Вопрос или проблема
Я уже давно использую TrueCrypt. Однако кто-то указал мне на ссылку, в которой описаны проблемы с лицензией.
Я не юрист, и поэтому это не имело для меня особого смысла; однако я хочу, чтобы мое программное обеспечение для шифрования было открытым, не потому что я могу его взломать, а потому что могу ему доверять.
Некоторые проблемы, которые я заметил:
- Отсутствие Системы Контроля Версий (VCS) для исходного кода.
- Нет журналов изменений.
- Форумы — плохое место. Вас могут забанить, даже если вы зададите честный вопрос.
- Кто на самом деле владеет TrueCrypt?
- Поступали отчеты о вмешательстве в контрольные суммы MD5.
Честно говоря, единственная причина, по которой я использовал TrueCrypt, это его открытый исходный код. Но все же, некоторые вещи просто не так.
Кто-нибудь когда-либо проверял безопасность TrueCrypt? Стоит ли мне действительно беспокоиться? Да, я параноик; если я использую программное обеспечение для шифрования, я доверяю ему свою жизнь.
Если все мои опасения оправданы, есть ли какая-то другая альтернатива с открытым исходным кодом для TrueCrypt?
Я пройдусь по статье пункт за пунктом:
Никто не знает, кто написал TrueCrypt. Никто не знает, кто поддерживает TC.
Есть цитата сразу после, где говорится, что товарный знак принадлежит человеку по имени Тесарик, который живет в Чешской Республике. Довольно безопасно предположить, что кто бы ни владел товарным знаком, тот поддерживает продукт.
Модераторы на форуме TC банят пользователей, которые задают вопросы.
Есть ли доказательства этого или это просто анекдот? И под доказательствами я имею в виду доказательства из первых уст, скриншоты и так далее.
TC утверждает, что основан на Encryption for the Masses (E4M). Они также утверждают, что являются open source, но не поддерживают публичные CVS/SVN репозитории
Контроль версий, безусловно, важная часть группового программного проекта, но его отсутствие определенно не снижает надежность такого проекта.
и не публикуют журналы изменений.
Да, публикуют. http://www.truecrypt.org/docs/?s=version-history. Не все проекты с открытым исходным кодом публикуют предельно ясные журналы изменений, поскольку иногда это занимает слишком много времени.
Они банят людей на форумах, которые спрашивают журналы изменений или старый исходный код.
Потому что это глупый вопрос, учитывая, что есть журнал изменений, а старые версии уже доступны. http://www.truecrypt.org/downloads2
Они также тихо меняют бинарные файлы (md5 хеши меняются) без объяснений… ноль.
О какой версии идет речь? Есть ли другие доказательства? Загружаемые, подписанные старые версии?
Товарный знак зарегистрирован на имя человека в Чешской Республике (TEСАРИК, Дэвид, ИНДИВИДУАЛЬНО ЧЕШСКАЯ РЕСПУБЛИКА Тауссигова 1170/5 Прага ЧЕШСКАЯ РЕСПУБЛИКА 18200.)
Ну и что? Кто-то в Чешской Республике владеет товарным знаком на крупную технологию шифрования. Почему это важно?
Домены зарегистрированы через частные прокси. Некоторые утверждают, что в нем есть бэкдор.
Кто? Где? Что?
Кто знает? Эти ребята говорят, что могут найти TC-объемы: http://16systems.com/TCHunt/index.html
Ну, TC-объемы на скриншоте все заканчиваются на .tc.
Кто-нибудь видел это изображение на странице Контактов?
Читайте эти статьи, ФБР не удалось расшифровать 5 жестких дисков, защищенных с помощью TrueCrypt
http://www.net-security.org/secworld.php?id=9506
http://techie-buzz.com/foss/fbi-fail-decrypt-hard-drive-truecrypt.html
Я верю, что TrueCrypt может быть предоставлен АНБ, ЦРУ или одним из крупных федеральных агентств с целью продвижения шифрования, для которого у них есть бэкдор, чтобы уменьшить использование других шифрований, которые они не могут взломать. Это причина их секретности вокруг этого, и поэтому это также такой хорошо отполированный продукт с хорошей документацией, несмотря на то, что он не является коммерческим продуктом и не имеет широкого участия разработчиков с открытым исходным кодом.
Смотрите этот документ, который объясняет, что целью правительства является поощрение широкого использования шифрования, для которого они могут восстановить ключи:
http://www.justice.gov/criminal/cybercrime/cryptfaq.htm
На самом деле Администрация поощряет разработку, производство и использование шифровальных продуктов и сервисов, которые позволяют вернуть текст зашифрованных данных, включая разработку систем восстановления текста, которые позволяют через разные технические подходы своевременный доступ к тексту либо владельцами данных, либо правоохранительными органами, действующими на законных основаниях. Только широкое использование таких систем обеспечит как большую защиту данных, так и защитит общественную безопасность.
….
Цель Департамента и политика Администрации – стимулировать разработку и использование сильного шифрования, обеспечивающего приватность связи и сохраненных данных, а также сохраняя при этом текущую возможность правоохранительных органов получить доступ к доказательствам в рамках легально разрешенного обыска или наблюдения.
…
В этом отношении, мы надеемся, что наличие высоконадежной шифровки, которая предоставляет системы восстановления, уменьшит спрос на другие виды шифровки и увеличит вероятность использования преступниками восстановимых шифровок.
Ну, проект TrueCrypt вполне может управляться в такой манере, которая недружелюбна/враждебна к посторонним (анонимные разработчики, отсутствие журнала изменений), но я не вижу, как это связано с его безопасностью или ее отсутствием.
Посмотрите на это так: если бы разработчики действительно хотели обмануть людей, добавляя бэкдоры в TrueCrypt, имело бы смысл быть доброжелательными, чтобы люди меньше подозревали.
Другими словами, надежность программного обеспечения географически не зависит от того, являются ли разработчики общительными людьми или нет. Если вы считаете, что наличие исходного кода недостаточно для обеспечения безопасности, вам придется организовать аудит кода. Безусловно, есть люди вне проекта TrueCrypt, которые смотрят на исходный код, так что намеренный бэкдор, вероятно, трудно скрыть, но могут быть скрытые ошибки. Эта ошибка в пакете OpenSSL от Debian оставалась незамеченной довольно долгое время.
Я думаю, что упускается главный момент: если кто-то рассматривает возможность использования TrueCrypt, этот человек должен быть на 100% уверен в его безопасности, иначе его жизнь может быть в опасности, это не плеер Flash или приложение для иPhone, если оно не сработает, это может означать, что кто-то будет убит из-за обнаруженной информации.
Если целостность TrueCrypt вызывает сомнения, зачем использовать это приложение?
кстати, никакой вопрос о TrueCrypt или чем-то другом не является глупым.
Я использую TrueCrypt уже несколько лет, и когда вы взглянете на их схему шифрования, другие мелкие проблемы, которые вы указали, никак не повлияют на его безопасность. Даже 15-летний инженер по компьютерам/криптоаналитик был впечатлен ею.
И просто потому что нет репозитория, это не значит, что это не open source. Я могу зайти в раздел загрузок и получить весь исходный код, который вы на самом деле и ищете.
Форумы – это единственное слабое место. Я не видел никаких банов, только “войны” на форумах. У вас есть какие-либо доказательства банов?
Ответы до сих пор обсуждали, насколько можно доверять шифрованию TrueCrypt. Согласно документации, TrueCrypt использует хорошие алгоритмы шифрования; однако это только часть истории, так как криптографические алгоритмы не являются самой трудной частью программ, требующих высокого уровня безопасности. Исходный код TrueCrypt доступен для проверки, что является плюсом в его пользу.
Есть и другие моменты, которые стоит учитывать при оценке программы для защиты конфиденциальных данных.
-
Предоставляет ли программа также целостность данных? TrueCrypt этого не делает. Целостность данных означает, что кто-то, кто имеет временный доступ к вашему компьютеру, не может подменить ваши данные на измененные данные. Это особенно важно для защиты вашей операционной системы: если кто-то охотится на ваши данные, он может установить кейлоггер, чтобы захватить вашу парольную фразу в следующий раз, когда вы ее вводите, или другое вредоносное ПО, которое косвенно дает им доступ к вашим данным. Поэтому если у вас нет способа обнаружения такой подмены, не оставляйте свой компьютер без присмотра.
-
Насколько сильно распространена программа? TrueCrypt весьма высоко оценивается в этом плане: он доступен на всех основных настольных операционных системах (Windows, Mac, Linux); он бесплатен, так что вам не нужно беспокоиться о стоимости лицензии; он open source, так что другие могли бы продолжить разработку, если текущая команда разработчиков внезапно исчезнет; он широко используется, так что кто-то, вероятно, возьмется за него, если текущая команда исчезнет. Недоступность для публики системы контроля версий (индивидуальные патчи с их сообщениями об изменениях) является, однако, минусом.
За исключением атаки типа cold boot, Truecrypt не является 100% безопасным. В его загрузочной программе остаются криминалистические следы, которые позволят вашему врагу (если он знает компьютерную экспертизу) принудить вас к выдаче пароля.
.
Ответ или решение
TrueCrypt: Насколько безопасно это программное обеспечение?
Теория:
TrueCrypt долгое время считалось надежным инструментом для шифрования данных благодаря своей открытости и использованию современных криптографических алгоритмов. Однако слухи и вопросы, связанные с его происхождением и безопасностью, породили массу сомнений. В контексте безопасности информации, важно оценивать программное обеспечение по нескольким критериям, включая криптографическую надёжность, открытость исходного кода, прозрачность процессов разработки, а также наличие любых уязвимостей или задних дверей.
Пример:
-
Криптографическая надёжность: TrueCrypt использует алгоритмы шифрования такие как AES, Twofish и Serpent, которые считаются стандартами в индустрии и обладают высокой стойкостью к атакам. Программу анализировали и похвалили эксперты в области криптографии, что подтверждает высокий уровень её защиты.
-
Открытость и прозрачность: Несмотря на доступный исходный код, TrueCrypt не имел системы контроля версий и полного списка изменений, что вызывает вопросы по поводу её открытости. Отсутствие контролируемого репозитория затрудняет отслеживание изменений и понимает доверие к проекту.
-
Уязвимости и недостатки: Некоторые пользователи утверждали, что бинарные файлы изменялись без объяснений, и имелись сообщения о странностях с контрольными суммами MD5. Эти сомнения дополняются слухами о возможных задних дверях, правительственных вмешательствах и нехватке данных о создателях программы.
Применение:
-
Проверка на практике: При выборе программного обеспечения для шифрования данных, стоит надеяться не только на криптографическую защиту, но и на общую архитектуру безопасности. В случае TrueCrypt возникает риск из-за закрытости разработки и нераскрытых личностей создателей.
-
Альтернативы TrueCrypt: Если TrueCrypt вызывает недоверие, следует рассмотреть современные альтернативы, такие как VeraCrypt или BitLocker. VeraCrypt основан на коде TrueCrypt, однако исправляет множество уязвимостей, выявленных в старой версии, и поддерживает более активное сообщество с открытым развитием. BitLocker от Microsoft – тоже хорошая альтернатива, если доверие к производителю высокого уровня.
-
Безопасность данных: При использовании любого инструмента шифрования необходимо дополнительно обеспечить безопасность физического хранения данных и доступ к устройству. Любая из программ не будет полной защитой, если злоумышленник получит физический доступ к аппарату и внедрит программу-шпион.
-
Оценка угроз: Замечания о том, что TrueCrypt может оставить следы на вашей системе, необходимо учитывать при оценке рисков. Если угроза физического проникновения или принудительного раскрытия паролей реальна, возможно, стоит усилить меры безопасности и предусмотреть дополнительные защиты, такие как использование мультифакторной аутентификации и аппаратных ключей.
В заключение, безопасность TrueCrypt как инструмента для шифрования данных по-прежнему обсуждается среди специалистов в области информационной безопасности. Несмотря на его исторический вклад, современные требования к прозрачности разработки и надёжности приводят к необходимости взвесить все за и против перед его использованием. Если есть хоть малейший сомнения в безопасности, всегда есть смысл рассмотреть более современные и подкреплённые альтернативы.