Bezmaksas un atvērtā koda pilna diska šifrēšanas programma TrueCrypt bija drošības pasaules mīļākais (to gan ieteica Edvards Snūdens, gan Amazon), neskatoties uz to, ka tās izstrādātāji palika anonīmi un kods netika neatkarīgi pārbaudīts.


Tieši tad, kad šī otrā problēma tika risināta ar notiekošo revīziju pēc elektroniskā robežas fonda (EZF) atbalstītā kopfinansētā projekta, TrueCrypt DEV pēkšņi ievilka savas programmatūras spraudni ārkārtīgi nemanāmos apstākļos, iesakot lietotājiem pāriet uz mežonīgi nedrošu un kopš tā laika tika apstiprināts pēc Snowden dokumentiem, ko varētu būt apdraudējusi NSA, BitLocker - gājiens ir tik savāds, ka daudzi to uzskata par skaidru sava veida orderi.

Aizvien paranojas drošības sabiedrības sazvērestības teorijas uzplauka, neskatoties uz atklātā šifrēšanas audita projektu, kurā tika paziņots, ka pēc tā audita I fāzes būtiskas ievainojamības nav atrastas. Ar visu laiku zemu pārliecību par TrueCrypt, bet, ņemot vērā pieprasīto pēc funkcijām, kuras tas solīja, joprojām ir augsts (neviena cita programma nepiedāvāja visas TrueCrypts priekšrocības, izņemot tās dakšiņas, kuras pašas bija aizdomās turas), pētnieki nolēma turpināt veikt auditu.

Pagājušajā nedēļā tika publicēti audita II fāzes rezultāti, un tie TrueCrypt kopumā nodrošina tīru veselības stāvokli. Ciktāl revīzijas grupa var noteikt (nevar būt pilnīgi pārliecināts par to, ka), šifrēšanas programmatūra nesatur apzinātas NSA izmantojamas aizmugures vietas vai ievainojamības. Kā galvenā ziņojuma pētniece Metjū Grīna apkopoja emuāra ziņu,

'TL; DR ir tāds, ka, pamatojoties uz šo auditu, Truecrypt, šķiet, ir samērā labi izstrādāts šifrēšanas programmatūras gabals. NCC audits neatrada pierādījumus par apzinātu aizmugurējo durvju atrašanu vai nopietniem dizaina trūkumiem, kas vairumā gadījumu padarītu programmatūru nedrošu. ”

Komanda atrada vairākas problēmas, kuras tā iesaka novērst, taču tās var novērst, un tās nekādā gadījumā nerada nopietnus draudus lietotājiem, izņemot visneiespējamākos apstākļos,

'Tas nenozīmē, ka Truecrypt ir ideāls. Revidenti tomēr atrada dažus trūkumus un dažas nederīgas programmēšanas - kas noveda pie pāris jautājumiem, kas pareizajos apstākļos varēja izraisīt Truecrypt mazāku ticamību, nekā mēs gribētu..

'Piemēram, vissvarīgākais Truecrypt ziņojuma jautājums ir atradums, kas saistīts ar Truecrypt izlases numuru ģeneratora (RNG) Windows versiju, kas ir atbildīga par atslēgu ģenerēšanu, kas šifrē Truecrypt sējumus. Tas ir svarīgs koda elements, jo paredzams RNG var izsaukt katastrofu visa pārējā sistēmā drošībai ...

Tas vēl nav pasaules gals, jo šādas neveiksmes varbūtība ir ārkārtīgi maza. Pat ja Windows Kripto API jūsu sistēmā neizdodas, Truecrypt joprojām savāc entropiju no avotiem, piemēram, sistēmas norādēm un peles kustībām. Šīs alternatīvas, iespējams, ir pietiekami labas, lai jūs aizsargātu. Bet tas ir slikts dizains, un to noteikti vajadzētu labot visās Truecrypt dakšās. ”

Drošības kopiena, iespējams, tagad elpo ar lielu atvieglojumu, un šie rezultāti, iespējams, uzlabos pārliecību par dakšām, kas izstrādātas kopš TrueCrypt teorētiskās nāves. Liela problēma ar šādām dakšām ir tā, ka TrueCrypt kods, lai arī revidēšanai pieejams avots, nav patiesi atvērts avots, un tāpēc jebkura šāda dakša ir izstrādāta, pārkāpjot autortiesības. Tomēr, lai tas būtu jautājums, oriģinālajiem izstrādātājiem pašiem vajadzētu anonimizēt sevi un nospiest prasību, kaut gan, ņemot vērā viņu centienus aizsargāt savu identitāti, vairums novērotāju to uzskata par maz ticamu. Tomēr tas ir kaut kas tāds, kas nākotnē domāts, lai izšķērdētu daudz laika un pūļu, izstrādājot programmatūru, kas galu galā var tikt izslēgta..

Divas galvenās TrueCrypt dakšas, kas pašlaik tiek izstrādātas, ir VeraCrypt un CypherShed, no kurām VeraCrypt parasti tiek uzskatītas par labākajām (un kuras apgalvo, ka tās ir novērsušas dažas no TrueCrypt problēmām). Noskatieties šo vietu, lai iegūtu padziļinātu ieskatu VeraCrypt.

Tie, kuri labprātāk uzticētos jau revidētajam kodam, TrueCrypt galīgās izlaišanas krātuvē var atrast programmatūras mantotās versijas (mums ir pilns TrueCrypt lietošanas ceļvedis, kas pieejams šeit), savukārt tie, kas joprojām skar TrueCrypt, kopumā (diezgan saprotama pozīcija mūsu skats, neskatoties uz jaunajiem atklājumiem), iespējams, vēlētos izlasīt mūsu rakstu par 5 labākajām TrueCrypt alternatīvajām iespējām.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me