תוכנית הצפנת דיסק מלאה מלאה בחינם ופתוחה TrueCrypt הייתה יקירת עולם האבטחה (המומלצת על ידי אדוארד סנודן ואמזון כאחד), למרות העובדה שמפתחי החברה נשארו אנונימיים והקוד לא נבדק באופן עצמאי..


בדיוק כשנתקלו בבעיה שנייה זו בביקורת מתמשכת בעקבות קרן Electronic Frontier Foundation (EFF) שגיבתה פרויקט המומן במימון המונים, אנשי ה- TrueCrypt משכו לפתע את התקע על התוכנה שלהם בנסיבות מעורפלות במיוחד, והמליצו למשתמשים לעבור לאי-בטחון ומאז אישרו אותם. מאת סנודן כי המסמכים שנגרמו להם על ידי ה- NSA, BitLocker - מהלך כה מוזר, עד שרבים רואים שהוא צוהר ברור של סוג כלשהו.

תיאוריות קונספירציה בקרב קהילת אבטחה פרנואידית הולכת וגוברת פרחו למרות שפרויקט ביקורת הקריפטו הפתוח הודיע ​​כי בעקבות שלב הראשון בביקורתו לא נמצאו נקודות תורפה משמעותיות. מתוך אמון ב- TrueCrypt בכל הזמנים, אך עם דרישה לתכונות שהבטיחה שהיא עדיין גבוהה (אף תוכנית אחרת לא הציעה את כל יתרונות TrueCrypts מלבד מזלגות שלה, שהיו בעצמם חשודים), החליטו החוקרים להמשיך ולבצע את הביקורת.

בשבוע שעבר פורסמו תוצאות שלב II של הביקורת, ובאופן כללי נותנים ל- TrueCrypt שטר בריאות נקי. עד כמה שצוות הביקורת יכול לקבוע (אין שום דרך להיות בטוחים במאה אחוז), תוכנת הקריפטו אינה מכילה דלתות אחוריות או פגיעויות NSA שניתן לנצל אותן. כחוקר הראשי של הדו"ח סיכם מתיו גרין בפוסט בבלוג,

'ה- TL; DR הוא שבבסיס ביקורת זו נראה כי Truecrypt היא פיסת תוכנה קריפטו מעוצבת יחסית. בביקורת NCC לא נמצאו עדויות לדלתות אחוריות מכוונות או ליקויים תכנוניים חמורים שיגרמו לתוכנה להיות בטוחה ברוב המקרים. '

הצוות אכן מצא מספר בעיות שהוא ממליץ עליהן לתקן, אך ניתן לתקן אותן, ובכל מקרה אינן מהוות איום גדול על המשתמשים, למעט בנסיבות הסבירות ביותר.,

'זה לא אומר ש- Truecrypt הוא מושלם. המבקרים אכן מצאו כמה תקלות וכמה תכנות לא מסוכנות - מה שהוביל לכמה סוגיות שיכולות, בנסיבות הנכונות, לגרום ל- Truecrypt לתת פחות ביטחון ממה שהיינו רוצים שתהיה.

‘לדוגמא: הנושא המשמעותי ביותר בדוח Truecrypt הוא ממצא הקשור לגירסת Windows של מחולל המספרים האקראיים של Truecrypt (RNG), האחראי על יצירת המפתחות שמצפינים אמצעי אחסון של Truecrypt. זוהי פיסת קוד חשובה, מכיוון ש- RNG צפוי יכול לאיית אסון לביטחונם של כל השאר במערכת ...

זה לא סוף העולם, מכיוון שהסבירות לכישלון כזה היא נמוכה ביותר. יתר על כן, גם אם ממשק ה- API של Windows Crypto נכשל במערכת שלך, Truecrypt עדיין אוספת אנטרופיה ממקורות כמו מצביעי מערכות ותנועות עכבר. אלטרנטיבות אלה כנראה מספיק טובות כדי להגן עליך. אבל זה עיצוב גרוע וודאי שיש לתקן אותו בכל מזלגות Truecrypt. '

קהילת האבטחה נושמת כעת לרווחה גדולה, ותוצאות אלה ככל הנראה משפרות את האמון במזלגות שפותחו מאז מותו התיאורטי של TrueCrypt. הבעיה הגדולה במזלגות כאלה היא שקוד ה- TrueCrypt, למרות שהמקור זמין לביקורת, אינו מקור פתוח באמת, ולכן כל מזלג כזה מפותח בניגוד לזכויות יוצרים. עם זאת, בכדי שזו תהיה בעיה, אנשי התפקידים המקוריים יצטרכו לאלתר את עצמם לאנונימיות וללחוץ על הטענה, דבר אשר נתן את המאמץ שעברו על מנת להגן על זהותם, מרבית המשקיפים רואים שהם לא סבירים. עם זאת, מדובר בהימור של עתיד שיבזבז פוטנציאל לבזבז זמן רב ומאמץ בפיתוח תוכנה שעלולה להיסגר בסופו של דבר..

שני המזלגות העיקריים של TrueCrypt שנמצאים כעת בפיתוח הם VeraCrypt ו- CypherShed, מהם VeraCrypt בדרך כלל נחשבת לטובה יותר (ואשר טוענת כי פיתחה חלק מהבעיות ב- TrueCrypt). צפה במרחב זה לקבלת מבט מעמיק על VeraCrypt.

מי שיעדיף לסמוך על הקוד שנבדק כבר יכול למצוא גרסאות מדור קודם של התוכנה במאגר המהדורות הסופיות של TrueCrypt (יש לנו מדריך מלא לשימוש ב- TrueCrypt זמין כאן), בעוד אלה שעדיין מדברים על TrueCrypt לגמרי (עמדה מובנת למדי אצלנו לצפייה, למרות הממצאים החדשים) עשוי לבדוק את המאמר שלנו על חמש האלטרנטיבות הטובות ביותר לקוד פתוח ל- TrueCrypt.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me