TrueCrypt przeszedł kolejny audyt bezpieczeństwa. Dane są w miarę bezpieczene.

TrueCrypt przeszedł kolejny audyt bezpieczeństwa. Dane są w miarę bezpieczene.

    przez -
    4 1040
    Bezpieczeństwo i szyfrowanie
    TrueCrypt od jakiegoś czasu jest już praktycznie martwym projektem. 18 miesięcy temu twórcy oficjalnie zamknęli projekt, po czym próbowano go reanimować. W tym czasie stworzony całkowicie odrębny projekt o nazwie VeraCrypt, który bazuje na kodzie TrueCrypta, jednakże posiada załatane wszystkie luki bezpieczeństwa oraz jest na bieżąco rozwijany. Z tego powodu lekko dziwi kolejny już audyt bezpieczeństwa, przeprowadzony przez Niemiecki Instytut Fraunhofera (Security Analysis of TrueCrypt), który miał sprawdzić, czy dane zaszyfrowane z wykorzystaniem TrueCrypta są w miarę bezpieczne.

    Jak możemy przeczytać w serwisie sekurak.pl oraz w podsumowaniu:

    1. Dane zaszyfrowane TrueCryptem lokalnie, po odmontowaniu są całkowicie bezpieczne. Nie znaleziono metod ataku na samą partycję.
    2. Dane odszyfrowane, np. zamontowane jako wolumin, są nadal narażone na znalezione luki bezpieczeństwa. W tym przypadku jednak potencjalny intruz musiał uzyskać dostęp do naszego systemu. Co już samo w sobie pozwalało na robienie wielu innych rzeczy, jak choćby przechwytywanie haseł, czy odczyt danych.

    TrueCrypt działa więc w zakresie, do którego został stworzony. Należy jendka rozglądać się za bezpieczniejszymi rozwiązaniami szyfrującymi, jak wspomniany już VeraCrypt, czy nawet wbudowane, sprzętowe funkcje.

    • o_O

      Drogi autorze, naucz się czytać 1) po angielsku 2) ze zrozumieniem.

      Audyt pokazał, że:
      1) Dane zaszyfrowane TrueCryptem po odmontowaniu są całkowicie bezpieczne. Nie znaleziono metod ataku na samą partycję.
      2) Luki dotyczyły ataku na zamontowaną partycję oraz klucz przechowywany w pamięci. Jednak wymagały wcześniejszego włamania się na komputer użytkownika. Co już samo w sobie pozwalało robić znacznie gorsze rzeczy, jak choćby przechwycenie keyloggerem hasła do tej partycji czy odczyt zamontowanych danych.
      W podsumowaniu stwierdzono więc, że TrueCrypt działa w zakresie do którego został stworzony.

      Jak więc ma się do tego twoje stwierdzenie, że “przechowywanie danych na dysku jest w miarę bezpieczne” – co to w ogóle za stwierdzenie?
      A powiedzenie, że “o ile nie są one szyfrowane w locie, a sam klucz szyfrujący nie znajduje się w pamięci operacyjnej.” tylko ociera się terminologią o realne wyniki audytu.

      • Wojciech Jeziorowski

        Dzięki za ten komentarz.

    • o_O

      >Należy zatem faktycznie rozglądać się za bezpieczniejszymi rozwiązaniami szyfrującymi
      Należy przede wszystkim używać systemów nastawionych na bezpieczeństwo, takich jak Linux. A nie zamkniętych bubli jak Windows naszpikowanych błędami i tylnymi furtkami. Żadne szyfrowania wtedy nie pomogą.

      >jak wspomniany już VeraCrypt
      TrueCrypt jest tak samo bezpieczny. Udany atak na Windows i tak pozwoli dostać się do danych i hasła do partycji.

      >czy nawet wbudowane, sprzętowe funkcje.
      Jasne… blackbox, którego działanie zna tylko producent. Praca domowa: google: NSA_KEY

    • Wojciech Jeziorowski

      > Należy jendka rozglądać
      Mała literówka się wkradła