Действительно ли TrueCrypt действительно безопасен?
Я использовал TrueCrypt в течение долгого времени теперь. Однако кто-то указал на меня на ссылку, которая описала проблемы с лицензией.
IANAL и таким образом, это действительно не имело большого смысла мне; однако, я хочу, чтобы мое программное обеспечение шифрования было открытым исходным кодом — не потому что я могу взломать его, но потому что я coan доверяю ему.
Некоторые проблемы с ним я заметил:
- Нет никакого VCS для исходного кода.
- Нет никаких журналов изменений.
- Форумы являются плохим местом, чтобы быть. Они запрещают Вас, даже если Вы задаете подлинный вопрос.
- Кто действительно владеет TrueCrypt?
- Были некоторые сообщения о переделывании контрольных сумм MD5.
Честно говоря, единственная причина, почему я использовал TrueCrypt, состояла в том, потому что это был открытый исходный код. Но однако, некоторые вещи являются просто не правильными.
Кто-либо когда-либо проверял безопасность TrueCrypt? Я должен действительно быть взволнован? Да я параноик; если я использую программное обеспечение шифрования, я доверяю ему со всю свою жизнь.
Если все мои проблемы являются подлинными, там какая-либо другая альтернатива с открытым исходным кодом TrueCrypt?
7 ответов
Я пройду статью детально:
Никто не знает, кто записал TrueCrypt. Никто не знает, кто поддерживает TC.
Существует право кавычки, после этого говорит, что товарный знак сохранен Tesarik, который живет в Чешской Республике. Довольно безопасно предположить, что, кто бы ни владеет товарным знаком, поддерживает продукт.
Модераторы на форуме TC запрещают пользователей, которые задают вопросы.
Есть ли какое-либо доказательство этого, или это просто анекдотично? И доказательством, я имею в виду первоклассное доказательство, снимки экрана, и так далее.
TC утверждает, что был основан на Шифровании для Масс (4 миллиона евро). Они также утверждают, что были открытым исходным кодом, но не поддерживают общедоступный CVS/репозитории SVN
Управление исходным кодом является, конечно, важной частью группы, программирующей проект, но это - отсутствие, конечно, не уменьшает доверие такому проекту.
и не выпускайте журналы изменений.
Да они делают. http://www.truecrypt.org/docs/?s=version-history. Не все OSS публикует чрезвычайно ясные журналы изменений, потому что это иногда - просто слишком много времени.
Они запрещают людям форумы, которые просят журналы изменений или старый исходный код.
Поскольку это - глупый вопрос, полагая, что существует журнал изменений, и старые версии уже доступны. http://www.truecrypt.org/downloads2
Они также тихо изменяют двоичные файлы (md5, изменение хешей) без объяснения... обнуляют.
Из чего версия - это? Есть ли какое-либо другое доказательство? Загружаемые, подписанные старые версии?
Товарный знак сохранен человеком в Чешской Республике ((ЛИЦО, ПОЛУЧИВШИЙ ПАТЕНТ) TESARIK, ЧЕЛОВЕК David ЧЕШСКАЯ РЕСПУБЛИКА Taussigova 1170/5 Прага Чешская Республика 18200.)
И что? Кто-то в Чешской Республике владеет товарным знаком для главной технологии шифрования. Какое это имеет значение?
Домены регистрируются частные по доверенности. Некоторые люди утверждают, что это имеет бэкдор.
Кто? Где? Что?
Кто Знает? Эти парни говорят, что они могут найти объемы TC: http://16systems.com/TCHunt/index.html
Понятное дело, объемы TC в снимке экрана весь КОНЕЦ С .tc.
И кто-либо замеченный это изображение на странице Contact?
Прочитайте эти статьи, ФБР не удалось дешифровать 5 жестких дисков, защищенных с truecrypt
http://www.net-security.org/secworld.php?id=9506
http://techie-buzz.com/foss/fbi-fail-decrypt-hard-drive-truecrypt.html
Ну, проект TrueCrypt может быть выполнен способом, который неприветлив/враждебный к посторонним (анонимный devs, никакой Журнал изменений), но я не вижу, как это касается его являющийся безопасным или нет.
Посмотрите на него как это: Если бы devs действительно хотел завинтить людей путем помещения бэкдоров в TrueCrypt, то имело бы смысл для них быть хорошим, таким образом, люди менее подозрительны.
Другими словами, ли программное обеспечение защищено, довольно независимо от того, являются ли devs общительными людьми или нет. Если Вас, Вы верите доступности исходного кода, недостаточно для обеспечения безопасности, необходимо будет организовать проверку соответствия программы спецификациям. Конечно, существуют люди вне проекта TrueCrypt, которые смотрят на исходный код, таким образом, преднамеренный бэкдор, вероятно, трудно скрыть, но могли бы быть скрытые ошибки. Эта ошибка в пакете OpenSSL Debian осталась незамеченной долгое время.
Я использовал truecrypt в течение нескольких лет теперь, и когда Вы будете смотреть на их схему шифрования, другие маленькие проблемы, на которые Вы указали, ничего не сделают к ее безопасности. Даже 15-летний Инженер по вычислительной технике / Криптоаналитик был впечатлен им.
И просто потому что это не имеет репозитория, не означает что не открытый исходный код. Я могу направиться в загрузку, разделяют и получают весь исходный код, который в действительности является что Ваш поиск.
Форумы являются единственным слабым пятном. Я не видел запретов хотя, только войны пламени. У Вас есть какое-либо доказательство запретов?
Я думаю суть, которую все упускают, то, если кто-то рассматривает использование Truecrypt, что человек должен быть на 100% конкретным, что это безопасно, если не их самый жизненный май в опасности, это не Flash player или приложение Пукания для Вашего iPhone, это - приложение, где, если это перестало работать, может означать, что кто-то уничтожается по обнаруженной информации.
Если целостность Truecrypt вызывает сомнение почему использование это приложение?
btw никакой вопрос является немым вопросом о Truecrypt или чем-либо.
Ответы до сих пор обсудили, сколько доверия может быть помещено в шифрование TrueCrypt. Согласно документации, TrueCrypt использует хорошие алгоритмы шифрования; однако это - только часть истории, поскольку криптографические алгоритмы не являются самой твердой частью интенсивные безопасностью программы. Исходный код TrueCrypt доступен для обзора, который является точкой в ее пользу.
Существуют другие вопросы для рассмотрения при оценке программы для защиты конфиденциальных данных.
Программа также обеспечивает целостность данных? TrueCrypt не делает. Целостность данных означает, что кто-то, у кого есть временный доступ к Вашему компьютеру, не может заменить Ваши данные измененными данными. Особенно важно защитить Вашу операционную систему: если кто-то после Ваших данных они могли бы установить клавиатурный перехватчик для получения passphase в следующий раз, когда Вы вводите его, или некоторое другое вредоносное программное обеспечение, чем косвенно предоставляет им доступ к Вашим данным. Таким образом, если у Вас нет способа обнаружить такое вмешательство, не оставляйте свой компьютер необслуживаемым.
Насколько широко доступный программа? Уровни TrueCrypt довольно высоко на том количестве: это доступно во всех главных настольных операционных системах (Windows, Mac, Linux); это свободно, таким образом, Вы не должны волноваться о стоимости лицензии; это - открытый исходный код, таким образом, другие могли взять разработку, если текущая группа разработчиков внезапно исчезает; это широко используется так, кто-то, вероятно, повысится, если текущая команда исчезнет. Отсутствие открытого доступа к системе управления исходным кодом (отдельные патчи с их сообщениями изменения) является точкой против все же.