it-swarm-ja.com

TrueCryptは本当に安全ですか?

TrueCryptを長い間使用しています。しかし、誰かが私に ライセンスの問題を説明するリンク を指摘しました。

IANALなので、実際にはあまり意味がありませんでした。ただし、暗号化ソフトウェアをオープンソースにしたいのです。ハッキングできるからではなく、信頼できるからです。

私が気づいたそれのいくつかの問題:

  • ソースコード用のVCSはありません。
  • 変更ログはありません。
  • フォーラムは悪いところです。あなたが本物の質問をしても、彼らはあなたを禁止します。
  • TrueCryptを本当に所有しているのは誰ですか?
  • MD5チェックサムをいじくるといういくつかの報告がありました。

正直なところ、私がTrueCryptを使用した唯一の理由は、それがオープンソースであることでした。しかし、いくつかは正しくありません。

TrueCryptのセキュリティを検証した人はいますか?本当に心配する必要がありますか?はい、私は偏執的です。暗号化ソフトウェアを使用する場合、私はそれを一生信頼しています。

私の懸念がすべて本物である場合、TrueCryptに代わる他のオープンソースはありますか?

70
Alfred

記事を1つずつ説明します。

誰がTrueCryptを書いたかは誰にもわかりません。誰がTCを維持しているかは誰にもわかりません。

その直後の引用には、チェコ共和国に住むテサリクが商標を保有しているとのことです。商標を所有する人は誰でも製品を管理していると想定するのはかなり安全です。

トップレベルユーザーフォーラムのモデレーターは、質問をするユーザーを禁止します。

これの証拠はありますか、それとも単なる逸話ですか?証明とは、一人称証明、スクリーンショットなどを意味します。

TCは、Encryption for the Mass(E4M)に基づいていると主張しています。また、オープンソースであると主張していますが、パブリックCVS/SVNリポジトリは維持していません。

ソース管理は確かにグループプログラミングプロジェクトの重要な部分ですが、それがなくても、そのようなプロジェクトの信頼性は低下しません。

変更ログを発行しません。

はい、彼らはやる。 http://www.truecrypt.org/docs/?s=version-history 。すべてのOSSが非常に明確な変更ログを公開するわけではありません。それは単に時間がかかりすぎるためです。

彼らは、変更ログや古いソースコードを求めるフォーラムからの人々を禁止します。

ばかげた質問なので、変更ログがあり、古いバージョンがすでに利用可能であることを考慮してください。 http://www.truecrypt.org/downloads2

また、説明なしでバイナリを変更(md5ハッシュの変更)します。ゼロです。

これはどのバージョンですか?他の証拠はありますか?ダウンロード可能な署名付きの古いバージョンですか?

この商標は、チェコ共和国の男性が所有しています((REGISTRANT)Tesarik、David INDIVIDUAL CZECH REPUBLIC Taussigova 1170/5 Praha CZECH REPUBLIC 18200)。

だから何?チェコ共和国の誰かが主要な暗号化技術の商標を所有しています。なぜそれが重要なのですか?

ドメインはプロキシによってプライベートに登録されます。一部の人々はそれがバックドアを持っていると主張します。

WHO?どこ?何?

知るか?これらの人たちは、TCボリュームを見つけることができると言います: http://16systems.com/TCHunt/index.html

スクリーンショットのTCボリュームはすべてEND WITH .tc

そして、誰かがこの画像をContactページで見ましたか?

TrueCrypt Foundation address

29
Hello71

これらの記事を読んで、FBIはtruecryptで保護された5台のハードドライブを復号化できませんでした

http://www.net-security.org/secworld.php?id=9506

http://techie-buzz.com/foss/fbi-fail-decrypt-hard-drive-truecrypt.html

18
Moab

TrueCryptは、解読できない他の暗号化の使用を減らすために、バックドアを持つ暗号化を促進する目的で、NSA、CIA、またはそれらの大きな連邦政府機関の1つから提供される可能性があると思います。それが彼らの秘密が守られている理由であり、それが商用製品でもなく、オープンソース開発者の広範な参加もないにもかかわらず、優れたドキュメントを備えた非常に洗練された製品でもある理由です。

政府の目標は、鍵を回復できる暗号化の広範な使用を奨励することであると説明しているこの文書を参照してください。 http://www.justice.gov/criminal/cybercrime/cryptfaq.htm

実際、行政は、暗号化されたデータのプレーンテキストの復元を可能にする暗号化製品およびサービスの設計、製造、および使用を奨励しています。これには、さまざまな技術的アプローチを通じて、データの所有者、または法的権限の下で行動する法執行当局。このようなシステムが広く使用されることでのみ、データの保護が強化され、公共の安全が保護されます。

....

