TrueCrypt có thực sự an toàn?

Tôi đã sử dụng TrueCrypt từ lâu rồi. Tuy nhiên, ai đó đã chỉ cho tôi một liên kết mô tả các vấn đề với giấy phép .

IANAL và vì vậy nó thực sự không có ý nghĩa với tôi; tuy nhiên, tôi muốn phần mềm mã hóa của mình là nguồn mở - không phải vì tôi có thể hack vào nó mà vì tôi tin tưởng nó.

Một số vấn đề với nó tôi đã nhận thấy:

• Không có VCS cho mã nguồn.
• Không có nhật ký thay đổi.
• Các diễn đàn là một nơi xấu để được. Họ cấm bạn ngay cả khi bạn hỏi một câu hỏi chính hãng.
• Ai thực sự sở hữu TrueCrypt?
• Có một số báo cáo về việc mày mò với tổng kiểm MD5.

Thành thật mà nói, lý do duy nhất khiến tôi sử dụng TrueCrypt là vì nó là nguồn mở. Nhưng tuy nhiên, một số điều không đúng.

Có ai đã từng xác nhận tính bảo mật của TrueCrypt chưa? Tôi có nên thực sự lo lắng? Vâng, tôi bị hoang tưởng; nếu tôi sử dụng một phần mềm mã hóa, tôi tin tưởng nó với tất cả cuộc sống của tôi.

Nếu tất cả các mối quan tâm của tôi là chính hãng, liệu có bất kỳ nguồn mở nào khác thay thế cho TrueCrypt không?

Tôi sẽ đi qua từng điểm bài viết:

Không ai biết ai đã viết TrueCrypt. Không ai biết ai duy trì TC.

Có một trích dẫn ngay sau đó nói rằng thương hiệu được tổ chức bởi Tesarik, sống ở Cộng hòa Séc. Sẽ khá an toàn khi cho rằng bất cứ ai sở hữu nhãn hiệu đều duy trì sản phẩm.

Người điều hành trên diễn đàn TC cấm người dùng đặt câu hỏi.

Có bằng chứng nào về điều này, hay nó chỉ là giai thoại? Và bằng chứng, tôi có nghĩa là bằng chứng của người đầu tiên, ảnh chụp màn hình, et cetera.

TC tuyên bố dựa trên Mã hóa cho Thánh lễ (E4M). Họ cũng tuyên bố là nguồn mở, nhưng không duy trì kho CVS / SVN công khai

Kiểm soát nguồn chắc chắn là một phần quan trọng của dự án lập trình nhóm, nhưng sự vắng mặt của nó chắc chắn không làm giảm uy tín của dự án đó.

và không phát hành nhật ký thay đổi.

Có họ làm. http://www.truecrypt.org/docs/?s=version-history . Không phải tất cả các OSS đều xuất bản nhật ký thay đổi cực kỳ rõ ràng, vì đôi khi đơn giản là quá nhiều thời gian.

Họ cấm mọi người từ các diễn đàn yêu cầu thay đổi nhật ký hoặc mã nguồn cũ.

Bởi vì đó là một câu hỏi ngu ngốc, xem xét rằng có một nhật ký thay đổi và các phiên bản cũ đã có sẵn. http://www.truecrypt.org/doads2

Họ cũng âm thầm thay đổi nhị phân (md5 băm thay đổi) mà không có lời giải thích ... không.

Phiên bản này là của cái gì? Có bằng chứng nào khác không? Tải về, ký phiên bản cũ?

Thương hiệu được tổ chức bởi một người đàn ông ở Cộng hòa Séc ((ĐĂNG KÝ) Tesarik, David INDIVIDUAL CZECH REPUBLIC Taussigova 1170/5 Praha CZECH REPUBLIC 18200.)

Vậy thì sao? Một người nào đó ở Cộng hòa Séc sở hữu nhãn hiệu cho một công nghệ mã hóa lớn. Tại sao nó quan trọng?

Tên miền được đăng ký riêng tư bằng proxy. Một số người cho rằng nó có một cửa hậu.

Ai? Ở đâu? Gì?

