TrueCrypt gerçekten güvenli mi?

TrueCrypt'i uzun zamandır kullanıyorum. Ancak, biri beni lisansla ilgili sorunları tanımlayan bir bağlantıya işaret etti .

IANAL ve bu yüzden bana pek mantıklı gelmedi; Bununla birlikte, şifreleme yazılımımın açık kaynak olmasını istiyorum - içine girebileceğim için değil, güvenebileceğim için.

Onunla ilgili sorunların bazıları dikkatimi çekti:

• Kaynak kod için VCS yok.
• Değişiklik günlüğü yok.
• Forumlar olması kötü bir yer. Gerçek bir soru sorsan bile seni yasaklıyorlar.
• TrueCrypt gerçekten kim sahip?
• MD5 sağlama toplamlarıyla ilgili bazı haberler vardı.

Dürüst olmak gerekirse, TrueCrypt kullanmamın tek nedeni açık kaynak olmasıydı. Ancak, bazı şeyler doğru değil.

TrueCrypt'in güvenliğini kimse doğruladı mı? Gerçekten endişelenmeli miyim? Evet paranoyakım; Bir şifreleme yazılımı kullanırsam, tüm hayatım boyunca buna güvenirim.

Bütün endişelerim gerçekse, TrueCrypt’e alternatif başka bir açık kaynak var mı?

Makale nokta nokta üzerinden geçeceğim:

TrueCrypt'i kimin yazdığını kimse bilmiyor. TC'yi kimin koruduğunu kimse bilmiyor.

Bu markanın Çek Cumhuriyeti'nde yaşayan Tesarik tarafından tutulduğunu söyledikten hemen sonra bir alıntı var. Ticari markanın sahibinin ürünü koruduğunu varsaymak oldukça güvenlidir.

TC forumundaki moderatörler soru soran kullanıcıları yasaklıyor.

Bunun bir kanıtı var mı, yoksa sadece anekdot mu? Kanıt olarak, birinci şahıs kanıtı, ekran görüntüleri, vb.

TC, Kitleler İçin Şifrelemeye (E4M) dayandığını iddia ediyor. Ayrıca açık kaynak olduğunu iddia ediyorlar, ancak kamu CVS / SVN depolarını korumuyorlar

Kaynak kontrolü kesinlikle bir grup programlama projesinin önemli bir parçasıdır, ancak bunun olmaması kesinlikle böyle bir projenin güvenilirliğini azaltmaz.

ve değişiklik günlükleri yayınlamayın.

Evet onlar yapar. http://www.truecrypt.org/docs/?s=version-history . Tüm OSS'ler son derece net değişiklik günlükleri yayınlamaz, çünkü bazen çok fazla zaman alır.

Değişiklik kayıtlarını veya eski kaynak kodunu isteyen forumları yasaklıyorlar.

Çünkü aptalca bir soru, bir değişiklik günlüğü olduğunu ve eski sürümlerin zaten mevcut olduğunu göz önünde bulundurarak. http://www.truecrypt.org/downloads2

Ayrıca, hiçbir açıklama yapmadan sessizce ikili dosyaları (md5 karma değişimi) değiştirirler ... sıfır.

Bu hangi sürüm? Başka bir kanıt var mı? İndirilebilir, eski sürümleri imzaladı mı?

Ticari Marka, Çek Cumhuriyeti'ndeki bir adam tarafından tutulmaktadır ((KAYIT) Tesarik, David BİREYSEL ÇEK CUMHURİYETİ Taussigova 1170/5 Praha ÇEK CUMHURİYETİ 18200.)

Ne olmuş yani? Çek Cumhuriyeti'nde birisinin büyük bir şifreleme teknolojisi için ticari markası var. Neden fark eder?

Etki alanları proxy tarafından özel olarak kaydedilir. Bazı insanlar arka kapısı olduğunu iddia ediyor.

Kim? Nerede? Ne?

Kim bilir? Bu adamlar TC birimlerini bulabileceklerini söylüyor: http://16systems.com/TCHunt/index.html

Duh, TC tüm END WITH ekran görüntüsünde cildi .tc.

Ve bu görüntüyü İletişim sayfasında gören oldu mu?

Bu makaleleri okuyun, FBI truecrypt ile korunan 5 sabit sürücünün şifresini çözemedi

http://www.net-security.org/secworld.php?id=9506

http://techie-buzz.com/foss/fbi-fail-decrypt-hard-drive-truecrypt.html

TrueCrypt'in NSA, CIA veya o büyük Federal ajanslardan biri tarafından, arka kapıya sahip oldukları şifrelemeyi teşvik etmek amacıyla, kıramayacakları diğer şifreleme kullanımını azaltmak amacıyla sağlanabileceğine inanıyorum. Çevresindeki gizliliğinin nedeni budur ve bu nedenle ticari bir ürün olmamasına ve açık kaynak geliştiricilerin yaygın katılımına rağmen, iyi bir dokümantasyona sahip çok iyi cilalanmış bir üründür.

Hükümetin amacının, anahtarları geri alabilecekleri yaygın şifreleme kullanımını teşvik etmek olduğunu açıklayan bu belgeye bakın: http://www.justice.gov/criminal/cybercrime/cryptfaq.htm

Aslında, İdare, çeşitli teknik yaklaşımlarla ya da zamanla düz yazıya zamanında erişilmesine izin veren düz yazı kurtarma sistemlerinin geliştirilmesi de dahil olmak üzere, şifreli verilerin düz metininin kurtarılmasına izin veren şifreleme ürün ve hizmetlerinin tasarımını, üretimini ve kullanımını teşvik eder. Veri sahipleri veya kanun uygulayıcı makamlarca yasal makamlar altında hareket eden kişiler. Bu tür sistemlerin yalnızca yaygın kullanımı hem veriler için daha fazla koruma sağlayacak hem de kamu güvenliğini koruyacaktır.

....

Bölümün amacı - ve İdarenin politikası - kanun uygulayıcılarının yasal olarak yetkilendirilmiş bir aramanın parçası olarak kanıtlara erişim kazanma kabiliyetini korurken, iletişimin ve saklanan verilerin gizliliğini artıran güçlü şifrelemenin geliştirilmesini ve kullanılmasını teşvik etmektir. gözetim.

...

Bu bağlamda, geri kazanım sistemleri sağlayan son derece güvenilir şifreleme kullanılabilirliğinin diğer şifreleme türlerine olan talebi azaltacağını ve suçluların kurtarılabilir şifreleme kullanma olasılığını artıracağını umuyoruz.

TrueCrypt projesi, yabancılar için habersiz / düşmanca bir şekilde çalıştırılabilir (isimsiz devs, hiçbir Changelog yok), ancak bunun bunun nasıl güvenli olup olmadığıyla ilgili olduğunu anlamıyorum.

Şöyle bir bak: Devs Eğer gerçekten TrueCrypt içine arka kapılar koyarak insanları oyun oynamak istedim onlara güzel olmak için insanlar daha az şüpheli yüzden, bu mantıklıdır.

Başka bir deyişle, yazılımın güvenilir olup olmadığına, devlerin sosyal insanlar olup olmamasından oldukça bağımsızdır. Kaynak kodunun kullanılabilirliğinin güvenliği sağlamak için yeterli olmadığını düşünüyorsanız, bir kod denetimi organize etmeniz gerekecektir. Kaynak koduna bakan TrueCrypt projesinin dışında kesinlikle insanlar var, bu yüzden kasıtlı bir arka kapı gizlemek zor olabilir, ancak gizli hatalar olabilir. Debian'ın OpenSSL paketindeki bu hata bir süredir fark edilmedi.

Bence herkesin eksik olduğu nokta, birinin Truecrypt kullanarak bir insanın güvenli olup olmadığından emin olması gerektiğini düşünmesi, eğer yaşamları tehlikede değilse, iPhone'unuz için Flash Player veya Fart uygulaması değil, bunun bir uygulama olduğunu düşünüyorum. Başarısız olması durumunda, keşfedilen bilgilerden birinin öldürüldüğü anlamına gelebilir.

Truecrypt'in bütünlüğünden şüphe varsa, neden bu uygulamayı kullanmalısınız?

btw hiçbir soru Truecrypt veya herhangi bir şey hakkında aptal bir soru.

Birkaç yıldan beri truecrypt kullandım ve şifreleme şemalarına baktığınızda , belirttiğiniz diğer küçük konular güvenliğine bir şey yapmaz. 15 yıllık bir Bilgisayar Mühendisi / Kriptanalist bile bundan etkilendi.

Ve sadece bir havuzu olmadığı için açık kaynak olmadığı anlamına gelmez. Ben üzerinde kafa indirme bölümünde ve gerçekte ne aradığını tüm kaynak kodu, olsun.

Forumlar tek zayıf nokta. Yine de yasak görmedim, sadece alev savaşları gördüm. Herhangi bir yasak kanıtınız var mı?

Şimdiye kadarki cevaplar TrueCrypt şifrelemesinde ne kadar güvenilebileceğini tartıştı. Belgelere göre, TrueCrypt iyi şifreleme algoritmaları kullanır; Ancak bu, şifreli algoritmalar güvenliği yoğun programların en zor kısmı olmadığı için hikayenin sadece bir kısmıdır. TrueCrypt'un kaynak kodu incelemesi için kullanılabilir, bu da kendi lehine bir nokta.

Gizli verileri korumak için bir programı değerlendirirken göz önünde bulundurulması gereken başka noktalar var.

• Program aynı zamanda veri bütünlüğü sağlıyor mu? TrueCrypt değil. Veri bütünlüğü, bilgisayarınıza geçici olarak erişimi olan birinin verilerinizi değiştirilmiş verilerle değiştiremeyeceği anlamına gelir. İşletim sisteminizi korumak özellikle önemlidir: eğer birileri verilerinizden sonraysa, bir dahaki sefere şifreyi yakalamak için bir keylogger kurabilir ya da onlara dolaylı olarak erişmelerine izin vermeyecek diğer zararlı yazılımları yükleyebilirler. Bu nedenle , bu tür bir kurcalamayı tespit etmenin bir yolu yoksa, bilgisayarınızı gözetimsiz bırakmayın .

• Program ne kadar yaygın olarak kullanılabilir ? TrueCrypt bu sayıya göre oldukça yüksek: tüm büyük masaüstü işletim sistemlerinde (Windows, Mac, Linux); Ücretsizdir, böylece lisans maliyeti konusunda endişelenmenize gerek kalmaz; Mevcut geliştirme ekibi aniden ortadan kaybolursa başkalarının gelişmeye başlayabilmesi için açık kaynaktır; Yaygın olarak kullanılır, bu nedenle eğer mevcut ekip ortadan kalkarsa birinin yükselmesi muhtemeldir. Kaynak kontrol sistemine kamu erişiminin olmaması (değişim mesajlarıyla bireysel yamalar) buna karşı bir noktadır.

Soğuk açılış saldırısı bir yana, Truecrypt% 100 güvenli değil . Düşmanınızı (bilgisayar adli biliniyorsa) sizi parola vermeye zorlayacak şekilde önyükleyici içinde adli izler var.