70

Я использую TrueCrypt в течение долгого времени. Однако кто-то указал мне на ссылку, описывающую проблемы с лицензией.

IANAL, и поэтому для меня это не имело особого смысла; однако я хочу, чтобы мое программное обеспечение для шифрования было с открытым исходным кодом - не потому, что я могу взломать его, а потому, что я могу доверять ему.

Некоторые из проблем с этим я заметил:

  • Нет VCS для исходного кода.
  • Нет журналов изменений.
  • Форумы - плохое место, чтобы быть. Они забанят вас, даже если вы зададите подлинный вопрос.
  • Кто действительно владеет TrueCrypt?
  • Было несколько сообщений о том, чтобы возиться с контрольными суммами MD5.

Честно говоря, единственная причина, по которой я использовал TrueCrypt, была в том, что он был с открытым исходным кодом. Но, однако, некоторые вещи просто не правы.

Кто-нибудь когда-нибудь проверял безопасность TrueCrypt? Должен ли я действительно волноваться? Да, я параноик; если я использую программное обеспечение для шифрования, я доверяю ему всю свою жизнь.

Если все мои опасения являются подлинными, есть ли другая альтернатива с открытым исходным кодом для TrueCrypt?

8 ответов8

30

Я пойду через статью пункт за пунктом:

Никто не знает, кто написал TrueCrypt. Никто не знает, кто поддерживает ТС.

Сразу после этого есть цитата, в которой говорится, что товарный знак принадлежит Tesarik, который живет в Чешской Республике. Можно с уверенностью предположить, что тот, кто владеет торговой маркой, поддерживает продукт.

Модераторы на форуме ТС забанят пользователей, которые задают вопросы.

Есть ли какое-либо доказательство этого, или это просто анекдотично? Под доказательством я имею в виду доказательства от первого лица, снимки экрана и так далее.

TC утверждает, что основано на шифровании для масс (E4M). Они также утверждают, что они с открытым исходным кодом, но не поддерживают общедоступные хранилища CVS/SVN

Контроль исходного кода, безусловно, является важной частью проекта группового программирования, но его отсутствие, безусловно, не снижает доверие к такому проекту.

и не выдавать журналы изменений.

Да, они делают. http://www.truecrypt.org/docs/?s=version-history. Не все OSS публикуют чрезвычайно четкие журналы изменений, потому что иногда это просто слишком много времени.

Они запрещают пользователям форумов запрашивать журналы изменений или старый исходный код.

Потому что это глупый вопрос, учитывая, что есть журнал изменений и старые версии уже доступны. http://www.truecrypt.org/downloads2

Они также молча меняют двоичные файлы (меняются хэши md5) без объяснения причин ... ноль.

Что это за версия? Есть ли другие доказательства? Загружаемые, подписанные старые версии?

Товарный знак принадлежит человеку в Чешской Республике ((РЕГИСТРАТОР) Tesarik, David ИНДИВИДУАЛЬНАЯ ЧЕШСКАЯ РЕСПУБЛИКА Taussigova 1170/5 Praha ЧЕШСКАЯ РЕСПУБЛИКА 18200.)

И что? Кто-то в Чешской Республике владеет торговой маркой для основной технологии шифрования. Почему это имеет значение?

Домены зарегистрированы частным по доверенности. Некоторые люди утверждают, что у него есть черный ход.

Кто? Куда? Какие?

Кто знает? Эти ребята говорят, что могут найти тома TC:http://16systems.com/TCHunt/index.html

Дух, тома TC на скриншоте все END WITH .tc .

А кто-нибудь видел это изображение на странице контактов?

TrueCrypt Foundation адрес

18

Прочитайте эти статьи, ФБР не удалось расшифровать 5 жестких дисков, защищенных с помощью truecrypt

http://www.net-security.org/secworld.php?id=9506

http://techie-buzz.com/foss/fbi-fail-decrypt-hard-drive-truecrypt.html

12

Я считаю, что TrueCrypt может быть предоставлен АНБ, ЦРУ или одним из тех крупных федеральных агентств с целью продвижения шифрования, для которого у них есть задняя дверь, чтобы уменьшить использование другого шифрования, которое они не могут взломать. В этом и заключается причина их секретности, и поэтому он также является настолько хорошо отлаженным продуктом с хорошей документацией, несмотря на то, что он не является коммерческим продуктом и не имеет широкого участия разработчиков с открытым исходным кодом.

