免費和開源全磁盤加密程序TrueCrypt是安全世界的寵兒(Edward Snowden和同樣),儘管其開發人員仍然是匿名的,並且該代碼尚未受到獨立審核。
就在解決第二個問題時正在進行的審核在電子邊界基礎(EFF)支持的眾籌項目之後,TrueCrypt Devs突然在極端狡猾的情況下突然將其軟件插入了插件,建議用戶切換到瘋狂的不安全,自從Snowden Docs確認已得到Snowden Docs的確認。妥協由NSA,Bitlocker -A移動如此奇怪,以至於許多人認為這很清楚認證金絲雀某種。
陰謀論儘管有一個偏執的安全社區,儘管開放加密審計項目宣布其審計的第一階段,沒有發現重大漏洞。在最低水平的情況下對TrueCrypt充滿信心,但是由於對其承諾仍然很高的功能的需求(沒有其他計劃提供所有trueCrypts,除了叉子外,這本身就是可疑的),研究人員決定繼續進行審計。
上週,審核的第二階段結果是出版並廣泛地給TrueCrypt一份清潔的健康賬單。就審計團隊可以確定(無法確定100%),加密軟件不包含故意的NSA爆炸性後門或漏洞。作為該報告的首席研究員,馬修·格林(Matthew Green)總結了博客文章,,,,
'TL; DR是基於此審核的TrueCrypt似乎是一個相對精心設計的加密軟件。 NCC審計沒有發現故意後門的證據,也沒有任何嚴重的設計缺陷,這些缺陷在大多數情況下會使軟件不安全。'
團隊確實發現了一些建議需要修復的問題,但是這些能被修復,無論如何都不會對用戶構成主要威脅,除非在最不可能的情況下,
'這並不意味著TrueCrypt是完美的。審計師確實發現了一些故障和一些不可思議的節目 - 在正確的情況下,可能會導致TrueCrypt提供的保證比我們想要的要少。
'例如:TrueCrypt報告中最重要的問題是與TrueCrypt隨機數生成器(RNG)的Windows版本有關的發現,該發現負責生成加密TrueCrypt卷的鍵。這是一個重要的代碼,因為可預測的RNG可以為系統中其他所有內容的安全性造成災難……
這不是世界末日,因為這種失敗的可能性極低。此外,即使Windows加密API確實在系統上失敗,TrueCrypt仍然從系統指針和鼠標移動等來源收集熵。這些替代方案可能足以保護您。但這是一個糟糕的設計,當然應該在任何TrueCrypt叉子中固定。 ”
安全社區現在可能正在呼吸大大的寬慰,這些結果可能會提高對自TrueCrypt理論滅亡以來所開發的叉子的信心。這種叉子的最大問題是TrueCrypt代碼,而可用來源對於審計,不是真正的開源,因此任何這樣的叉子都是違反版權而開發的。但是,對於這是一個問題,原始的開發人員必須自匿名並按要求,這是鑑於他們為保護自己的身份所做的努力而做出的事情,大多數觀察家都認為不太可能。然而,對於未來的開發人員來說,這是一場賭博,可能會浪費大量時間和精力開發可能最終關閉的軟件。
目前正在開發的TrueCrypt的兩個主要叉子是Veracrypt和Cyphershed,其中veracrypt通常被認為是更好的(並且聲稱已經解決了TrueCrypt的某些問題)。觀看此空間,以深入了解Veracrypt。
那些希望信任已經經過審核的代碼的人可以在該軟件的遺產版本中找到TrueCrypt最終版本存儲庫(我們有使用TrueCrypt的完整指南這裡),雖然那些仍然對TrueCrypt的待遇(儘管有新發現,但在我們看來的一個可以理解的位置)可能希望查看我們的文章5最佳開源替代品的替代品。