سؤال هل TrueCrypt آمن حقًا؟


لقد تم استخدام TrueCrypt منذ فترة طويلة الآن. ومع ذلك ، أشار لي شخص ما ل رابط يصف المشاكل مع الترخيص.

إيانال ، لذلك لم يكن الأمر منطقيًا بالنسبة لي. ومع ذلك ، أريد أن يكون برنامج التشفير الخاص بي مفتوح المصدر - ليس لأنه يمكنني اختراقه ولكن لأني أثق به.

بعض المشاكل معها لقد لاحظت:

  • لا يوجد VCS لرمز المصدر.
  • لا توجد سجلات التغيير.
  • المنتديات مكان سيئ. يحظرونك حتى لو طرحت سؤالاً حقيقياً.
  • من يمتلك حقا تروكربت؟
  • كانت هناك بعض التقارير عن ترقيع مع الاختباري MD5.

لأكون صادقًا ، كان السبب الوحيد وراء استخدامي لـ TrueCrypt هو أنه كان مفتوح المصدر. لكن مع ذلك ، بعض الأشياء ليست صحيحة.

هل قام أي شخص بالتحقق من سلامة تروكربت؟ يجب أن أكون قلقا حقا؟ نعم أنا بجنون العظمة. إذا كنت أستخدم برنامج تشفير ، فأنا أثق به طوال حياتي.

إذا كانت جميع مخاوفي حقيقية ، فهل هناك أي بديل آخر مفتوح المصدر لـ TrueCrypt؟


70
2017-07-15 20:16


الأصل


سؤال عظيم. أنا قلق أيضا ، ومزعج بشكل خاص من عدم الكشف عن هوية المؤلفين (مما يجعل من المستحيل تقييم ما قد تكون دوافعهم). أنا فقط (راحة) فقط من المراجع الإيجابية التي قدمها بروس شناير إلى True Crypt على مدونته ، على الرغم من وجود مصلحة تجارية في منتج منافس ، ظن أن تلك كانت ضيقة ومحدودة. - Will M


الأجوبة:


سأذهب من خلال نقطة نقطة من نقطة:

لا أحد يعرف من كتب تروكربت. لا   يعرف الشخص الذي يحافظ على TC.

هناك الاقتباس الحق بعد أن يقول العلامة التجارية التي عقدها Tesarik ، الذي يعيش في جمهورية التشيك. من الجيد أن نفترض أن من يملك العلامة التجارية يحافظ على المنتج.

يحظر المشرفون على منتدى TC المستخدمين الذين يسألون   الأسئلة.

هل هناك أي دليل على ذلك ، أم أنها مجرد حكايات؟ وبإثبات ، أقصد برهان أول شخص ، لقطات شاشة ، وما إلى ذلك.

يدعي TC أن يستند على التشفير للجماهير (E4M). هم   يدعون أيضا أن تكون مفتوحة المصدر ، ولكن تفعل   لا تحافظ على CVS / SVN العامة   مستودعات

إن التحكم في المصدر هو بالتأكيد جزء مهم من مشروع البرمجة الجماعية ، ولكن غيابه بالتأكيد لا يقلل من مصداقية هذا المشروع.

ولا تصدر سجلات التغيير.

نعم يفعلون. http://www.truecrypt.org/docs/؟s=version-history. ليس كل OSS تنشر سجلات تغيير واضحة للغاية ، لأنه ببساطة الكثير من الوقت في بعض الأحيان.

يحظر الناس من المنتديات   الذين يطلبون تغيير السجلات أو المصدر القديم   الشفرة.

لأنه سؤال غبي ، مع الأخذ بعين الاعتبار وجود سجل التغيير والإصدارات القديمة متوفرة بالفعل. http://www.truecrypt.org/downloads2

هم أيضا تغيير بصمت   الثنائيات (تغيير MDF 5) مع عدم   تفسير ... صفر.