См. Этот документ, в котором объясняется, что целью правительства является поощрение широкого использования шифрования, для которого они могут восстановить ключи:http://www.justice.gov/criminal/cybercrime/cryptfaq.htm

На самом деле Администрация поощряет разработку, производство и использование продуктов и услуг шифрования, которые позволяют восстанавливать открытый текст зашифрованных данных, включая разработку систем восстановления открытого текста, которые с помощью различных технических подходов обеспечивают своевременный доступ к открытому тексту либо владельцы данных или правоохранительные органы, действующие на основании законных полномочий. Только широкое использование таких систем обеспечит большую защиту данных и общественную безопасность.

....

Цель Департамента - и политика Администрации - состоит в том, чтобы содействовать разработке и использованию надежного шифрования, которое повышает конфиденциальность сообщений и хранимых данных, а также сохраняет текущую способность правоохранительных органов получать доступ к доказательствам в рамках законно разрешенного поиска или наблюдения.

...

В связи с этим мы надеемся, что наличие высоконадежного шифрования, которое обеспечивает системы восстановления, снизит потребность в других типах шифрования и увеличит вероятность того, что преступники будут использовать восстанавливаемое шифрование.

4

Я думаю, что все упускают из виду то, что если кто-то рассматривает возможность использования Truecrypt, то этот человек должен быть на 100% уверен, что он безопасен, если не его жизнь может быть в опасности, это не Flash Player или приложение Fart для вашего iPhone, это приложение, в котором если это терпит неудачу, может означать, что кто-то убит по обнаруженной информации

Если целостность Truecrypt вызывает сомнения, зачем использовать это приложение?

Между прочим, не вопрос тупой вопрос о Truecrypt или что-нибудь еще.

4

Что ж, проект TrueCrypt вполне может быть запущен способом, который неприемлемо / враждебно посторонним (анонимные разработчики, нет журнала изменений), но я не понимаю, как это связано с безопасностью или нет.

Посмотрите на это следующим образом: если разработчики действительно хотят обмануть людей, добавив бэкдоры в TrueCrypt, им будет полезно быть милыми, чтобы люди были менее подозрительными.

Другими словами, заслуживает ли доверие программное обеспечение, совершенно не зависит от того, являются ли разработчики общительными людьми или нет. Если вы считаете, что наличия исходного кода недостаточно для обеспечения безопасности, вам придется организовать аудит кода. Конечно, есть люди вне проекта TrueCrypt, которые смотрят на исходный код, поэтому преднамеренный черный ход, вероятно, трудно скрыть, но могут быть скрытые ошибки. Эта ошибка в пакете Debian OpenSSL долгое время оставалась незамеченной.

3

Я использую truecrypt уже несколько лет, и когда вы посмотрите на их схему шифрования, другие мелкие проблемы, на которые вы указали, не повлияют на его безопасность. Даже 15-летний компьютерный инженер / криптоаналитик был впечатлен этим.

И только то, что у него нет репозитория, не означает, что его нет с открытым исходным кодом. Я могу зайти в раздел загрузки и получить весь исходный код, который на самом деле - то, что вы ищете.

Форумы являются единственным слабым местом. Я не видел никаких запретов, только войны пламени. У вас есть доказательства запретов?

3

Ответы до сих пор обсуждали, насколько можно доверять шифрованию TrueCrypt. Согласно документации, TrueCrypt использует хорошие алгоритмы шифрования; однако это только часть истории, поскольку криптографические алгоритмы не самая сложная часть программ, требующих высокой безопасности. Исходный код TrueCrypt доступен для ознакомления, что является точкой в его пользу.

Есть и другие моменты, которые следует учитывать при оценке программы для защиты конфиденциальных данных.

  • Программа также обеспечивает целостность данных? TrueCrypt нет. Целостность данных означает, что тот, кто имеет временный доступ к вашему компьютеру, не может заменить ваши данные измененными данными. Особенно важно защитить вашу операционную систему: если кто-то ищет ваши данные, он может установить кейлоггер для захвата вашей пас-фазы при следующем вводе, или какое-либо другое вредоносное ПО, которое косвенно предоставляет им доступ к вашим данным. Поэтому, если у вас нет способа обнаружить такое вмешательство, не оставляйте свой компьютер без присмотра.

  • Насколько широко доступна программа? TrueCrypt довольно высоко оценивает этот показатель: он доступен во всех основных настольных операционных системах (Windows, Mac, Linux); это бесплатно, поэтому вам не нужно беспокоиться о стоимости лицензии; это открытый исходный код, так что другие могут начать разработку, если текущая команда разработчиков внезапно исчезнет; он широко используется, так что кто-то может активизироваться, если текущая команда исчезнет. Отсутствие открытого доступа к системе контроля версий (отдельные патчи с их сообщениями об изменениях) является точкой против.

1

За исключением холодной загрузки, Truecrypt не на 100% безопасен. В его загрузчике есть следы судебной экспертизы, которые заставят вашего врага (если он знает компьютерную экспертизу) заставить вас ввести пароль.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .