โปรแกรมเข้ารหัสดิสก์แบบเต็มรูปแบบฟรีและโอเพนซอร์ส TrueCrypt เป็นที่รักของโลกความปลอดภัย (แนะนำโดย Edward Snowden และ Amazon เหมือนกัน) แม้ว่าความจริงที่ว่านักพัฒนายังคงไม่ระบุชื่อและรหัสไม่ได้รับการตรวจสอบอย่างอิสระ.


เมื่อปัญหาที่สองนี้ได้รับการแก้ไขด้วยการตรวจสอบอย่างต่อเนื่องหลังจากโครงการ Crowdfunded ที่สนับสนุนโดย Electronic Frontier Foundation (EFF) TrueCrypt devs ก็ดึงปลั๊กบนซอฟต์แวร์ของพวกเขาในสถานการณ์หลบเลี่ยงอย่างฉับพลัน โดย Snowden เอกสารที่จะถูกทำลายโดย NSA, BitLocker - ย้ายดังนั้นแปลกประหลาดที่หลายคนคิดว่ามันเป็นนกขมิ้นใบสำคัญแสดงสิทธิที่ชัดเจนของบางชนิด.

ทฤษฎีสมคบคิดในหมู่ชุมชนความปลอดภัยหวาดระแวงที่เพิ่มขึ้นก็มี แต่จะรุ่งเรืองเฟื่องฟูแม้ว่าโครงการ Open Crypto Audit จะประกาศว่าหลังจากการตรวจสอบระยะที่ 1 ของเราแล้วก็ไม่พบช่องโหว่ที่สำคัญ ด้วยความมั่นใจใน TrueCrypt ทุกเวลาที่ต่ำ แต่ด้วยความต้องการคุณสมบัติที่สัญญาไว้ยังคงสูง (ไม่มีโปรแกรมอื่นที่ให้ประโยชน์จาก TrueCrypts ทั้งหมดยกเว้นส้อมของมันซึ่งเป็นที่สงสัยตัวเอง) นักวิจัยจึงตัดสินใจกดการตรวจสอบ.

สัปดาห์ที่แล้วผลการตรวจสอบระยะที่สองถูกเผยแพร่และทำให้ TrueCrypt มีสุขภาพที่ดี เท่าที่ทีมตรวจสอบสามารถระบุได้ (ไม่มีทางที่จะแน่ใจได้ 100%) crypto-software นั้นไม่มีการพิจารณา backdoor หรือช่องโหว่ที่เป็นประโยชน์ของ NSA ในฐานะหัวหน้านักวิจัยของรายงาน Matthew Green ได้สรุปไว้ในบล็อกโพสต์,

TL TL; DR เป็นไปตามการตรวจสอบนี้ Truecrypt ดูเหมือนจะเป็นซอฟต์แวร์ crypto ที่ได้รับการออกแบบมาค่อนข้างดี การตรวจสอบ NCC ไม่พบหลักฐานของการพิจารณา backdoor หรือข้อบกพร่องการออกแบบที่รุนแรงที่จะทำให้ซอฟต์แวร์ไม่ปลอดภัยในกรณีส่วนใหญ่

ทีมพบปัญหาหลายประการที่แนะนำให้แก้ไข แต่สิ่งเหล่านี้สามารถแก้ไขได้และไม่ได้นำเสนอภัยคุกคามที่สำคัญแก่ผู้ใช้ยกเว้นภายใต้สถานการณ์ที่ไม่น่าเป็นไปได้มากที่สุด,

‘นั่นไม่ได้หมายความว่า Truecrypt นั้นสมบูรณ์แบบ ผู้ตรวจสอบพบข้อบกพร่องเล็ก ๆ น้อย ๆ และการเขียนโปรแกรมบางอย่างที่นำไปสู่ปัญหาที่อาจเกิดขึ้นได้ในสถานการณ์ที่เหมาะสมทำให้ Truecrypt ให้ความมั่นใจน้อยกว่าที่เราต้องการ.

