Besplatni i otvoreni izvorni program za enkripciju punog diska TrueCrypt je bio miljenik sigurnosnog svijeta (koji su ga preporučili Edward Snowden i Amazon), uprkos činjenici da su njegovi programeri ostali anonimni, a kôd nije bio neovisno revidiran.


Taman kada se ovaj drugi problem rješavao s revizijom koja je u tijeku nakon projekta potpomognutog mnoštva financijskog fonda od strane Electronic Frontier Foundation (EFF), TrueCryptovi razvojni uređaji iznenada su povukli utikač na svom softveru u izuzetno sumnjivim okolnostima, preporučujući korisnicima da pređu na divljački nesigurna i od tada potvrđena dokumenti Snowdena koje NSA kompromitira, BitLocker - takav potez toliko bizaran da ga mnogi smatraju jasnim kanarinskim kanalom neke vrste.

Teorije zavjere među paranoičnom sigurnosnom zajednicom procvjetale su unatoč Projektu otvorene kripto revizije koji je objavio da nakon faze I njegove revizije nisu pronađene veće ranjivosti. Sa pouzdanjem u TrueCrypt na svim vremenima niskim, ali s potražnjom za značajkama koje je obećao i dalje visokima (nijedan drugi program nije ponudio sve TrueCrypts prednosti osim vilica, za koje su i sami sumnjali), istraživači su odlučili pritisnuti reviziju.

Prošli tjedan objavljeni su rezultati II faze revizije koji u cjelini daju TrueCryptu čistu zdravstvenu zaštitu. Koliko god revizorski tim mogao utvrditi (ne postoji način da budemo 100-postotni sigurni), kripto-softver ne sadrži namjerno zaledje ili ranjivosti koje NSA može iskorištavati. Kao glavni istraživač izvješća, Matthew Green sažeo je u postu na blogu,

„TL; DR je to što se na temelju te revizije čini da je Truecrypt relativno dobro dizajniran komad kripto softvera. Revizija NCC-a nije pronašla nikakve dokaze o namjernom zaleđu ili bilo kakvih ozbiljnih propusta u dizajnu koji će softver učiniti nesigurnim u većini slučajeva. "

Tim je pronašao niz problema za koje preporučuje da ih treba popraviti, ali oni se mogu ispraviti i nikako ne predstavljaju veliku prijetnju za korisnike, osim pod najnevjerovatnijim okolnostima,

"To ne znači da je Truecrypt savršen. Revizori su pronašli nekoliko propusta i nešto opreznog programiranja - što je dovelo do nekoliko problema zbog kojih bi, u pravim okolnostima, Truecrypt mogao dati manje sigurnosti nego što to želimo.

Na primjer: najznačajniji problem u Truecrypt izvješću je nalaz povezan sa Windows verzijom Truecrypt generatora slučajnih brojeva (RNG), koji je odgovoran za generiranje ključeva koji šifriraju Truecrypt sveske. To je važan dio koda, jer predvidljivi RNG može opisati katastrofu zbog sigurnosti svega ostalog u sustavu ...

Ovo nije kraj svijeta, jer je vjerojatnost takvog neuspjeha izuzetno mala. Nadalje, čak i ako Windows Crypto API ne uspije u vašem sustavu, Truecrypt još uvijek prikuplja entropiju iz izvora kao što su pokazatelji sustava i pokreti miša. Te su alternative vjerojatno dovoljno dobre da vas zaštite. Ali, loš je dizajn i svakako ga treba popraviti u svim vilicama Truecrypt. "

Sigurnosna zajednica vjerojatno sada odaje veliki uzdah olakšanja, a ti će rezultati vjerojatno poboljšati povjerenje u vilice koje su razvijene nakon teorijske smrti TrueCrypta. Veliki problem kod takvih vilica je taj što kod TrueCrypt, iako je izvor dostupan za reviziju, nije istinski open source, pa je bilo koji takav oblik izrađen u kršenju autorskih prava. Međutim, da bi ovo bilo problem, izvorni vragovi morali bi se de anonimizirati i podnijeti zahtjev, što je, s obzirom na napore koji su uložili u zaštitu svog identiteta, većina promatrača smatrala malo vjerojatnim. Ipak, to je nešto od kockanja za buduće vratove koji mogu izgubiti puno vremena i truda na razvoju softvera koji bi eventualno mogao biti ugašen.

Dvije glavne vilice TrueCrypt-a koji su trenutno u razvoju su VeraCrypt i CypherShed, od kojih se VeraCrypt uglavnom smatra boljim (a koji tvrdi da je riješio neke probleme s TrueCryptom). Pogledajte ovaj prostor za dubinski pogled na VeraCrypt.

Oni koji se više žele pouzdati u već revidirani kôd, mogu pronaći stare verzije softvera u TrueCrypt spremištu konačnih izdanja (ovdje je dostupan cijeli vodič za korištenje TrueCrypta), dok su oni koji i dalje zanemaruju TrueCrypt (sasvim razumljiva pozicija u našem pogleda, uprkos novim nalazima), možda biste htjeli pogledati naš članak o 5 najboljih alternativnih izvora s istinskim kodom TrueCrypt.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me