Ai biết? Những kẻ này nói rằng họ có thể tìm thấy khối lượng TC: http://16systems.com/TCHunt/index.html

Duh, khối lượng TC trong ảnh chụp màn hình tất cả KẾT THÚC VỚI .tc.

Và có ai nhìn thấy hình ảnh này trên trang Liên hệ?

Đọc những bài viết này, FBI đã không giải mã được 5 ổ cứng được bảo vệ bằng truecrypt

http://www.net-security.org/secworld.php?id=9506

http://techie-buzz.com/foss/fbi-fail-decrypt-hard-drive-truecrypt.html

Tôi tin rằng TrueCrypt có thể được NSA, CIA hoặc một trong những cơ quan lớn của Liên bang cung cấp cho mục đích quảng bá mã hóa mà họ có cửa sau, để giảm việc sử dụng mã hóa khác mà họ không thể bẻ khóa. Đó là lý do cho sự bí mật của họ xung quanh nó và đó là lý do tại sao nó cũng là một sản phẩm được đánh bóng tốt với tài liệu tốt, mặc dù không phải là sản phẩm thương mại cũng như không có sự tham gia rộng rãi của các nhà phát triển nguồn mở.

Xem tài liệu này, giải thích rằng mục tiêu của chính phủ là khuyến khích sử dụng mã hóa rộng rãi để họ có thể khôi phục các khóa: http://www.justice.gov/criminal/cybercrime/cryptfaq.htmlm

Trên thực tế, Cục quản lý khuyến khích thiết kế, sản xuất và sử dụng các sản phẩm và dịch vụ mã hóa cho phép khôi phục bản rõ của dữ liệu được mã hóa, bao gồm cả việc phát triển các hệ thống khôi phục bản rõ, cho phép thông qua nhiều cách tiếp cận kỹ thuật để truy cập kịp thời vào bản rõ chủ sở hữu dữ liệu hoặc bởi các cơ quan thực thi pháp luật hoạt động dưới quyền hợp pháp. Chỉ có việc sử dụng rộng rãi các hệ thống như vậy mới mang lại sự bảo vệ tốt hơn cho dữ liệu và bảo vệ an toàn công cộng.

....

Mục tiêu của Bộ - và chính sách của Cục - là thúc đẩy phát triển và sử dụng mã hóa mạnh nhằm tăng cường quyền riêng tư của thông tin liên lạc và dữ liệu được lưu trữ đồng thời duy trì khả năng hiện tại của cơ quan thực thi pháp luật để truy cập bằng chứng như một phần của tìm kiếm được ủy quyền hợp pháp hoặc giám sát.

...

Về vấn đề này, chúng tôi hy vọng rằng sự sẵn có của mã hóa có độ tin cậy cao cung cấp các hệ thống khôi phục sẽ làm giảm nhu cầu về các loại mã hóa khác và tăng khả năng bọn tội phạm sẽ sử dụng mã hóa có thể phục hồi.

Chà, dự án TrueCrypt có thể được vận hành theo kiểu không thể tránh khỏi / thù địch với người ngoài (nhà phát triển ẩn danh, không có Changelog), nhưng tôi không thấy điều đó có liên quan đến việc nó có an toàn hay không.

Hãy nhìn nó như thế này: Nếu các nhà phát triển thực sự muốn lừa mọi người bằng cách đưa backtime vào TrueCrypt, điều đó sẽ có ý nghĩa đối với họ là tốt đẹp, vì vậy mọi người ít nghi ngờ hơn.

Nói cách khác, việc phần mềm có đáng tin hay không hoàn toàn độc lập với việc các nhà phát triển có phải là người hòa đồng hay không. Nếu bạn tin rằng sự sẵn có của mã nguồn là không đủ để đảm bảo an ninh, bạn sẽ phải tổ chức kiểm toán mã. Chắc chắn có những người bên ngoài dự án TrueCrypt xem mã nguồn, vì vậy một cửa hậu có chủ ý có lẽ khó che giấu, nhưng có thể có những lỗi ẩn. Lỗi này trong gói OpenSSL của Debian đã không được chú ý trong một thời gian.