ما هو هذا الإصدار من؟ هل هناك أي دليل آخر؟ إصدارات قديمة وقابلة للتنزيل؟

العلامة التجارية هي   يحملها رجل في الجمهورية التشيكية   ((REGISTRANT) Tesarik ، ديفيد   الفردية جمهورية التشيك Taussigova   1170/5 Praha جمهورية التشيك 18200.)

وماذا في ذلك؟ يمتلك شخص ما في الجمهورية التشيكية علامة تجارية لتكنولوجيا تشفير رئيسية. لماذا يهم؟

النطاقات مسجلة خاصة بواسطة   الوكيل. يدعي بعض الناس أن لديها   الباب الخلفي.

من الذى؟ أين؟ ماذا؟

من تعرف؟ هؤلاء الرجال يقولون   يمكنهم العثور على أحجام TC:    http://16systems.com/TCHunt/index.html

Duh ، وحدات TC في لقطة الشاشة كلها END WITH .tc.

وأي شخص ينظر إلى هذه الصورة على صفحة الاتصال؟

TrueCrypt Foundation address


30
2017-07-15 20:36



لكي نكون منصفين ، فإن TCHunt تحتوي على صفحة الأسئلة الشائعة التي توضح بوضوح "تتجاهل TCHunt أسماء الملفات وملحقات الملفات." أتوقع أن يكون التمديد متاحًا لأغراض الاختبار فقط. الطريقة الرئيسية التي يستخدمونها للكشف عن وحدات التخزين TC هي أن "المحتويات تمر اختبار توزيع مربع كاي". تكمن الفكرة في أن ملفات TC لا يمكن تمييزها في الواقع عن البيانات العشوائية ، إلا أن جميع الملفات الأخرى على نظام تتبع الأنماط ، لذلك يمكن اكتشاف وحدات TC بمجرد اكتشاف بيانات عشوائية فعلية. - Ilari Kajaste
تعليق جانبي: أعتبرهم فظاً لحظر الأشخاص الذين يسألون أسئلة "غبية" ... - RCIX
Ilari Kajaste ، ولكن هل يمكن أن تميز هذه الأداة حجم truecrypt من شيء مشفر مع GPG ، أو OPENSSL مباشرة؟ أظن أن أي وحدة تخزين مشفرة يجب أن توضع تحت إشراف TCHunt. - Zoredache
Zoredache: لا ، طالما أن التشفير قوي بحيث تبدو النتيجة كأنها بيانات عشوائية ، فإن طريقة التشفير غير مميزة. على الرغم من أن TCHunt لديها بعض عمليات التحقق من حجم الملف (modulo 512) ... ولكن طالما أن الملف المشفر له حجم مماثل وليس له رأس ملف شائع ، فإنه سيتم اكتشافه كملف TC. لا تدعي TCHunt أن تكون اكتشافًا "مثاليًا" ، ولكن يبدو أنها قادرة على اكتشاف الملفات التي يتم تشفيرها بشكل صحيح لتبدو وكأنها بيانات عشوائية - وهو أمر جيد بما فيه الكفاية. - Ilari Kajaste
لا يوجد مستودع عام لـ Truecrypt ، لكن شفرة المصدر مازالت متاحة: truecrypt.org/downloads2 . - Olli


قراءة هذه المقالات ، فشلت FBI لفك تشفير 5 محركات الأقراص الصلبة المحمية مع truecrypt

http://www.net-security.org/secworld.php؟id=9506

http://techie-buzz.com/foss/fbi-fail-decrypt-hard-drive-truecrypt.html


18
2017-07-15 20:38



ما الذي يجعلك تعتقد أن مكتب التحقيقات الفيدرالي FBI أو أي شخص آخر سوف يصرخ إذا ما تمكن من كسر truecrypt؟ - vtest
ما الذي يجعلك تعتقد أنها لن تفعل؟ - Moab
ها هي قصة مختلفة goo.gl/t7pM9 - mykhal
mykhal لا على الإطلاق. هل تتكلم الإسبانية؟ يتحدثون عن هجمات القوة الغاشمة التي تعتمد على ضعف كلمة المرور. - kaoD


أعتقد أن TrueCrypt قد يتم توفيره من قبل NSA أو CIA أو واحدة من تلك الوكالات الفيدرالية الكبيرة بغرض تشجيع التشفير الذي لديهم الباب الخلفي من أجل تقليل استخدام التشفير الآخر الذي لا يمكنهم اختراقه. وهذا هو السبب وراء السرية التي تحيط بها ، وهذا هو سبب كونها منتجًا جيدًا مصقولًا مع وثائق جيدة ، على الرغم من كونها منتجًا تجاريًا أو مشاركة واسعة النطاق لمطوري البرامج مفتوحة المصدر.

انظر هذا المستند ، الذي يوضح أن هدف الحكومة هو تشجيع الاستخدام الواسع للتشفير الذي يمكنهم استرداد المفاتيح من خلاله: http://www.justice.gov/criminal/cybercrime/cryptfaq.htm

في الواقع ، الإدارة   يشجع التصميم والتصنيع ،   واستخدام منتجات التشفير و   الخدمات التي تسمح لاستعادة   النص البسيط للبيانات المشفرة ،   بما في ذلك تطوير نص عادي   نظم الاسترداد ، والتي تسمح من خلال   مجموعة متنوعة من الأساليب الفنية   الوصول في الوقت المناسب إلى نص عادي إما عن طريق   أصحاب البيانات أو القانون   سلطات الإنفاذ تتصرف تحت   سلطة قانونية. فقط على نطاق واسع   استخدام مثل هذه النظم سوف توفر   حماية أكبر للبيانات و   حماية السلامة العامة.

....

هدف الإدارة - و   سياسة الإدارة - هو   تعزيز تطوير واستخدام   التشفير القوي الذي يعزز   خصوصية الاتصالات والمخزنة   البيانات مع الحفاظ على القانون   القدرة الحالية لإنفاذ القانون   الوصول إلى الأدلة كجزء من   بحث معتمد قانونا أو   مراقبة.

...

في هذا الصدد ، نأمل أن   توافر موثوقة للغاية   التشفير الذي يوفر الاسترداد   سوف تقلل من الطلب على   أنواع أخرى من التشفير ، و   زيادة احتمال أن المجرمين   سيستخدم التشفير القابل للاسترداد.


12
2017-07-03 00:27



-1 يبدو هذا مثل نظرية المؤامرة. أجد صعوبة في أن أصدق في الباب الخلفي في تروكربت ، مع رؤية أن المصدر متاح للتدقيق. هل لديك أي دليل على ادعاءاتك؟ - sleske
لم أقم بتضمين ما سبق ، بل على صفحة ويب نشرتها حكومة الولايات المتحدة. بقدر ما نشعر بالقلق تروكربت ، الناس الذين لديهم ترجمة المصدر لاحظوا أن الثنائيات الخاصة بهم لا تطابق الثنائيات من موقع ويب TrueCrypt. لذلك سيكون من السهل عليهم وضع الباب الخلفي في الثنائيات. إن إخفاء الأبواب الخلفية في شفرة المصدر أقل احتمالًا ، ولكنه ليس مستحيلاً أيضًا. - Mike Rowave
ماذا تقصد بـ "ملاحظة أن الثنائيات الخاصة بهم لا تطابق الثنائيات من موقع ويب TrueCrypt"؟ إذا كنت تقصد الاختلافات مختلفة ، فهذا طبيعي. سينتج عن الثنائيات من تجميع نفس التعليمات البرمجية المصدر على نفس النظام في أوقات مختلفة في مجاميع الاختبارية مختلفة. - segfault


حسنًا ، قد يتم تشغيل مشروع TrueCrypt بطريقة غير مضيافة / معادية للغرباء (أشخاص غير معروفين ، لا Changelog) ، لكنني لا أرى كيف يرتبط ذلك بكونه آمنًا أم لا.

