Чи справді безпечний TrueCrypt?

Я вже давно користуюся TrueCrypt. Однак хтось вказав мені на посилання, яке описувало проблеми з ліцензією .

IANAL, і тому воно насправді мало особливого сенсу; однак я хочу, щоб моє програмне забезпечення для шифрування було відкритим кодом - не тому, що я можу зламати його, а тому, що я йому довіряю.

Деякі проблеми з цим я помітив:

• Немає VCS для вихідного коду.
• Журналів змін немає.
• Форуми - це погане місце. Вони забороняють вам, навіть якщо ви задаєте справжнє запитання.
• Хто насправді є власником TrueCrypt?
• Було кілька повідомлень про майстерність контрольних сум MD5.

Якщо чесно, то єдиною причиною, чому я користувався TrueCrypt, було те, що він був відкритим кодом. Але, однак, деякі речі просто не вірні.

Хтось коли-небудь перевіряв безпеку TrueCrypt? Чи варто насправді переживати? Так, я параноїк; якщо я використовую програмне забезпечення для шифрування, я довіряю йому все життя.

Якщо всі мої побоювання справжні, чи існує інша альтернатива TrueCrypt з відкритим кодом?

Я перегляну статтю за пунктом:

Ніхто не знає, хто написав TrueCrypt. Ніхто не знає, хто підтримує ТС.

Після цього є цитата, яка говорить про те, що торгову марку тримає Тесарик, який проживає в Чехії. Досить безпечно припустити, що той, хто є власником торговельної марки, підтримує товар.

Модератори на форумі TC забороняють користувачам, які задають питання.

Чи є докази цього чи це просто анекдотичний характер? Під доказом я маю на увазі доказ від першої особи, знімки екрана тощо.

ТК стверджує, що базується на шифруванні для мас (E4M). Вони також заявляють, що є відкритим кодом, але не підтримують загальнодоступні сховища CVS / SVN

Контроль над джерелами, безумовно, є важливою частиною проекту групового програмування, але його відсутність, безумовно, не знижує довіру до такого проекту.

і не видавати журнали змін.

Так вони роблять. http://www.truecrypt.org/docs/?s=version-history . Не всі OSS публікують надзвичайно чіткі журнали змін, тому що іноді просто занадто багато часу.

Вони забороняють людей з форумів, які запитують журнали змін або старий вихідний код.

Тому що це дурне питання, враховуючи, що є журнал змін, і старі версії вже доступні. http://www.truecrypt.org/downloads2

Вони також мовчки змінюють двійкові файли (змінюються хеди md5), не пояснюючи ... нуль.

Що це за версія? Чи є якісь інші докази? Старі версії, які можна завантажити, підписати?

Торгова марка є власником чоловіка в Чехії ((РЕЄСТРАНТ) Тесарік, Давид ІНДИВІДУАЛЬНА ЧЕШСЬКА РЕСПУБЛІКА Тауссігова 1170/5 Прага ЧЕХІЯ 18200.)

І що? Хтось із Чехії володіє торговою маркою для основної технології шифрування. Чому це важливо?

Домени реєструються приватними проксі. Деякі люди стверджують, що у нього є задній простір.

Хто? Де? Що?

Хто знає? Ці хлопці кажуть, що можуть знайти томи TC: http://16systems.com/TCHunt/index.html

Duh, обсяги ТЦ в скріншоті все END З .tc.

І хтось бачив це зображення на сторінці контактів?

Прочитавши ці статті, ФБР не вдалося розшифрувати 5 жорстких дисків, захищених truecrypt

http://www.net-security.org/secworld.php?id=9506

http://techie-buzz.com/foss/fbi-fail-decrypt-hard-drive-truecrypt.html

Я вважаю, що TrueCrypt може бути наданий АНБ, ЦРУ чи одним із таких великих федеральних агентств з метою сприяння шифруванню, для якого вони мають задню двері, щоб зменшити використання іншого шифрування, яке вони не можуть зламати. Це причина їхньої секретності навколо цього, і саме тому він також є настільки добре відшліфованим продуктом з хорошою документацією, незважаючи ні на те, що він був комерційним продуктом, ні брав широку участь розробників з відкритим кодом.

Дивіться цей документ, в якому пояснюється, що метою уряду є заохочення широкого використання шифрування, для якого вони можуть відновити ключі: http://www.justice.gov/criminal/cybercrime/cryptfaq.htm

Насправді Адміністрація заохочує розробляти, виготовляти та використовувати продукти та послуги шифрування, які дозволяють відновити в простому тексті зашифровані дані, включаючи розробку систем відновлення простого тексту, які дозволяють через різноманітні технічні підходи своєчасно отримувати доступ до відкритого тексту власники даних або правоохоронні органи, які діють на законних повноваженнях. Тільки широке використання таких систем забезпечить більший захист даних та захистить громадську безпеку.

