O TrueCrypt é realmente seguro?

70

Estou usando o TrueCrypt há muito tempo. No entanto, alguém me indicou um link que descrevia os problemas com a licença .

IANAL e por isso realmente não faz muito sentido para mim; no entanto, eu quero que meu software de criptografia seja de código aberto - não porque eu possa hackeá-lo, mas porque confio nele.

Alguns dos problemas com isso eu notei:

  • Não há VCS para o código-fonte.
  • Não há registros de alterações.
  • Os fóruns são um mau lugar para se estar. Eles proíbem você mesmo se você fizer uma pergunta genuína.
  • Quem realmente é dono do TrueCrypt?
  • Houve alguns relatos de ajustes nas somas de verificação MD5.

Para ser honesto, a única razão pela qual eu usei TrueCrypt foi porque era open source. Mas, no entanto, algumas coisas não estão certas.

Alguém já validou a segurança do TrueCrypt? Eu deveria estar realmente preocupado? Sim eu sou paranóico; se eu usar um software de criptografia, confio nele a vida toda.

Se todas as minhas preocupações forem genuínas, existe outra alternativa de código aberto ao TrueCrypt?

    
por Hello71 15.07.2010 / 22:16

8 respostas

30

Vou ler o artigo ponto por ponto:

No one knows who wrote TrueCrypt. No one knows who maintains TC.

Há uma citação logo em seguida que diz que a marca é mantida por Tesarik, que mora na República Tcheca. É bastante seguro assumir que quem possui a marca mantém o produto.

Moderators on the TC forum ban users who ask questions.

Existe alguma prova disso, ou é apenas anedótica? E por prova, eu quero dizer prova em primeira pessoa, capturas de tela, etc ...

TC claims to be based on Encryption for the Masses (E4M). They also claim to be open source, but do not maintain public CVS/SVN repositories

O controle de origem é certamente uma parte importante de um projeto de programação em grupo, mas sua ausência certamente não diminui a credibilidade de tal projeto.

and do not issue change logs.

Sim, eles fazem. link . Nem todos os OSS publicam logs de alterações extremamente claros, porque às vezes é muito tempo demais.

They ban folks from the forums who ask for change logs or old source code.

Porque é uma pergunta estúpida, considerando que existe um log de alterações e versões antigas já estão disponíveis. link

They also silently change binaries (md5 hashes change) with no explanation... zero.

Qual versão é essa? Existe alguma outra prova? Versões antigas transferíveis e assinadas?

The Trademark is held by a man in the Czech Republic ((REGISTRANT) Tesarik, David INDIVIDUAL CZECH REPUBLIC Taussigova 1170/5 Praha CZECH REPUBLIC 18200.)

Então o que? Alguém na República Tcheca possui uma marca registrada para uma importante tecnologia de criptografia. Por que isso importa?

Domains are registered private by proxy. Some folks claim it has a backdoor.

Quem? Onde? O que?

Who Knows? These guys say they can find TC volumes: http://16systems.com/TCHunt/index.html

Duh, os volumes de TC na captura de tela são todos END WITH .tc .

E alguém viu essa imagem na página de contato?

    
por 15.07.2010 / 22:36
18

Leia estes artigos, o FBI não conseguiu descriptografar 5 discos rígidos protegidos com truecrypt

link

link

    
por 15.07.2010 / 22:38
12

Acredito que o TrueCrypt possa ser fornecido pela NSA, pela CIA ou por uma dessas grandes agências federais com o objetivo de promover a criptografia para a qual eles têm a porta dos fundos, a fim de diminuir o uso de outras criptografias que eles podem ' t crack. Essa é a razão de seu sigilo em torno disso, e é por isso que também é um produto tão bem polido, com boa documentação, apesar de não ser um produto comercial nem ter a ampla participação de desenvolvedores de software livre.

Veja este documento, que explica que o objetivo do governo é incentivar o uso generalizado de criptografia para o qual eles podem recuperar as chaves: link

Actually, the Administration encourages the design, manufacture, and use of encryption products and services that allow for recovery of the plaintext of encrypted data, including the development of plaintext recovery systems, which permit through a variety of technical approaches timely access to plaintext either by the owners of data or by law enforcement authorities acting under lawful authority. Only the widespread use of such systems will both provide greater protection for data and protect public safety.

....

The Department's goal -- and the Administration's policy -- is to promote the development and use of strong encryption that enhances the privacy of communications and stored data while also preserving law enforcement's current ability to gain access to evidence as part of a legally authorized search or surveillance.