ننظر إليها على هذا النحو: إذا كان ديف هل حقا أراد أن يفسد الناس من خلال وضع خلفية في TrueCrypt ، فمن المنطقي أن تكون لطيفة ، لذلك الناس أقل شبهة.

بعبارة أخرى ، ما إذا كان البرنامج جديرًا بالثقة ، فهو مستقل تمامًا عما إذا كان devs أشخاصًا اجتماعيين أم لا. إذا كنت تعتقد أن توفر شفرة المصدر لا يكفي لضمان الأمان ، فسيتعين عليك تنظيم تدوين التعليمات البرمجية. من المؤكد أن هناك أشخاصًا خارج مشروع TrueCrypt الذين ينظرون إلى شفرة المصدر ، لذلك ربما يكون من الصعب إخفاء باب خلفي متعمد ، ولكن قد تكون هناك أخطاء مخفية. هذا الخطأ في حزمة OpenSSL الخاصة بـ Debian ذهب دون أن يلاحظها أحد لفترة من الوقت.


4
2017-07-15 21:14



حول التمثيل الجميل: بما أنهم يعرفون هذه الحجة ، يجب عليهم أن يلعبوا وقحا لتجنب الشكوك. انتظر ، إذا كانوا يعرفون أن حجة ، يجب أن يلعبوا لطيفة! لا إنتظار! هممم ، أعتقد أنه من المستحيل معرفة ذلك. - Peter Jaric


أعتقد أن النقطة التي يفقدها الجميع هي أنه إذا كان شخص ما يفكر في استخدام Truecrypt ، يجب أن يكون هذا الشخص على يقين بنسبة 100٪ أنه آمن ، إن لم يكن حياته في خطر ، فهو ليس Flash Player أو تطبيق Fart لهاتف iPhone الخاص بك ، إنه تطبيق إذا فشلت قد يعني قتل شخص ما بسبب المعلومات التي تم اكتشافها.

إذا كانت سلامة Truecrypt في شك لماذا استخدام هذا التطبيق؟

راجع للشغل لا سؤال هو سؤال غبية حول Truecrypt أو أي شيء.


4
2017-08-29 04:16



هل تفضل أن يكون لديك تطبيق يقوم الناس بمسئولياته والمصدر متاح - أو واحد مقدم من شركة أمريكية لامعة لطيفة لا يشك أحد؟ - Martin Beckett
النقطة التي يحاول الناس تقديمها هي أن البرنامج الأكثر أمانًا موجود حاليًا. حتى تصبح الحوسبة الكمومية مجدية ، لا يمكن لأحد كسر حاويتك المحمية بهذا. truecrypt.org/docs/؟s=encryption-scheme - TheLQ
لا أفهم كيف ينظر إلى الأسئلة بطريقة خاطئة. إن استخدام Truecrypt ومعرفته ، مع طرح المزيد من المعلومات حوله لا يمكن أن يكونا متعارضين في الوقت نفسه ، إذا كان التطبيق قويًا ، يمكنك معرفة كل شيء عنه وما زال بإمكانه استخدامه لتشفير البيانات. يمكننا أن نتفق على الاختلاف ولكن الحصول على الكماشة ووضع علامة على صانع المتاعب في أي منتدى هو علامة حمراء كبيرة بالنسبة لي لأي تطبيق ولكن لشيء مثل Truecrypt انها تقشعر لها الأبدان. - dghughes
لقد ذكرت أنه إذا كان "شخص ما يفكر في استخدام Truecrypt ، يجب أن يكون هذا الشخص مؤكدًا بنسبة 100٪ أنه آمن" وأريد أن أعرف "لماذا؟" كثير من الناس يضعون ثقتهم في العديد من المنتجات بأقل القليل من اليقين على الإطلاق من أن المنتجات آمنة ، فلماذا يكون برنامج TrueCrypt مختلفًا؟ خاصة بالنسبة للمستخدمين النهائيين غير التقنيين ، هذا هو مطلب صعب للغاية بالنسبة لهم (يعتمدون عادة على خبراءهم أو وثائق المنتج لجعل هذه القرارات). - Randolf Richardson
لأنه كما أشرت أعلاه ، ليس متوسط ​​التطبيق الخاص بك لأن بعض الأشخاص الذين يستخدمونه يخاطرون بحياتهم باستخدامه ، إذا فشلوا في الحفاظ على أسرارهم قد يتعرضون للتعذيب أو القتل. - dghughes


