真密可能是世界上最受歡迎的本地加密工具,因為它不僅提供非常強大的加密級別,而且由於其開源*性質,它通常被認為是可以獲得的 NSA 證明。
大衛·米蘭達 (David Miranda) 是巴西記者、衛報記者格倫·格林沃爾德 (Glenn Greenwald) 的合夥人,曾參與揭露舉報英雄愛德華·斯諾登 (Edward Snowden) 洩露的文件。被非法拘禁去年八月,根據英國《恐怖主義法》。
然而,在斯諾登一再披露與國家安全局相關的信息之後,特別是那些涉及布爾倫在美國國家安全局旨在破壞世界上大多數最受信任的加密協議的計劃中,人們越來越擔心這樣一個高度受信任的隱私工具可能已被美國國家安全局設置了後門。
問題是,儘管源代碼完全開放給公眾審查,但 TrueCrypt 程序是一個非常複雜的軟件工程,要完全確定其中不包含令人討厭的代碼或隱藏的弱點,對專家來說是一項耗時的任務,因此從未有人做過。
不得不說,這對所有開源軟件來說都是一個大問題,因為儘管開源是我們代碼不被篡改的最佳保證,但開源社區可用的資源極其有限,這意味著大多數軟件實際上還沒有經過全面審核(如果有的話)。
例如,儘管安全專家 Bruce Schneier 推薦 TrueCrypt 作為保護文件的工具,但即使他也不能確定它是否 100% 安全使用,
“不,我對 TrueCrypt 沒有任何內部了解,而且有很多事情讓我感到懷疑。但對於 Windows 全盤加密,它是 [TrueCrypt]、微軟的 BitLocker 或賽門鐵克的 PGPDisk - 與 TrueCrypt 相比,我更擔心美國大公司受到 NSA 的壓力。
去年 12 月,電子前沿基金會 (EFF) 支持眾籌項目其目標幾乎翻了一番,並籌集了超過 4.6 萬美元用於全面審核 TrueCrypt,並一勞永逸地確定該程序是否安全。
工程一期的完成,足以說明任務的艱鉅性和復雜性。宣布週一。好消息在報告就是,
“iSEC 在評估區域沒有發現後門或其他故意惡意代碼的證據。 '
歡呼!不幸的是,發現了一些非常草率的代碼,
總體而言,引導加載程序和 Windows 內核驅動程序的源代碼均未達到安全代碼的預期標準。這包括缺乏註釋、使用不安全或已棄用的函數、不一致的變量類型等問題……團隊還發現了卷頭完整性檢查中的潛在弱點……完整性保護可以被繞過,但 XTS 可以防止可靠的攻擊,因此目前看來不是問題。儘管如此,尚不清楚為什麼不使用加密哈希或 HMAC。
此類錯誤很難令人鼓舞,並且考慮到海量資源美國國家安全局部署來發現這些弱點,讓我們擔心他們一定已經發現了這些缺陷。不過,至少它們不是故意設計的……
“這些漏洞……似乎都是無意的,是由於錯誤而不是惡意而引入的。”
接下來是審計的第二階段,從正式的密碼分析開始。
*嚴格來說,TrueCrypt 的一些元素是來源可用,而不是真正的 FOSS(免費開源軟件),但出於審計代碼的目的,這沒有什麼區別