Действительно ли TrueCrypt безопасен?

Я уже давно использую TrueCrypt. Однако кто-то указал мне на ссылку, в которой описаны проблемы с лицензией .

IANAL, и поэтому это действительно не имело большого смысла для меня; Однако я хочу, чтобы мое программное обеспечение для шифрования было открытым исходным кодом – не потому, что я могу взломать его, а потому, что я доверяю ему.

Некоторые из проблем с этим я заметил:

  • Для исходного кода отсутствует VCS.
  • Журналов изменений не существует.
  • Форумы – это плохое место. Они запрещают вам, даже если вы задаете неподдельный вопрос.
  • Кто действительно владеет TrueCrypt?
  • Были некоторые сообщения о том, как возиться с контрольными суммами MD5.

Честно говоря, единственной причиной, почему я использовал TrueCrypt, было то, что она была с открытым исходным кодом. Но, однако, некоторые вещи просто не правы.

Кто-нибудь когда-либо проверял безопасность TrueCrypt? Должен ли я действительно волноваться? Да, я параноик; Если я использую программное обеспечение для шифрования, я доверяю ему всю свою жизнь.

Если все мои проблемы являются подлинными, есть ли другая альтернатива TrueCrypt с открытым исходным кодом?

Я рассмотрю статью по пунктам:

Никто не знает, кто написал TrueCrypt. Никто не знает, кто поддерживает TC.

После этого есть цитата, в которой говорится, что товарный знак принадлежит Тесарику, который живет в Чешской Республике. Достаточно безопасно предположить, что тот, кто владеет товарным знаком, поддерживает продукт.

Модераторы на форуме TC запрещают пользователям, которые задают вопросы.

Есть ли доказательства этого, или это просто анекдот? И доказательством я имею в виду доказательства от первого лица, скриншоты и т. Д.

TC утверждает, что он основан на шифровании для масс (E4M). Они также утверждают, что они с открытым исходным кодом, но не поддерживают публичные репозитории CVS / SVN

Контроль за исходным кодом, безусловно, является важной частью проекта группового программирования, но его отсутствие, безусловно, не снижает доверие к такому проекту.

И не выдавать журналы изменений.

Да, да. http://www.truecrypt.org/docs/?s=version-history . Не все OSS публикует чрезвычайно четкие журналы изменений, потому что иногда слишком много времени.

Они запрещают людям с форумов, которые запрашивают журналы изменений или старый исходный код.

Потому что это глупый вопрос, учитывая, что есть журнал изменений, и старые версии уже доступны. http://www.truecrypt.org/downloads2

Они также тихо изменяют двоичные файлы (изменение хэшей md5) без объяснения … ноль.

Какая версия? Есть ли другие доказательства? Загружаемые, подписанные старые версии?

Торговая марка принадлежит человеку в Чешской Республике ((РЕГИСТРАЦИЯ) Тесарик, Дэвид ИНДИВИДУАЛЬНАЯ ЧЕШСКАЯ РЕСПУБЛИКА Тауссигова 1170/5 Прага ЧЕШСКАЯ РЕСПУБЛИКА 18200.)

И что? Кто-то в Чешской Республике владеет товарным знаком для крупной технологии шифрования. Почему это имеет значение?

Домены зарегистрированы по доверенности. Некоторые люди утверждают, что у него есть черный ход.

Кто? Где? Какие?

Кто знает? Эти ребята говорят, что могут найти тома TC: http://16systems.com/TCHunt/index.html

Duh, тома TC на скриншоте все END WITH .tc .

И кто-нибудь видел это изображение на странице контактов?

Адрес TrueCrypt Foundation

Прочтите эти статьи, ФБР не удалось расшифровать 5 жестких дисков, защищенных truecrypt

http://www.net-security.org/secworld.php?id=9506

http://techie-buzz.com/foss/fbi-fail-decrypt-hard-drive-truecrypt.html

Я считаю, что TrueCrypt может быть предоставлен NSA, ЦРУ или одним из этих крупных федеральных агентств с целью продвижения шифрования, для которого у них есть черный ход, чтобы уменьшить использование другого шифрования, которое они не могут взломать. В этом причина их секретности вокруг этого, и именно поэтому он также является таким хорошо отполированным продуктом с хорошей документацией, несмотря на то, что он не является коммерческим продуктом и не имеет широкого участия разработчиков с открытым исходным кодом.

