Fraunhofer SIT: TrueCrypt sorazmerno varen za hranjenje podatkov

Fraunhoferjev inštitut za varno informacijsko tehnologijo (Fraunhofer SIT) je objavil podrobno 77 strani dolgo poročilo pregleda kode programa za šifriranje podatkov TrueCrypt, ki so ga izvedli za nemški Zvezni urad za varnost v informacijski tehniki (BSI). V njem so potrdili rezultate predhodnih pregledov kode, da je TrueCrypt sorazmerno varen kos kode. Sicer vsebuje nekaj varnostnih ranljivosti, a ne v sami izvedbi šifrirnega algoritma, temveč v podporni kodi.

Spomnimo, da je Googlov Project Zero pred poldrugim mesecem v kodi TrueCrypta odkril dve resni varnostni ranljivosti, ki v teoriji omogočata pridobitev privilegiranega dostopa do računalnika, na katerem teče TrueCrypt. Poleg teh ranljivosti je Fraunhofer SIT v kodi našel še nekaj drugih hroščev, za katere doslej nismo vedeli. Že aprila letos pa smo dobili rezultate še enega varnostnega pregleda kode, ki je prav tako zaključil, da je TrueCrypt sorazmerno varen, čeprav vsebuje nekaj varnostnih pomanjkljivosti. Najresnejša je uporaba slabega algoritma za tvorjenje naključnih števil. Popravka za to luknjo žal verjetno nikoli ne bo, ker so pred poldrugim letom avtorji precej odrezavo in nepričakovano oznanili, da nadaljnjega razvoja ne bo, na spletno stran pa so zapisali nedefinirano in ohlapno varnostno opozorilo.

Vse skupaj moremo strniti takole. V TrueCryptu je šifriranje implementirano varno in je povsem primeren za hranjenje šifriranih podatkov na zunanjih nosilcih podatkov. Sčasoma bo treba prestopiti na naslednika, torej VeraCrypt ali CiperShed, a analiza kode kaže, da se ne mudi pretirano. Ni pa TrueCrypt varen pri zaščiti podatkov, do katerih imamo stalen dostop. Če so nosilci razdelkov vpeti (mounted containers), torej na voljo operacijskemu sistemu, je odkrite ranljivosti vsaj teoretično mogoče izkoristiti.