Tôi nghĩ rằng điểm mà mọi người đang thiếu là nếu ai đó đang cân nhắc sử dụng Truecrypt thì người đó phải chắc chắn 100%, nếu không, chính cuộc sống của họ có thể gặp nguy hiểm, đó không phải là Flash Player hay ứng dụng Fart cho iPhone của bạn, đó là một ứng dụng nếu thất bại có thể có nghĩa là ai đó bị giết vì thông tin được phát hiện.

Nếu nghi ngờ tính toàn vẹn của Truecrypt tại sao nên sử dụng ứng dụng này?

btw không có câu hỏi nào là một câu hỏi ngớ ngẩn về Truecrypt hoặc bất cứ điều gì.

Tôi đã sử dụng truecrypt vài năm nay và khi bạn xem sơ đồ mã hóa của họ , các vấn đề nhỏ khác mà bạn đã chỉ ra sẽ không làm gì cho bảo mật của nó. Ngay cả một kỹ sư máy tính / tiền điện tử 15 năm cũng bị ấn tượng bởi nó.

Và chỉ vì nó không có kho lưu trữ không có nghĩa là nó không phải là nguồn mở. Tôi có thể đi đến phần tải xuống và lấy tất cả mã nguồn, trong thực tế đó là những gì bạn đang tìm kiếm.

Các diễn đàn là điểm yếu duy nhất. Tôi chưa từng thấy bất kỳ lệnh cấm nào, chỉ có những cuộc chiến nảy lửa. Bạn có bất cứ bằng chứng nào về lệnh cấm không?

Các câu trả lời cho đến nay đã thảo luận về mức độ tin cậy có thể được đặt vào mã hóa của TrueCrypt. Theo tài liệu, TrueCrypt sử dụng các thuật toán mã hóa tốt; tuy nhiên đây chỉ là một phần của câu chuyện, vì các thuật toán mật mã không phải là phần khó nhất trong các chương trình chuyên sâu về bảo mật. Mã nguồn của TrueCrypt có sẵn để xem xét, đây là một điểm có lợi cho nó.

Có những điểm khác cần xem xét khi đánh giá một chương trình để bảo vệ dữ liệu bí mật.

• Chương trình cũng cung cấp tính toàn vẹn dữ liệu ? TrueCrypt không có. Tính toàn vẹn dữ liệu có nghĩa là ai đó có quyền truy cập tạm thời vào máy tính của bạn không thể thay thế dữ liệu của bạn bằng dữ liệu đã sửa đổi. Điều đặc biệt quan trọng là bảo vệ hệ điều hành của bạn: nếu có ai đó theo dõi dữ liệu của bạn, họ có thể cài đặt keylogger để nắm bắt mật khẩu của bạn vào lần tiếp theo bạn nhập hoặc một số phần mềm độc hại khác ngoài việc gián tiếp cho họ truy cập vào dữ liệu của bạn. Vì vậy, nếu bạn không có cách nào để phát hiện sự giả mạo đó, đừng để máy tính của bạn không giám sát .

• Làm thế nào rộng rãi sẵn là chương trình? Tỷ lệ TrueCrypt khá cao theo số đó: nó có sẵn trên tất cả các hệ điều hành máy tính để bàn chính (Windows, Mac, Linux); nó miễn phí nên bạn không phải lo lắng về chi phí giấy phép; nó là nguồn mở để những người khác có thể phát triển nếu nhóm phát triển hiện tại đột nhiên biến mất; nó được sử dụng rộng rãi để ai đó có khả năng bước lên nếu đội hiện tại biến mất. Việc thiếu quyền truy cập công khai vào hệ thống kiểm soát nguồn (các bản vá riêng lẻ với thông điệp thay đổi của họ) là một điểm chống lại mặc dù.

Tấn công khởi động lạnh sang một bên, Truecrypt không an toàn 100% . Nó có dấu vết pháp y trong bộ tải khởi động của nó sẽ khiến kẻ thù của bạn (nếu anh ta biết pháp y máy tính) buộc bạn phải cung cấp mật khẩu.