См. Этот документ, в котором объясняется, что целью правительства является поощрение широкого использования шифрования, для которого они могут восстановить ключи: http://www.justice.gov/criminal/cybercrime/cryptfaq.htm

На самом деле Администрация поощряет проектирование, изготовление и использование продуктов и услуг шифрования, которые позволяют восстанавливать открытый текст зашифрованных данных, включая разработку систем восстановления открытого текста, которые позволяют с помощью различных технических подходов своевременный доступ к открытому тексту либо посредством Владельцы данных или правоохранительные органы, действующие на законных основаниях. Только широкое использование таких систем обеспечит большую защиту данных и защиту общественной безопасности.

….

Цель Департамента – и политика администрации – заключается в содействии разработке и использованию сильного шифрования, которое повышает конфиденциальность сообщений и сохраненных данных, а также сохраняет текущую способность правоохранительных органов получить доступ к доказательствам в рамках законно разрешенного поиска или наблюдения.

В этой связи мы надеемся, что наличие высоконадежного шифрования, обеспечивающего системы восстановления, снизит спрос на другие типы шифрования и повысит вероятность того, что преступники будут использовать восстанавливаемое шифрование.

Ну, проект TrueCrypt вполне может быть запущен так, чтобы он был негостеприимным / враждебным посторонним (анонимные разработчики, без Changelog), но я не вижу, как это связано с безопасностью или нет.

Посмотрите на это вот так: если разработчики действительно хотели вкрутить людей, поставив backdoor в TrueCrypt, было бы разумно, чтобы они были хорошими, поэтому люди менее подозрительны.

Другими словами, действительно ли программное обеспечение заслуживает доверия, совершенно независимо от того, являются ли разработчики общительными людьми или нет. Если вы считаете, что доступность исходного кода недостаточна для обеспечения безопасности, вам придется организовать аудит кода. Конечно, есть люди вне проекта TrueCrypt, которые смотрят на исходный код, поэтому умышленный бэкдор, вероятно, трудно скрыть, но могут быть скрытые ошибки. Эта ошибка в пакете OpenSSL Debian долгое время оставалась незамеченной.

Я думаю, что все, чего не хватает, это то, что кто-то рассматривает использование Truecrypt, что человек должен быть на 100% уверен, что он безопасен, если не в их жизни может оказаться в опасности, это не Flash Player или приложение Fart для вашего iPhone, это приложение, Если это не удастся, может означать, что кто-то убит за обнаруженную информацию.

Если целостность Truecrypt вызывает сомнения в использовании этого приложения?

Кстати, ни о чем не вопрос – это глупый вопрос о Truecrypt или что-то еще.

Я использовал truecrypt уже несколько лет, и когда вы посмотрите на их схему шифрования , другие небольшие проблемы, о которых вы указали, ничего не сделают для его безопасности. Даже 15-летний инженер-компьютер / криптоаналитик был впечатлен им.

И только потому, что у него нет репозитория, это не значит, что его не является открытым исходным кодом. Я могу перейти в раздел загрузки и получить весь исходный код, который на самом деле является тем, что вы ищете.

Форумы – это единственное слабое место. Я не видел никаких запретов, хотя, только пламенные войны. У вас есть доказательства запретов?

  • Рекомендации по подходам к шифрованию диска в Ubuntu?
  • Как я могу зашифровать свой «пользовательский» диск?
  • Является TrueCrypt устойчивым к повреждению данных?
  • Усиливает ли сжатие в драйвере TrueCrypt безопасность?
  • Как запустить зашифрованную виртуальную машину?
  • Truecrypt + Windows 7 100MB раздел поврежден
  • Cloud Backup для большого контейнера TrueCrypt
  • Восстановить данные из поврежденного зашифрованного файла truecrypt
  • Использование TrueCrypt для шифрования профилей пользователей на другом томе
  • Как автоматизировать тома Truecrypt перед входом в Windows 7?
  • Windows с TrueCrypt и Mac OS X на одной машине
  • Давайте будем гением компьютера.