‘ตัวอย่าง: ปัญหาที่สำคัญที่สุดในรายงาน Truecrypt คือการค้นหาที่เกี่ยวข้องกับเครื่องสร้างตัวเลขสุ่ม (RNG) ของ Truecrypt รุ่น Windows ซึ่งมีหน้าที่รับผิดชอบในการสร้างคีย์ที่เข้ารหัสปริมาณ Truecrypt นี่เป็นโค้ดที่สำคัญเนื่องจาก RNG ที่คาดการณ์ได้สามารถหายนะเพื่อความปลอดภัยของทุกสิ่งในระบบ ...

นี่ไม่ใช่จุดสิ้นสุดของโลกเนื่องจากโอกาสที่จะเกิดความล้มเหลวนั้นต่ำมาก ยิ่งกว่านั้นแม้ว่า Windows Crypto API จะล้มเหลวในระบบของคุณ Truecrypt ยังคงรวบรวมเอนโทรปีจากแหล่งต่าง ๆ เช่นตัวชี้ระบบและการเคลื่อนไหวของเมาส์ ทางเลือกเหล่านี้อาจดีพอที่จะปกป้องคุณ แต่มันเป็นการออกแบบที่ไม่ดีและควรได้รับการแก้ไขในส้อมของ Truecrypt อย่างแน่นอน

ชุมชนด้านความปลอดภัยกำลังถอนหายใจด้วยความโล่งอกครั้งใหญ่และผลลัพธ์เหล่านี้มีแนวโน้มที่จะเพิ่มความมั่นใจในส้อมที่พัฒนามาตั้งแต่ทฤษฏีทางทฤษฎีของ TrueCrypt ปัญหาใหญ่ของส้อมดังกล่าวคือรหัส TrueCrypt ซึ่งมีแหล่งที่มาสำหรับการตรวจสอบไม่ใช่แหล่งที่มาที่แท้จริงและดังนั้นทางแยกดังกล่าวจึงได้รับการพัฒนาโดยละเมิดลิขสิทธิ์ อย่างไรก็ตามเพื่อให้เป็นประเด็นปัญหา devs ดั้งเดิมจะต้องไม่เปิดเผยชื่อตัวเองและกดการเรียกร้องสิ่งที่ได้รับความพยายามที่พวกเขาได้ไปเพื่อปกป้องตัวตนของพวกเขาสังเกตการณ์ส่วนใหญ่คิดว่าไม่น่า อย่างไรก็ตามมันเป็นสิ่งที่เป็นการพนันสำหรับผู้พัฒนาในอนาคตที่จะเสียเวลาและความพยายามในการพัฒนาซอฟต์แวร์ที่อาจปิดตัวลงในที่สุด.

ส้อมสำคัญสองประการของ TrueCrypt ที่กำลังพัฒนาอยู่ในปัจจุบันคือ VeraCrypt และ CypherShed ซึ่งโดยทั่วไปแล้ว VeraCrypt นั้นถือว่าดีกว่า (ซึ่งอ้างว่าได้แก้ไขปัญหาบางอย่างกับ TrueCrypt) ดูพื้นที่นี้เพื่อรับข้อมูลเชิงลึกที่เวราคริปต์.

ผู้ที่ต้องการเชื่อถือรหัสที่ตรวจสอบแล้วสามารถค้นหาซอฟต์แวร์รุ่นเก่าได้ที่ TrueCrypt Final Release Repository (เรามีคู่มือฉบับสมบูรณ์เกี่ยวกับการใช้ TrueCrypt อยู่ที่นี่) ในขณะที่ส่วนที่เหลือของ TrueCrypt ทั้งหมดอยู่ในตำแหน่งที่เข้าใจได้ มุมมองแม้จะมีการค้นพบใหม่) อาจต้องการตรวจสอบบทความของเราเกี่ยวกับทางเลือก 5 ทางเลือกที่ดีที่สุดสำหรับ TrueCrypt.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me