لقد استخدمت truecrypt لبضع سنوات حتى الآن ، وعند إلقاء نظرة على نظام التشفير، القضايا الصغيرة الأخرى التي أشرت إليها لن تفعل أي شيء لأمنها. حتى 15 سنة مهندس الكمبيوتر / Cryptanalyst أعجب به.

ولأنه لا يملك مستودعًا لا يعني أنه ليس مفتوح المصدر. يمكنني التوجه إلى قسم التحميل والحصول على جميع التعليمات البرمجية المصدر ، والتي هي في الواقع ما تبحث عنه.

المنتديات هي النقطة الوحيدة الضعيفة. أنا لم أر أي حظر على الرغم من حروب اللهب فقط. هل لديك أي دليل على الحظر؟


3
2017-07-15 22:47



وسيضيف المستودع العام الكثير من المصداقية ، لأن التنقل في الإلتزامات سيجعل تدقيق الكود أسهل من فحص الاختلافات الهائلة للإطلاقات المستقرة. - vtest


وقد نوقشت الإجابات حتى الآن مدى الثقة التي يمكن وضعها في ترميز تروكربت. وفقا للوثائق ، يستخدم تروكربت خوارزميات تشفير جيدة. لكن هذا ليس سوى جزء من القصة ، لأن خوارزميات التشفير ليست هي أصعب جزء من برامج مكثفة للأمن. الشفرة المصدرية لـ TrueCrypt متاحة للمراجعة ، وهي نقطة في صالحها.

هناك نقاط أخرى يجب مراعاتها عند تقييم برنامج لحماية البيانات السرية.

  • هل يوفر البرنامج أيضا تكامل البيانات؟ TrueCrypt لا. تكامل البيانات يعني أن الشخص الذي لديه وصول مؤقت إلى جهاز الكمبيوتر الخاص بك لا يمكن أن يحل محل البيانات الخاصة بك عن طريق البيانات المعدلة. من المهم بشكل خاص حماية نظام التشغيل الخاص بك: إذا كان هناك شخص ما بعد بياناتك ، فقد يقوم بتثبيت keylogger للقبض على مرحلة المرور الخاصة بك في المرة التالية التي تقوم فيها بكتابتها ، أو بعض البرامج الضارة الأخرى بشكل غير مباشر مما يمنحها إمكانية الوصول إلى بياناتك. وبالتالي إذا لم يكن لديك طريقة للكشف عن مثل هذا العبث ، لا تترك جهاز الكمبيوتر الخاص بك دون مراقبة.

  • كيف على نطاق واسع متاح هو البرنامج؟ معدلات TrueCrypt عالية إلى حد ما على هذا العدد: إنها متاحة على جميع أنظمة تشغيل سطح المكتب الرئيسية (Windows ، Mac ، Linux) ؛ إنه مجاني حتى لا تقلق بشأن تكلفة الترخيص ؛ إنه مصدر مفتوح حتى يتمكن الآخرون من التطور إذا اختفى فريق التطوير الحالي فجأة. يستخدم على نطاق واسع لذلك من المحتمل أن يرتفع الشخص إذا اختفى الفريق الحالي. إن الافتقار إلى وصول الجمهور إلى نظام التحكم في المصدر (الرقع الفردية مع رسائل التغيير الخاصة بهم) هو نقطة ضد.


3
2017-08-29 21:19