TrueCrypt przeszedł kolejny audyt bezpieczeństwa. Dane są w miarę bezpieczene.

4
2321
Bezpieczeństwo i szyfrowanie
Bezpieczeństwo i szyfrowanie

TrueCrypt od jakiegoś czasu jest już praktycznie martwym projektem. 18 miesięcy temu twórcy oficjalnie zamknęli projekt, po czym próbowano go reanimować. W tym czasie stworzony całkowicie odrębny projekt o nazwie VeraCrypt, który bazuje na kodzie TrueCrypta, jednakże posiada załatane wszystkie luki bezpieczeństwa oraz jest na bieżąco rozwijany. Z tego powodu lekko dziwi kolejny już audyt bezpieczeństwa, przeprowadzony przez Niemiecki Instytut Fraunhofera (Security Analysis of TrueCrypt), który miał sprawdzić, czy dane zaszyfrowane z wykorzystaniem TrueCrypta są w miarę bezpieczne.

Jak możemy przeczytać w serwisie sekurak.pl oraz w podsumowaniu:

  1. Dane zaszyfrowane TrueCryptem lokalnie, po odmontowaniu są całkowicie bezpieczne. Nie znaleziono metod ataku na samą partycję.
  2. Dane odszyfrowane, np. zamontowane jako wolumin, są nadal narażone na znalezione luki bezpieczeństwa. W tym przypadku jednak potencjalny intruz musiał uzyskać dostęp do naszego systemu. Co już samo w sobie pozwalało na robienie wielu innych rzeczy, jak choćby przechwytywanie haseł, czy odczyt danych.

TrueCrypt działa więc w zakresie, do którego został stworzony. Należy jendka rozglądać się za bezpieczniejszymi rozwiązaniami szyfrującymi, jak wspomniany już VeraCrypt, czy nawet wbudowane, sprzętowe funkcje.

ŹRÓDŁOsekurak.pl
Poprzedni artykułNmap 7.0 z wieloma nowościami
Następny artykułCRUX 3.2 z wieloma zmianami
Michał Olber
Interesuję się głównie sprzętem i działaniem jego pod systemami GNU/Linux. Testuję różne dystrybucje i robię recenzje. Interesuję się działaniem sprzętu pod Linuksem, dzięki czemu wiem, jaki zestaw komputerowy wybierać :)

4 KOMENTARZE

  1. Drogi autorze, naucz się czytać 1) po angielsku 2) ze zrozumieniem.

    Audyt pokazał, że:
    1) Dane zaszyfrowane TrueCryptem po odmontowaniu są całkowicie bezpieczne. Nie znaleziono metod ataku na samą partycję.
    2) Luki dotyczyły ataku na zamontowaną partycję oraz klucz przechowywany w pamięci. Jednak wymagały wcześniejszego włamania się na komputer użytkownika. Co już samo w sobie pozwalało robić znacznie gorsze rzeczy, jak choćby przechwycenie keyloggerem hasła do tej partycji czy odczyt zamontowanych danych.
    W podsumowaniu stwierdzono więc, że TrueCrypt działa w zakresie do którego został stworzony.

    Jak więc ma się do tego twoje stwierdzenie, że „przechowywanie danych na dysku jest w miarę bezpieczne” – co to w ogóle za stwierdzenie?
    A powiedzenie, że „o ile nie są one szyfrowane w locie, a sam klucz szyfrujący nie znajduje się w pamięci operacyjnej.” tylko ociera się terminologią o realne wyniki audytu.

  2. >Należy zatem faktycznie rozglądać się za bezpieczniejszymi rozwiązaniami szyfrującymi
    Należy przede wszystkim używać systemów nastawionych na bezpieczeństwo, takich jak Linux. A nie zamkniętych bubli jak Windows naszpikowanych błędami i tylnymi furtkami. Żadne szyfrowania wtedy nie pomogą.

    >jak wspomniany już VeraCrypt
    TrueCrypt jest tak samo bezpieczny. Udany atak na Windows i tak pozwoli dostać się do danych i hasła do partycji.

    >czy nawet wbudowane, sprzętowe funkcje.
    Jasne… blackbox, którego działanie zna tylko producent. Praca domowa: google: NSA_KEY

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj