TrueCrypt è veramente sicuro?

Ho usato TrueCrypt da molto tempo. Tuttavia, qualcuno mi ha indicato un collegamento che descrive i problemi con la licenza .

IANAL e quindi non mi ha fatto molto senso; tuttavia, voglio che il mio software di crittografia sia open source, non perché posso adoperarlo, ma perché credo di fiducia.

Alcuni dei problemi con cui ho notato:

  • Non esiste un VCS per il codice sorgente.
  • Non ci sono registri di cambiamento.
  • I forum sono un posto negativo per essere. Vi vietano anche se fai una domanda vera.
  • Chi possiede veramente TrueCrypt?
  • C'erano alcuni rapporti di confusione con i controlli MD5.

Per essere onesti, l'unico motivo per cui ho usato TrueCrypt era perché era open source. Ma però, alcune cose non sono giuste.

Qualcuno ha mai validationto la sicurezza di TrueCrypt? Devo veramente preoccuparmi? Sì sono paranoico; se uso un software di crittografia, lo confido con tutta la mia vita.

Se tutte le mie preoccupazioni sono autentiche, esiste un'altra alternativa open source a TrueCrypt?

Vado attraverso l'articolo punto per punto:

Nessuno sa chi ha scritto TrueCrypt. Nessuno sa chi mantiene TC.

C'è una citazione subito dopo che dice che il marchio è detenuto da Tesarik, che vive nella Repubblica ceca. È abbastanza sicuro assumere che chiunque possieda il marchio mantiene il prodotto.

Moderatori sul forum TC forzano gli utenti che fanno domande.

C'è qualche prova di questo, o è solo aneddotica? E per prova, voglio dire la prova di prima persona, i colpi di schermo, et cetera.

La rivendicazione TC si basa sulla crittografia per le masse (E4M). Essi affermano inoltre di essere open source, ma non mantengono archivi CVS / SVN pubblici

Il controllo di origine è certamente una parte importnte di un progetto di programmazione di gruppo, ma l'assenza certamente non diminuisce la credibilità di tale progetto.

e non emettere registri di modifica.

Si lo fanno. http://www.truecrypt.org/docs/?s=version-history . Non tutti gli OSS pubblicano registri di cambio estremamente chiari, perché è semplicemente troppo tempo a volte.

Essi vietano persone provenienti dai forum che chiedono i cambi di registro o il vecchio codice sorgente.

Perché è una domanda stupida, considerando che esiste un registro di modifica e sono già disponibili versioni precedenti. http://www.truecrypt.org/downloads2

Hanno anche cambiato silenziosamente i binari (cambiamenti di hash di md5) senza spiegazione … zero.

Qual è la versione? C'è qualche altra prova? Versioni vecchie scaricabili e firmate?

Il marchio è detenuto da un uomo della Repubblica ceca ((REGISTRATORE) Tesarik, David INDIVIDUALE REPUBBLICA CECA Taussigova 1170/5 Praha REPUBBLICA CECA 18200.)

E allora? Qualcuno nella Repubblica Ceca possiede un marchio di fabbrica per una tecnologia di crittografia importnte. Perchè import?

I domini sono registrati privati ​​per proxy. Alcune persone affermano che ha un backdoor.

Chi? Dove? Che cosa?

Chi lo sa? Questi dicono di poter trovare i volumi TC: http://16systems.com/TCHunt/index.html

Duh, i volumi TC nello screenshot tutti END WITH .tc .

E chiunque ha visto questa image nella pagina Contatto?

Indirizzo TrueCrypt Foundation

Leggere questi articoli, l'FBI non ha decryptato 5 dischi rigidi protetti con truecrypt

http://www.net-security.org/secworld.php?id=9506

http://techie-buzz.com/foss/fbi-fail-decrypt-hard-drive-truecrypt.html

Credo che TrueCrypt potrebbe essere fornito dall'NSA, dalla CIA o da una di quelle grandi agenzie federali per promuovere la crittografia per cui hanno la port posteriore, al fine di diminuire l'uso di altre crittografia che non possono rompere. Questo è il motivo della loro segnetworkingzza, ed è per questo che è anche un prodotto così ben lucidato con una buona documentazione, nonostante sia né un prodotto commerciale né un'ampia partecipazione di sviluppatori open source.

Vedere questo documento, che spiega che l'objective del governo è quello di incoraggiare l'uso diffuso della crittografia per cui possono recuperare le chiavi: http://www.justice.gov/criminal/cybercrime/cryptfaq.htm

In realtà, l'Amministrazione incoraggia la progettazione, la fabbricazione e l'utilizzo di prodotti e servizi di crittografia che consentono il recupero del text in chiaro dei dati crittografati, incluso lo sviluppo di sisthemes di recupero in modo semplice, che permettono, attraverso una serie di approcci tecnici, l'accesso tempestivo al text in chiaro i proprietari dei dati o le autorità di contrasto che agiscono sotto autorità legittima. Solo l'uso diffuso di tali sisthemes fornirà una maggiore protezione ai dati e protegge la sicurezza pubblica.

