Kryptering for paranoiden: Bekreft TrueCrypt-kildekode og binære filer

TrueCrypt er lett det mest populære og høyt ansett krypteringsprogrammet det er. TrueCrypt er i stand til å kryptere komplette stasjoner, partisjoner, mapper eller individuelle filer. Noe ironisk nok er TrueCrypt også kjent for sin evne til å skjule data i synet.

Langs disse linjene er det interessant å merke seg at alle TrueCrypt-utviklerne har holdt seg anonyme, med all kommunikasjon som går gjennom TrueCrypt Foundation. Jeg fant et intervju fra 2005, visstnok med en av utviklerne, kodenavnet Ennead.


Mer fra TechRepublic om kryptering :

  • Gjør bruk av kryptering deg til et større mål for NSA?
  • Rømmer overvåkingens dragnet: Hva ekspertene sier om kryptering
  • Hva NSA-spionering på Google betyr for bedriften din
  • Hva kan IT gjøre i kampen mot overvåkningstaktikker fra myndighetene?
  • Er vi på vei mot en 'kryptopokalypse'?

Anbefalt av eksperter

Kryptografiekspertenes vilje til å anbefale TrueCrypt skyldes delvis at TrueCrypt-programvaren er åpen kildekode, noe som betyr at den er gjennomgåbar. Dette er noe som skjer hele tiden i henhold til TrueCrypt FAQ-webside:

"Faktisk blir kildekoden kontinuerlig gjennomgått av mange uavhengige forskere og brukere. Vi vet dette fordi mange feil og flere sikkerhetsproblemer er blitt oppdaget av uavhengige forskere mens de gjennomgår kildekoden."

Men de fleste laster ikke ned kildekoden, og kompilerer den deretter. De installerer TrueCrypt ved å bruke en av de kjørbare filene. Og det er da gyldigheten av programvaren blir tvilsom. FAQ-siden omtaler en måte å bekrefte at de nedlastede filene er satt sammen fra den annonserte kildekoden:

"I tillegg til å gjennomgå kildekoden, kan uavhengige forskere sammenstille kildekoden og sammenligne de resulterende kjørbare filene med de offisielle. De kan finne noen forskjeller (for eksempel tidstempler eller innebygde digitale signaturer), men de kan analysere forskjellene og verifiser at de ikke danner ondsinnet kode. "

Dessverre klarer jeg ikke å finne noe dokumentert bevis på at dette har blitt gjort. Etter å ha lastet ned kildekoden, kan jeg se hvorfor. Det var nesten to MB data. Omvendt engineering et program som komplekst ikke kan være enkelt.

Inntil nylig har dette ikke vært en altfor presserende sak hos krypteringseksperter. Men det endret seg når Mr. Snowden ga ut informasjon om NSA Bullrun-programmet:

"Dokumenter viser at NSA har ført en krig mot kryptering ved hjelp av et batteri av metoder som inkluderer å jobbe med industrien for å svekke krypteringsstandarder, gjøre designendringer til kryptografisk programvare og presse internasjonale krypteringsstandarder som den vet at de kan bryte."

Bruce Schneier bekrefter i denne bloggen New York Times påstand:

- Det er vanskelig å forsvare seg mot disse angrepene. Vi vet fra subliminal kanal- og kleptografiforskning at det er ganske mye umulig å garantere at et sammensatt programvare ikke lekker ut hemmelig informasjon. Vi vet fra Ken Thompsons berømte samtale om å "stole på tillit" at du aldri kan være helt sikker på om det er en sikkerhetsfeil i programvaren din. ”

Kryptografer, en nervøs gjeng til å begynne med, hadde endelig nok. Matthew Green, kryptograf og forskerprofessor ved Johns Hopkins University, og Kenneth White, hovedforsker ved Social & Scientific Systems, bestemte seg for å revidere de kjørbare filene hentet fra den gjeldende versjonen (7.1a) av TrueCrypt kildekode, og fullføre følgende:

  • Lag en bekreftet uavhengig versjonskontrollhistorikk for TrueCrypt-kilden og kjørbar kode.
  • Dokumentere byggingen av kjørbare filer fra kildekoden for de forskjellige annonserte operativsystemene.
  • Gjennomføre en revisjon (sikkerhet og kryptanalyse) av programmene.

På deres nettsted istruecryptauditedyet.com, nevner herrene, "Mange av våre bekymringer med TrueCrypt kunne forsvinne hvis vi visste at binærene (kjørbare filer) ble samlet fra kilden." De ønsker også å eliminere enhver bekymring for at TrueCrypt er blitt kompromittert, spesielt med en bakdør.

"Den virkelige drømmen med dette prosjektet er å se hele kodebasen få en profesjonell revisjon fra et av få sikkerhetsevalueringsselskaper som er kvalifiserte til å gjennomgå kryptoprogramvare."

Som du godt kan forestille deg, er denne typen virksomhet ikke billig. Green and White kom med en ny idé: bruk publikumsinnkjøp for å finansiere prosjektet. Det ser ut til å virke, etter å ha samlet inn 50 000 dollar siden 14. oktober. Donasjoner aksepteres fortsatt på FundFill og IndieGoGo.

Siste tanker

Jeg har lest at Green and White har nådd sitt økonomiske mål, så TrueCrypt bør få sin dag i retten. Hele historien bak TrueCrypt har vært en kilde til fascinasjon for meg, og jeg håper TrueCrypt passerer mønster. Hvis jeg var en innsatsmann ...

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2021 | mobilegn.com