TrueCrypt od jakiegoś czasu jest już praktycznie martwym projektem. 18 miesięcy temu twórcy oficjalnie zamknęli projekt, po czym próbowano go reanimować. W tym czasie stworzony całkowicie odrębny projekt o nazwie VeraCrypt, który bazuje na kodzie TrueCrypta, jednakże posiada załatane wszystkie luki bezpieczeństwa oraz jest na bieżąco rozwijany. Z tego powodu lekko dziwi kolejny już audyt bezpieczeństwa, przeprowadzony przez Niemiecki Instytut Fraunhofera (Security Analysis of TrueCrypt), który miał sprawdzić, czy dane zaszyfrowane z wykorzystaniem TrueCrypta są w miarę bezpieczne.
Jak możemy przeczytać w serwisie sekurak.pl oraz w podsumowaniu:
- Dane zaszyfrowane TrueCryptem lokalnie, po odmontowaniu są całkowicie bezpieczne. Nie znaleziono metod ataku na samą partycję.
- Dane odszyfrowane, np. zamontowane jako wolumin, są nadal narażone na znalezione luki bezpieczeństwa. W tym przypadku jednak potencjalny intruz musiał uzyskać dostęp do naszego systemu. Co już samo w sobie pozwalało na robienie wielu innych rzeczy, jak choćby przechwytywanie haseł, czy odczyt danych.
TrueCrypt działa więc w zakresie, do którego został stworzony. Należy jendka rozglądać się za bezpieczniejszymi rozwiązaniami szyfrującymi, jak wspomniany już VeraCrypt, czy nawet wbudowane, sprzętowe funkcje.
Drogi autorze, naucz się czytać 1) po angielsku 2) ze zrozumieniem.
Audyt pokazał, że:
1) Dane zaszyfrowane TrueCryptem po odmontowaniu są całkowicie bezpieczne. Nie znaleziono metod ataku na samą partycję.
2) Luki dotyczyły ataku na zamontowaną partycję oraz klucz przechowywany w pamięci. Jednak wymagały wcześniejszego włamania się na komputer użytkownika. Co już samo w sobie pozwalało robić znacznie gorsze rzeczy, jak choćby przechwycenie keyloggerem hasła do tej partycji czy odczyt zamontowanych danych.
W podsumowaniu stwierdzono więc, że TrueCrypt działa w zakresie do którego został stworzony.
Jak więc ma się do tego twoje stwierdzenie, że „przechowywanie danych na dysku jest w miarę bezpieczne” – co to w ogóle za stwierdzenie?
A powiedzenie, że „o ile nie są one szyfrowane w locie, a sam klucz szyfrujący nie znajduje się w pamięci operacyjnej.” tylko ociera się terminologią o realne wyniki audytu.
Dzięki za ten komentarz.
>Należy zatem faktycznie rozglądać się za bezpieczniejszymi rozwiązaniami szyfrującymi
Należy przede wszystkim używać systemów nastawionych na bezpieczeństwo, takich jak Linux. A nie zamkniętych bubli jak Windows naszpikowanych błędami i tylnymi furtkami. Żadne szyfrowania wtedy nie pomogą.
>jak wspomniany już VeraCrypt
TrueCrypt jest tak samo bezpieczny. Udany atak na Windows i tak pozwoli dostać się do danych i hasła do partycji.
>czy nawet wbudowane, sprzętowe funkcje.
Jasne… blackbox, którego działanie zna tylko producent. Praca domowa: google: NSA_KEY
> Należy jendka rozglądać
Mała literówka się wkradła