...

In this regard, we hope that the availability of highly reliable encryption that provides recovery systems will reduce the demand for other types of encryption, and increase the likelihood that criminals will use recoverable encryption.

    
por 03.07.2011 / 02:27
4

Bem, o projeto TrueCrypt pode muito bem ser executado de uma forma inóspita / hostil a pessoas de fora (desenvolvedores anônimos, sem Changelog), mas eu não vejo como isso se relaciona a ele ser seguro ou não.

Veja da seguinte forma: Se os desenvolvedores realmente quisessem enganar as pessoas colocando backdoors no TrueCrypt, faria sentido que fossem legais, então as pessoas desconfiam menos.

Em outras palavras, se o software é confiável é bastante independente de os desenvolvedores serem sociáveis ou não. Se você acredita que a disponibilidade do código-fonte não é suficiente para garantir a segurança, será necessário organizar uma auditoria de código. Certamente existem pessoas fora do projeto TrueCrypt que olham para o código-fonte, então é provável que um backdoor deliberado seja difícil de esconder, mas pode haver bugs ocultos. Este bug no pacote OpenSSL do Debian passou despercebido por um bom tempo.

    
por 15.07.2010 / 23:14
4

Acho que o ponto que todo mundo está perdendo é que se alguém estiver pensando em usar o Truecrypt, essa pessoa precisa ter 100% de certeza de que é seguro, se a vida deles não estiver em perigo, não é o Flash Player ou um aplicativo Fart para o iPhone. um aplicativo em que, se falhar, pode significar que alguém é morto pela informação descoberta.

Se a integridade do Truecrypt está em dúvida por que usar este aplicativo?

btw nenhuma pergunta é uma pergunta idiota sobre Truecrypt ou qualquer coisa.

    
por 29.08.2010 / 06:16
3

Eu já utilizei o truecrypt há alguns anos e, quando você analisa o esquema de criptografia , os outros pequenos problemas que você apontou não farão nada para sua segurança. Até mesmo um Engenheiro de Computação / Criptoanalista de 15 anos ficou impressionado com isso.

E só porque não tem um repositório não significa que não é open source. Eu posso ir para a seção de download e obter todo o código-fonte, que na realidade é o que você está procurando.

Os fóruns são o único ponto fraco. Eu não vi nenhuma proibição, apenas guerras de chamas. Você tem alguma prova de proibições?

    
por 16.07.2010 / 00:47
3

As respostas até agora discutiram quanto de confiança pode ser colocada na criptografia do TrueCrypt. Segundo a documentação, o TrueCrypt usa bons algoritmos de criptografia; no entanto, isso é apenas parte da história, já que os algoritmos criptográficos não são a parte mais difícil de programas intensivos em segurança. O código-fonte do TrueCrypt está disponível para revisão, o que é um ponto a seu favor.

Há outros pontos a serem considerados ao avaliar um programa para proteger dados confidenciais.

  • O programa também fornece integridade de dados ? TrueCrypt não faz. Integridade de dados significa que alguém que tenha acesso temporário ao seu computador não pode substituir seus dados por dados modificados. É particularmente importante proteger seu sistema operacional: se alguém estiver atrás de seus dados, eles podem instalar um keylogger para capturar sua senha na próxima vez que você digitá-la, ou algum outro malware que não seja indiretamente o acesso a seus dados. Então, se você não tem uma maneira de detectar essa adulteração, não deixe seu computador desacompanhado <> / a>.

  • Quão amplamente disponível é o programa? O TrueCrypt tem taxas relativamente altas: está disponível em todos os principais sistemas operacionais de desktop (Windows, Mac, Linux); é grátis para você não precisar se preocupar com o custo da licença; é open source para que outros possam assumir o desenvolvimento se a atual equipe de desenvolvimento desaparecer repentinamente; é amplamente utilizado, por isso, é provável que alguém aumente o ritmo caso a equipe atual desapareça. A falta de acesso público ao sistema de controle de origem (patches individuais com suas mensagens de mudança) é um ponto contra.

por 29.08.2010 / 23:19
1

Ataque de inicialização a frio, Truecrypt não é 100% seguro . Ele possui traços forenses em seu gerenciador de inicialização, o que fará com que seu inimigo (se ele souber forense de computadores) forçá-lo a fornecer uma senha.

    
por 22.03.2011 / 03:15