法務局の目標(および行政のポリシー)は、通信および保存されたデータのプライバシーを強化する強力な暗号化の開発と使用を促進すると同時に、法的に承認された検索または証拠の一部として証拠へのアクセスを取得する法執行機関の現在の能力を維持することです監視。

...

この点で、リカバリシステムを提供する信頼性の高い暗号化が利用可能になれば、他のタイプの暗号化の需要が減り、犯罪者がリカバリ可能な暗号化を使用する可能性が高まることを期待しています。

12
Mike Rowave

誰もが欠けているポイントは、誰かがTruecryptの使用を検討している場合、その人が安全であると100%確信している必要があることだと思います。それが失敗した場合、発見された情報に対して誰かが殺されている可能性があります。

Truecryptの整合性が疑わしい場合、なぜこのアプリケーションを使用するのですか?

ところで、Truecryptやその他についてのばかげた質問はありません。

4
dghughes

まあ、TrueCryptプロジェクトは、部外者に無礼/敵対的な方法で実行される可能性があります(匿名の開発者、変更ログなし)。しかし、それがどのように安全であるかどうかはわかりません。

次のように見てください:開発者reallyがTrueCryptにバックドアを入れて人々をねじ込みたい場合、彼らがニースであることが理にかなっているので、人々疑わしくない。

つまり、ソフトウェアが信頼できるかどうかは、開発者が社交的な人々であるかどうかとはまったく無関係です。ソースコードの可用性がセキュリティを確保するのに十分ではないと思われる場合は、コード監査を整理する必要があります。 TrueCryptプロジェクトの外でソースコードを見る人は確かにいるので、意図的なバックドアを隠すのはおそらく困難ですが、隠れたバグがあるかもしれません。 DebianのOpenSSLパッケージのこのバグ はしばらくの間気付かれませんでした。

4
sleske

私は数年前からtruecryptを使用しており、それらの 暗号化スキーム を見ると、指摘した他の小さな問題はセキュリティに何の影響も及ぼしません。 15年間のコンピューターエンジニア/暗号解読者でさえ、そのことに感銘を受けました。

リポジトリがないからといって、オープンソースではないという意味ではありません。 ダウンロードセクション にアクセスして、すべてのソースコードを取得できます。

フォーラムは唯一の弱点です。しかし、私は炎上戦争だけを禁止したことはありません。禁止の証拠はありますか?

3
TheLQ

これまでの回答では、TrueCryptの暗号化にどれだけの信頼を置くことができるかについて議論しました。ドキュメントによると、TrueCryptは優れた暗号化アルゴリズムを使用しています。ただし、暗号アルゴリズムはセキュリティ集約型プログラムの最も難しい部分ではないため、これは話の一部にすぎません。 TrueCryptのソースコードはレビューに利用できます。これは好意的な点です。

機密データを保護するプログラムを評価する際には、他にも考慮すべき点があります。

  • プログラムはデータ整合性も提供しますか? TrueCryptはサポートしていません。データの整合性とは、コンピューターに一時的にアクセスできる誰かが、変更されたデータでデータを置き換えることができないことを意味します。オペレーティングシステムを保護することは特に重要です。誰かがあなたのデータを追いかけている場合、次の入力時にパスロガーをキャプチャするためにキーロガーをインストールするか、間接的にデータへのアクセスを許可する他のマルウェアをインストールする可能性があります。したがって、 そのような改ざんを検出する方法がない場合は、コンピュータを放置しないでください

  • プログラムはどのくらい利用可能ですか? TrueCryptはその点でかなり高いレートです。それはすべての主要なデスクトップオペレーティングシステム(Windows、Mac、Linux)で利用可能です。これは無料なので、ライセンス費用を心配する必要はありません。それはオープンソースなので、現在の開発チームが突然姿を消した場合でも、他の人が開発に取り掛かることができます。これは広く使用されているため、現在のチームが消滅した場合に誰かがステップアップする可能性があります。ただし、ソース管理システム(変更メッセージを含む個別のパッチ)へのパブリックアクセスがないことは反対です。

コールドブート攻撃はさておき、Truecryptは100%安全ではありません。ブートローダーにフォレンジックトレースがあり、敵が(コンピューターのフォレンジックを知っている場合は)敵にパスワードを要求させます。

1
desperado