TrueCrypt przeszedł kolejny audyt bezpieczeństwa. Dane są w miarę bezpieczene.

TrueCrypt przeszedł kolejny audyt bezpieczeństwa. Dane są w miarę bezpieczene.

przez -
4 1313
Bezpieczeństwo i szyfrowanie

TrueCrypt od jakiegoś czasu jest już praktycznie martwym projektem. 18 miesięcy temu twórcy oficjalnie zamknęli projekt, po czym próbowano go reanimować. W tym czasie stworzony całkowicie odrębny projekt o nazwie VeraCrypt, który bazuje na kodzie TrueCrypta, jednakże posiada załatane wszystkie luki bezpieczeństwa oraz jest na bieżąco rozwijany. Z tego powodu lekko dziwi kolejny już audyt bezpieczeństwa, przeprowadzony przez Niemiecki Instytut Fraunhofera (Security Analysis of TrueCrypt), który miał sprawdzić, czy dane zaszyfrowane z wykorzystaniem TrueCrypta są w miarę bezpieczne.

Jak możemy przeczytać w serwisie sekurak.pl oraz w podsumowaniu:

  1. Dane zaszyfrowane TrueCryptem lokalnie, po odmontowaniu są całkowicie bezpieczne. Nie znaleziono metod ataku na samą partycję.
  2. Dane odszyfrowane, np. zamontowane jako wolumin, są nadal narażone na znalezione luki bezpieczeństwa. W tym przypadku jednak potencjalny intruz musiał uzyskać dostęp do naszego systemu. Co już samo w sobie pozwalało na robienie wielu innych rzeczy, jak choćby przechwytywanie haseł, czy odczyt danych.

TrueCrypt działa więc w zakresie, do którego został stworzony. Należy jendka rozglądać się za bezpieczniejszymi rozwiązaniami szyfrującymi, jak wspomniany już VeraCrypt, czy nawet wbudowane, sprzętowe funkcje.

  • o_O

    Drogi autorze, naucz się czytać 1) po angielsku 2) ze zrozumieniem.

    Audyt pokazał, że:
    1) Dane zaszyfrowane TrueCryptem po odmontowaniu są całkowicie bezpieczne. Nie znaleziono metod ataku na samą partycję.
    2) Luki dotyczyły ataku na zamontowaną partycję oraz klucz przechowywany w pamięci. Jednak wymagały wcześniejszego włamania się na komputer użytkownika. Co już samo w sobie pozwalało robić znacznie gorsze rzeczy, jak choćby przechwycenie keyloggerem hasła do tej partycji czy odczyt zamontowanych danych.
    W podsumowaniu stwierdzono więc, że TrueCrypt działa w zakresie do którego został stworzony.

    Jak więc ma się do tego twoje stwierdzenie, że “przechowywanie danych na dysku jest w miarę bezpieczne” – co to w ogóle za stwierdzenie?
    A powiedzenie, że “o ile nie są one szyfrowane w locie, a sam klucz szyfrujący nie znajduje się w pamięci operacyjnej.” tylko ociera się terminologią o realne wyniki audytu.

    • Wojciech Jeziorowski

      Dzięki za ten komentarz.

  • o_O

    >Należy zatem faktycznie rozglądać się za bezpieczniejszymi rozwiązaniami szyfrującymi
    Należy przede wszystkim używać systemów nastawionych na bezpieczeństwo, takich jak Linux. A nie zamkniętych bubli jak Windows naszpikowanych błędami i tylnymi furtkami. Żadne szyfrowania wtedy nie pomogą.

    >jak wspomniany już VeraCrypt
    TrueCrypt jest tak samo bezpieczny. Udany atak na Windows i tak pozwoli dostać się do danych i hasła do partycji.

    >czy nawet wbudowane, sprzętowe funkcje.
    Jasne… blackbox, którego działanie zna tylko producent. Praca domowa: google: NSA_KEY

  • Wojciech Jeziorowski

    > Należy jendka rozglądać
    Mała literówka się wkradła