоръчвайки на потребителите да преминат към дивата несигурност и оттогава потвърдени от документите на Snowden да бъдат компрометирани от NSA, BitLocker - ход е толкова причудлив, че мнозина считат, че това е ясен ордер на канала от някакъв вид.

Теориите на конспирацията сред все по-параноидна общност за сигурност процъфтяват, въпреки че Open Project Crypto Audit Project обяви, че след фаза I на неговия одит не са открити големи уязвимости. С увереността си в TrueCrypt през цялото време ниско, но с търсенето на функциите, които обещаваше все още високо (никоя друга програма не предлагаше всички предимства на TrueCrypts с изключение на вилици от него, за които сами подозираха), изследователите решиха да натиснат с одита.

Миналата седмица бяха публикувани резултатите от фаза II на одита и като цяло дават на TrueCrypt чиста сметка за здравето. Доколкото одитният екип може да определи (няма начин да бъде 100% сигурен), крипто софтуерът не съдържа преднамерено NSA-експлоатирани бекграунд или уязвимости. Като главен изследовател на доклада, Матю Грийн обобщи в публикация в блога,

„TL; DR е, че въз основа на този одит, Truecrypt изглежда сравнително добре проектиран парче крипто софтуер. Одитът на NCC не намери никакви доказателства за умишлено заден ход или някакви сериозни недостатъци в дизайна, които да направят софтуера несигурен в повечето случаи. "


Екипът намери редица проблеми, които препоръчва да се нуждаят от коригиране, но те могат да бъдат отстранени и така или иначе не представляват голяма заплаха за потребителите, освен при най-малко вероятните обстоятелства,

„Това не означава, че Truecrypt е перфектен. Одиторите откриха няколко проблеми и някои предпазливи програми - водещи до няколко проблема, които при правилните обстоятелства могат да доведат до Truecrypt да даде по-малко увереност, отколкото бихме искали.

„Например: най-важният проблем в отчета за Truecrypt е констатация, свързана с версията на Windows на генератора на произволни числа на Truecrypt (RNG), която е отговорна за генерирането на ключовете, криптиращи обемите на Truecrypt. Това е важно парче код, тъй като предсказуемият RNG може да пише за бедствие за сигурността на всичко останало в системата ...

Това не е краят на света, тъй като вероятността от такъв провал е изключително ниска. Освен това, дори ако Windows Crypto API не успее във вашата система, Truecrypt все още събира ентропия от източници като системни указатели и движения на мишката. Тези алтернативи вероятно са достатъчно добри, за да ви защитят. Но е лош дизайн и със сигурност трябва да бъде фиксиран във всички вилици Truecrypt. "

Вероятно общността на сигурността сега въздъхва голяма въздишка и тези резултати вероятно подобряват доверието във вилиците, които са разработени след теоретичната гибел на TrueCrypt. Големият проблем при такива вилици е, че кодът TrueCrypt, макар и източникът на разположение за одит, да не е истински отворен код и затова всяка такава вилка е разработена в нарушение на авторските права. Въпреки това, за да бъде това проблем, първоначалните разработчици ще трябва да се деанонимизират и да притиснат иска, нещо, което предвид усилията, които са положили, за да защитят своята идентичност, повечето наблюдатели считат за малко вероятно. Все пак това е нещо като хазарт за бъдещите разработчици, които потенциално ще загубят много време и усилия за разработване на софтуер, който в крайна сметка може да бъде изключен.

Двата основни вили на TrueCrypt, които в момента са в разработка, са VeraCrypt и CypherShed, от които VeraCrypt обикновено се считат за по-добри (и които твърдят, че са отстранили някои от проблемите с TrueCrypt). Гледайте това пространство за задълбочен поглед към VeraCrypt.

Онези, които предпочитат да се доверят на вече одитирания код, могат да намерят наследени версии на софтуера в хранилището за окончателно издание на TrueCrypt (имаме пълно ръководство за използване на TrueCrypt на разположение тук), докато тези, които все още изостават от TrueCrypt, напълно разбираема позиция в нашата изглед, въпреки новите открития) може да искате да разгледате нашата статия за 5 най-добри алтернативи с отворен код на TrueCrypt.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me