….

Мета Департаменту - та політика Адміністрації - сприяти розробці та використанню сильного шифрування, що сприяє підвищенню конфіденційності комунікацій та збережених даних, а також збереження поточної можливості правоохоронних органів отримувати доступ до доказів у рамках законного дозволу пошуку або спостереження.

...

У зв'язку з цим ми сподіваємось, що доступність високонадійного шифрування, що забезпечує системи відновлення, зменшить попит на інші типи шифрування та збільшить ймовірність того, що злочинці використовуватимуть відновлюване шифрування.

Що ж, проект TrueCrypt цілком може запускатися таким чином, як негостинний / ворожий для сторонніх людей (анонімні розробники, немає журналу змін), але я не бачу, як це стосується того, захищається він чи ні.

Подивіться на це так: Якщо б чорти справді хотіли накрутити людей, поставивши задній куточок в TrueCrypt, їм було б сенс бути приємними, тому люди менш підозрілі.

Іншими словами, чи надійне програмне забезпечення є цілком незалежним від того, чи є розробки товариські люди чи ні. Якщо ви вважаєте, що доступність вихідного коду недостатня для забезпечення безпеки, вам доведеться організувати аудит коду. Безумовно, є люди поза проектом TrueCrypt, які дивляться на вихідний код, тому навмисне заднє вікно, ймовірно, важко приховати, але можуть бути приховані помилки. Ця помилка у пакеті OpenSSL Debian залишалася непоміченою довгий час.

Думаю, що всім не вистачає, якщо хтось розглядає можливість використання Truecrypt, людина має бути на 100% впевненою, що це безпечно, якщо не їхнє життя може загрожувати, це не Flash Player або додаток Fart для вашого iPhone, це програма, де якщо це не вдасться, це може означати, що когось вбивають за виявлену інформацію.

Якщо цілісність Truecrypt сумнівається, навіщо використовувати цей додаток?

btw no question - це німе питання про Truecrypt чи щось інше.

Я вже декілька років використовую truecrypt, і коли ви подивитесь на їх схему шифрування , інші невеликі проблеми, на які ви вказали, нічого не сприяють її безпеці. Навіть 15-річний комп'ютерний інженер / криптоаналітик був вражений цим.

І те, що у нього немає сховища, не означає, що його не є відкритим кодом. Я можу перейти до розділу завантаження та отримати весь вихідний код, який насправді є тим, що ви шукаєте.

Форуми - єдине слабке місце. Я не бачив жодних заборон, лише вогняні війни. Чи є у вас докази заборон?

Поки що відповіді обговорювали, скільки довіри можна докласти до шифрування TrueCrypt. Згідно з документацією, TrueCrypt використовує хороші алгоритми шифрування; однак це лише частина історії, оскільки криптографічні алгоритми не є найважчою частиною програм, що займають безпеку. Вихідний код TrueCrypt доступний для огляду, що є моментом на його користь.

Є й інші моменти, які слід враховувати при оцінці програми захисту конфіденційних даних.

• Програма також забезпечує цілісність даних ? TrueCrypt не робить. Цілісність даних означає, що той, хто має тимчасовий доступ до вашого комп'ютера, не може замінити ваші дані зміненими даними. Особливо важливо захистити вашу операційну систему: якщо хтось перебуває за вашими даними, він може встановити кейлоггер для зйомки вашої парольної фази при наступному введенні або іншої шкідливої ​​програми, ніж опосередковано, надає їм доступ до ваших даних. Тож якщо у вас немає способу виявити такі підробки, не залишайте комп’ютер без нагляду .

• Наскільки широко доступна програма? Коефіцієнт TrueCrypt щодо цього показника досить високий: він доступний у всіх основних операційних системах настільних ПК (Windows, Mac, Linux); це безкоштовно, тому вам не доведеться турбуватися про вартість ліцензії; це відкритий код, щоб інші могли взяти на себе розвиток, якщо нинішня команда розробників раптово зникне; він широко використовується, тому хтось, ймовірно, посилиться, якщо нинішня команда зникне. Хоча відсутність доступу громадськості до системи контролю джерел (окремих патчів із повідомленнями про їх зміну) є протилежним моментом.

Атака холодного завантаження в сторону, Truecrypt не є 100% безпечним . У його завантажувачі є криміналістичні сліди, які змусять вашого ворога (якщо він знає комп'ютерну криміналістику) змусити вас вводити пароль.