» »

Fraunhofer SIT: TrueCrypt sorazmerno varen za hranjenje podatkov

Fraunhofer SIT: TrueCrypt sorazmerno varen za hranjenje podatkov

Slo-Tech - Fraunhoferjev inštitut za varno informacijsko tehnologijo (Fraunhofer SIT) je objavil podrobno 77 strani dolgo poročilo pregleda kode programa za šifriranje podatkov TrueCrypt, ki so ga izvedli za nemški Zvezni urad za varnost v informacijski tehniki (BSI). V njem so potrdili rezultate predhodnih pregledov kode, da je TrueCrypt sorazmerno varen kos kode. Sicer vsebuje nekaj varnostnih ranljivosti, a ne v sami izvedbi šifrirnega algoritma, temveč v podporni kodi.

Spomnimo, da je Googlov Project Zero pred poldrugim mesecem v kodi TrueCrypta odkril dve resni varnostni ranljivosti, ki v teoriji omogočata pridobitev privilegiranega dostopa do računalnika, na katerem teče TrueCrypt. Poleg teh ranljivosti je Fraunhofer SIT v kodi našel še nekaj drugih hroščev, za katere doslej nismo vedeli. Že aprila letos pa smo dobili rezultate še enega varnostnega pregleda kode, ki je prav tako zaključil, da je TrueCrypt sorazmerno varen, čeprav vsebuje nekaj varnostnih pomanjkljivosti. Najresnejša je uporaba slabega algoritma za tvorjenje naključnih števil. Popravka za to luknjo žal verjetno nikoli ne bo, ker so pred poldrugim letom avtorji precej odrezavo in nepričakovano oznanili, da nadaljnjega razvoja ne bo, na spletno stran pa so zapisali nedefinirano in ohlapno varnostno opozorilo.

Vse skupaj moremo strniti takole. V TrueCryptu je šifriranje implementirano varno in je povsem primeren za hranjenje šifriranih podatkov na zunanjih nosilcih podatkov. Sčasoma bo treba prestopiti na naslednika, torej VeraCrypt ali CiperShed, a analiza kode kaže, da se ne mudi pretirano. Ni pa TrueCrypt varen pri zaščiti podatkov, do katerih imamo stalen dostop. Če so nosilci razdelkov vpeti (mounted containers), torej na voljo operacijskemu sistemu, je odkrite ranljivosti vsaj teoretično mogoče izkoristiti.

4 komentarji

carota ::

Fraunhoferjev inštitut za varno informacijsko tehnologijo (Fraunhofer SIT) je objavil podrobno 77 strani dolgo poročilo pregleda kode programa za šifriranje podatkov TrueCrypt, ki so ga izvedli za nemški Zvezni urad za varnost v informacijski tehniki (BSI).

A gre zaupati poročilu, pri katerem ima prste vmes država, ki ima zraven tudi druge, prisluškovalne, interese?

Yacked2 ::

Verizja 7.1a se meni zdi vredu, compailana koda je ista kot source, ta pa je bil večrat pregledan, kljub nekaj varnostnim malomarnostim se mi zdi, da je še vedno korak pred "konkurenco":
BitLocker: hmmm Microsoft, o tem ne bomo več
VeraCrypt: hja... sedež podjetja je v Franciji, tam je pa zakonodaja taka... zanimiva
CiperSheda pa ne poznam.
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!

Matija82 ::

Yacked2 je izjavil:

Verizja 7.1a se meni zdi vredu, compailana koda je ista kot source, ta pa je bil večrat pregledan, kljub nekaj varnostnim malomarnostim se mi zdi, da je še vedno korak pred "konkurenco":
BitLocker: hmmm Microsoft, o tem ne bomo več
VeraCrypt: hja... sedež podjetja je v Franciji, tam je pa zakonodaja taka... zanimiva
CiperSheda pa ne poznam.


Tole se mi ne zdi upravičena skrb, ker veliko kriptografskih orodji in programske opreme te vrste nasploh se producira v ZDA, kjer je National Security Letter (Lavabit) realnost, za razliko od Francije, kjer zgolj špekuliramo kaj bi lahko bilo.

Se pa avtor direktno dotakne te teme - http://sourceforge.net/p/veracrypt/disc...

carota je izjavil:

Fraunhoferjev inštitut za varno informacijsko tehnologijo (Fraunhofer SIT) je objavil podrobno 77 strani dolgo poročilo pregleda kode programa za šifriranje podatkov TrueCrypt, ki so ga izvedli za nemški Zvezni urad za varnost v informacijski tehniki (BSI).

A gre zaupati poročilu, pri katerem ima prste vmes država, ki ima zraven tudi druge, prisluškovalne, interese?


Če si (smo) toliko sposoben, da sam preveriš trditve avtorjev potem super! Če ne, jah, treba pa pač verjeti. Klasična open-source-je-že-kdo-drug-pogledal zanka. Imaš pa tudi OCAP (https://opencryptoaudit.org/) poročilo.

carota ::

Matija82 je izjavil:


carota je izjavil:

Fraunhoferjev inštitut za varno informacijsko tehnologijo (Fraunhofer SIT) je objavil podrobno 77 strani dolgo poročilo pregleda kode programa za šifriranje podatkov TrueCrypt, ki so ga izvedli za nemški Zvezni urad za varnost v informacijski tehniki (BSI).

A gre zaupati poročilu, pri katerem ima prste vmes država, ki ima zraven tudi druge, prisluškovalne, interese?


Če si (smo) toliko sposoben, da sam preveriš trditve avtorjev potem super! Če ne, jah, treba pa pač verjeti. Klasična open-source-je-že-kdo-drug-pogledal zanka. Imaš pa tudi OCAP (https://opencryptoaudit.org/) poročilo.

Seveda nisem tako sposoben. Bi pa raje videl, da bi poročilo izdal nekdo (ni nujno oseba, lahko firma), ki ni povezan z nobeno državno institucijo in ni nobenega dvoma o njegovi nepristranskosti ali strokovnosti. Ta OCAP še ni dal dokončnega poročila. Hvala za link.

Ni mi pa treba verjet. Lahko živim s tem in uporabljam ter ne verjamem, da je brez backdoora. Dovolj mi je, da vsakdo, ki najde moj USB ključek ne more do vsebine.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Odkriti kritični ranljivosti v TrueCryptu (strani: 1 2 )

Oddelek: Novice / Varnost
5122559 (17972) MrStein
»

TrueCrypt je varen in mrtev

Oddelek: Novice / Varnost
4122434 (14886) Jst
»

Revizija TrueCrypta gre dalje

Oddelek: Novice / Varnost
228925 (4463) Satoshi
»

TrueCrypt v drugem življenju CipherShed

Oddelek: Novice / Varnost
2110094 (8323) bluefish
»

Pregled kode TrueCrypta za zdaj ni našel stranskih vrat (strani: 1 2 )

Oddelek: Novice / Varnost
5326596 (23598) bobby

Več podobnih tem