무료 및 오픈 소스 풀 디스크 암호화 프로그램 TrueCrypt는 개발자가 익명을 유지하고 코드가 독립적으로 감사되지 않았음에도 불구하고 보안 세계의 사랑이었습니다 (Edward Snowden 및 Amazon이 권장 함)..

EFF (Electronic Frontier Foundation)가 지원하는 크라우드 펀딩 프로젝트에 이어 지속적인 감사로이 두 번째 문제가 해결되었을 때, TrueCrypt 개발자들은 매우 위험한 환경에서 갑자기 소프트웨어의 플러그를 뽑아 사용자가 크게 안전하지 않은 상태로 전환하도록 권장했습니다. SnowLock 문서에 의해 NSA에 의해 타협 된 BitLocker-기괴한 움직임으로 인해 많은 사람들이 그것을 일종의 명확한 영장 카나리아로 간주합니다..

오픈 크립토 감사 프로젝트가 감사의 1 단계 심사 이후 주요 취약점은 발견되지 않았음에도 불구하고 점점 편집증적인 보안 커뮤니티 간의 음모 이론이 번성했습니다. 항상 TrueCrypt에 대한 확신을 가지면서도 여전히 높은 기능에 대한 수요로 인해 여전히 높은 기능을 약속했습니다 (그 자체로 의심되는 포크를 제외한 모든 TrueCrypts 이점을 제공하는 다른 프로그램은 없었습니다)..

지난 주에 감사의 2 단계 결과가 발표되었고, TrueCrypt는 깨끗한 건강 청구서를 제공했습니다. 감사 팀이 결정할 수있는 한 (100 % 확신 할 수있는 방법은 없음) 암호화 소프트웨어에는 고의적 인 NSA 악용 가능한 백도어 나 취약점이 없습니다. 이 보고서의 수석 연구원으로서 Matthew Green은 블로그 게시물에 요약했습니다.,

‘TL; DR은이 감사를 바탕으로 Truecrypt는 비교적 잘 설계된 암호화 소프트웨어로 보입니다. NCC 감사는 고의적 인 백도어 또는 대부분의 경우 소프트웨어가 안전하지 않은 심각한 설계 결함에 대한 증거를 찾지 못했습니다. '


이 팀은 해결해야 할 여러 가지 문제를 발견했지만이 문제를 해결할 수 있으며 가장 가능성이 낮은 상황을 제외하고는 사용자에게 큰 위협이되지 않습니다.,

'그렇다고해서 Truecrypt가 완벽하다는 것은 아닙니다. 감사관은 몇 가지 결함과 신중한 프로그래밍을 발견하여 올바른 상황에서 Truecrypt가 원하는 것보다 덜 확신을 줄 수있는 몇 가지 문제를 야기했습니다..

‘예 : Truecrypt 보고서에서 가장 중요한 문제는 Truecrypt 볼륨을 암호화하는 키 생성을 담당하는 Windows 버전의 Truecrypt 난수 생성기 (RNG)와 관련된 결과입니다. 예측 가능한 RNG가 시스템의 다른 모든 항목의 보안을 위해 재난을 일으킬 수 있기 때문에 이것은 중요한 코드입니다.

그러한 실패의 가능성은 극히 낮기 때문에 이것은 세상의 종말이 아닙니다. 또한 Windows Crypto API가 시스템에서 실패하더라도 Truecrypt는 여전히 시스템 포인터 및 마우스 이동과 같은 소스에서 엔트로피를 수집합니다. 이러한 대안은 아마도 당신을 보호하기에 충분할 것입니다. 하지만 디자인이 잘못되어 Truecrypt 포크에서 반드시 수정되어야합니다. '

보안 커뮤니티는 이제 큰 안도의 한숨을 쉬고 있으며, 이러한 결과는 TrueCrypt의 이론적 소멸 이후 개발 된 포크에 대한 신뢰를 향상시킬 것입니다. 이러한 포크의 큰 문제는 TrueCrypt 코드가 감사에 사용할 수있는 소스는 진정한 오픈 소스가 아니므로 그러한 포크는 저작권을 위반하여 개발된다는 것입니다. 그러나 이것이 문제가 되려면 원래 개발자는 익명을 해제하고 자신의 신원을 보호하려는 노력을 기울인 주장을 눌러야합니다. 대부분의 관찰자는 거의 고려하지 않습니다. 그럼에도 불구하고, 미래 개발자들이 결국 종료 될 수있는 소프트웨어를 개발하는 데 많은 시간과 노력을 낭비하는 것은 도박의 문제입니다.

현재 개발중인 TrueCrypt의 두 가지 주요 포크는 VeraCrypt와 CypherShed이며,이 중 VeraCrypt는 일반적으로 더 나은 것으로 간주됩니다 (TrueCrypt의 일부 문제점을 수정했다고 주장함). VeraCrypt를 자세히 살펴 보려면이 공간을보십시오.

이미 감사 된 코드를 신뢰하는 사람들은 TrueCrypt Final Release Repository에서 소프트웨어의 레거시 버전을 찾을 수 있습니다 (여기서는 TrueCrypt 사용에 대한 전체 안내서가 있음). 새로운 결과에도 불구하고 TrueCrypt에 대한 5 가지 최고의 오픈 소스 대안에 대한 기사를 확인하고 싶을 수도 있습니다..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me