….

L'objective del Dipartimento – e la politica dell'amministrazione – è quello di promuovere lo sviluppo e l'uso di una forte crittografia che aumenta la privacy delle comunicazioni e dei dati memorizzati, pur preservando la capacità attuale della legge di accedere alle prove come parte di una ricerca autorizzata legalmente sorveglianza.

A questo proposito, speriamo che la disponibilità di una crittografia altamente affidabile che preveda sisthemes di recupero ridurrà la domanda di altri tipi di crittografia e aumenta la probabilità che i criminali utilizzino la crittografia recuperabile.

Beh, il progetto TrueCrypt potrebbe essere gestito in modo inospitale / ostile agli outsider (anonimi devs, no Changelog), ma non vedo come questo si riferisce ad esso essere sicuro o no.

Guardalo in questo modo: se i devs volessero veramente vomitare le persone, mettendo indietro in TrueCrypt, avrebbe senso per loro essere bello, quindi le persone sono less sospette.

In altre parole, se il software è affidabile è abbastanza indipendente dal fatto che i devs siano persone socievoli o less. Se ritieni che la disponibilità del codice sorgente non sia sufficiente per garantire la sicurezza, dovrai organizzare un controllo di codice. Ci sono certamente persone al di fuori del progetto TrueCrypt che guardano il codice sorgente, quindi è probabilmente difficile hide una backdoor deliberata, ma potrebbero esserci bug nascosti. Questo bug nel pacchetto OpenSSL di Debian è passato inosservato per un bel po '.

Penso che il punto che tutti mancano è se qualcuno sta valutando l'utilizzo di Truecrypt che la persona deve essere 100% sicuro che sia sicuro, se non la loro vita può essere in pericolo, non è Flash Player o un'applicazione Fart per il tuo iPhone, è un'applicazione in cui se fallisce può significare che qualcuno sia ucciso per le informazioni scoperte.

Se l'integrità di Truecrypt è in dubbio perché utilizzare questa applicazione?

Non c'è dubbio su Truecrypt o su qualsiasi cosa.

Ho usato truecrypt per alcuni anni e quando esaminate il loro schema di crittografia , le altre piccole questioni che hai sottolineato non faranno nulla alla sua sicurezza. Anche un 15enne Computer Engineer / Cryptanalyst è stato impressionato da esso.

E solo perché non dispone di un repository non significa che la sua non open source. Posso passare alla sezione download e get tutto il codice sorgente, che in realtà è quello che stai cercando.

I forum sono l'unico punto debole. Non ho mai visto alcun divieto, solo guerre di fiamma. Hai qualche prova di divieto?

Le risposte finora hanno discusso quanto fiducia possa essere posta nella crittografia di TrueCrypt. Secondo la documentazione, TrueCrypt utilizza algoritmi di crittografia corretti; tuttavia questa è solo una parte della storia, in quanto gli algoritmi di crittografia non sono la parte più difficile di programmi di sicurezza. Il codice sorgente di TrueCrypt è disponibile per la revisione, che è un punto a suo favore.

Ci sono altri punti da considerare quando si valuta un programma per proteggere i dati riservati.

  • Il programma fornisce anche l'integrità dei dati ? TrueCrypt non lo fa. L'integrità dei dati significa che qualcuno che ha accesso temporaneo al computer non può sostituire i dati con dati modificati. È particolarmente importnte proteggere il sistema operativo: se qualcuno è dopo i tuoi dati, potrebbe installare un keylogger per catturare la tua passphase la prossima volta che la scrivi o altri malware che indirettamente dà loro l'accesso ai tuoi dati. Quindi, se non si dispone di un modo per rilevare tali manomissioni, non lasciare il computer incustodito .

  • Quanto è ampiamente disponibile il programma? TrueCrypt è abbastanza elevato per questo count: è disponibile su tutti i principali sisthemes operativi desktop (Windows, Mac, Linux); è gratuito quindi non devi preoccuparti del costo della licenza; è la fonte aperta in modo che altri potrebbero assumere lo sviluppo se l'attuale squadra di sviluppo improvvisamente scompare; è ampiamente usato in modo che qualcuno possa aumentare se la squadra attuale scompare. La mancanza di accesso pubblico al sistema di controllo di origine (patch individuale con i loro messaggi di modifica) è un punto contro, però.

L'attacco a freddo a parte, Truecrypt non è al 100% sicuro . Ha tracce forensi nel suo caricatore di avvio che renderà il tuo nemico (se conosce il computer forensico) ti obbliga a dare password.