Programul de criptare a discului complet și liber de sursă TrueCrypt a fost dragul lumii securității (recomandat de Edward Snowden și Amazon), în ciuda faptului că dezvoltatorii săi au rămas anonimi și codul nu a fost auditat în mod independent.


Tocmai în momentul în care această a doua problemă a fost abordată cu un audit continuu în urma unui proiect de crowdfunded susținut de Electronic Frontier Foundation (EFF), dezvoltatorii TrueCrypt au tras brusc mufa de pe software-ul lor în circumstanțe extrem de neplăcute, recomandând utilizatorilor să se orienteze în mod nesigur și de când au fost confirmați de către Snowden documentele care au fost compromise de NSA, BitLocker - o mișcare atât de bizară încât mulți consideră că este un mandat clar canar de un fel.

Teoriile conspirației în rândul unei comunități din ce în ce mai paranoice de securitate au înflorit în ciuda Proiectului de audit deschis Crypto care anunța că în urma fazei I a auditului său, nu au fost găsite vulnerabilități majore. Cu încredere în TrueCrypt, în orice moment scăzut, dar cu o cerere pentru caracteristicile pe care le-a promis încă ridicat (niciun alt program nu a oferit toate avantajele TrueCrypts, cu excepția furculițelor acestuia, despre care ei înșiși erau suspecti), cercetătorii au decis să apeleze la audit.

Săptămâna trecută, rezultatele fazei II a auditului au fost publicate și, în linii mari, oferă TrueCrypt o factură curată de sănătate. În măsura în care echipa de audit poate determina (nu există nicio modalitate de a fi 100% sigur), software-ul crypto nu conține niciun spor sau vulnerabilități deliberat-exploatabile prin NSA. În calitate de cercetător principal al raportului, Matthew Green a rezumat într-o postare pe blog,

„TL; DR este că, pe baza acestui audit, Truecrypt pare a fi o piesă relativ bine proiectată de software crypto. Auditul NCC nu a găsit nicio dovadă de amenajare deliberată sau de defecte severe de proiectare care să facă software-ul nesigur în majoritatea cazurilor. "

Echipa a găsit o serie de probleme pe care le recomandă să fie rezolvate, dar acestea pot fi remediate și nu prezintă oricum o amenințare majoră pentru utilizatori decât în ​​cele mai puțin probabile circumstanțe.,

„Asta nu înseamnă că Truecrypt este perfect. Auditorii au găsit câteva sclipiri și unele programări necuviincioase - ceea ce duce la câteva probleme care ar putea, în circumstanțele corecte, să determine Truecrypt să ofere mai puțină asigurare decât ne-am dori.

„De exemplu: cea mai semnificativă problemă din raportul Truecrypt este o constatare legată de versiunea Windows a generatorului de numere aleatoare (RNG) al Truecrypt, care este responsabil de generarea tastelor care criptează volumele Truecrypt. Acesta este un element important de cod, deoarece un RNG previzibil poate vrăji un dezastru pentru securitatea tuturor celorlalte din sistem ...

Acesta nu este sfârșitul lumii, deoarece probabilitatea unui astfel de eșec este extrem de mică. Mai mult, chiar dacă API-ul Windows Crypto nu reușește în sistemul dvs., Truecrypt colectează în continuare entropia din surse precum indicatoarele sistemului și mișcările mouse-ului. Aceste alternative sunt probabil suficient de bune pentru a vă proteja. Dar este un design prost și ar trebui să fie fixat cu siguranță în orice furculițe Truecrypt. "

Comunitatea de securitate respiră acum un mare suspin de ușurare, iar aceste rezultate vor îmbunătăți încrederea în furculițele dezvoltate de la dispariția teoretică a TrueCrypt. Marea problemă cu astfel de furci este că codul TrueCrypt, deși sursa disponibilă pentru auditare, nu este cu adevărat sursă deschisă, astfel încât orice astfel de furcă este dezvoltată cu încălcarea dreptului de autor. Cu toate acestea, pentru ca acest lucru să fie o problemă, dezvoltatorii originali ar trebui să se anonimizeze și să apeleze la revendicare, lucru care, dat fiind efortul pe care l-au depus pentru a-și proteja identitățile, majoritatea observatorilor consideră puțin probabil. Cu toate acestea, este un joc de noroc pentru viitorii devs de a pierde potențial mult timp și eforturi pentru a dezvolta software care poate fi oprit..

Cele două furci majore ale TrueCrypt în curs de dezvoltare sunt VeraCrypt și CypherShed, dintre care VeraCrypt este în general considerat mai bun (și care susține că a rezolvat unele dintre problemele cu TrueCrypt). Urmăriți acest spațiu pentru o privire aprofundată asupra VeraCrypt.

Cei care ar prefera să aibă încredere în codul auditat deja pot găsi versiuni vechi ale software-ului la TrueCrypt Final Release Repository (avem un ghid complet pentru utilizarea TrueCrypt disponibil aici), în timp ce cei care încă mai păstrează TrueCrypt cu totul (o poziție destul de inteligibilă în vizualizare, în ciuda noilor descoperiri) ar putea dori să afli articolul nostru despre cele mai bune 5 alternative open source la TrueCrypt.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me