Я использую TrueCrypt в течение долгого времени. Однако кто-то указал мне на ссылку, описывающую проблемы с лицензией .
IANAL, и поэтому для меня это не имело особого смысла; однако я хочу, чтобы мое программное обеспечение для шифрования было с открытым исходным кодом - не потому, что я могу взломать его, а потому, что я могу доверять ему.
Некоторые из проблем с этим я заметил:
- Нет VCS для исходного кода.
- Нет журналов изменений.
- Форумы - плохое место, чтобы быть. Они забанят вас, даже если вы зададите подлинный вопрос.
- Кто действительно владеет TrueCrypt?
- Были некоторые сообщения о том, что они пытались изменить контрольные суммы MD5.
Честно говоря, единственная причина, по которой я использовал TrueCrypt, была в том, что он был с открытым исходным кодом. Но, однако, некоторые вещи просто не правы.
Кто-нибудь когда-нибудь проверял безопасность TrueCrypt? Должен ли я действительно волноваться? Да, я параноик; если я использую программное обеспечение для шифрования, я доверяю ему всю свою жизнь.
Если все мои опасения являются подлинными, есть ли другая альтернатива с открытым исходным кодом для TrueCrypt?
источник
Ответы:
Я пойду через статью пункт за пунктом:
Сразу после этого есть цитата, в которой говорится, что торговая марка принадлежит Tesarik, который живет в Чешской Республике. Можно с уверенностью предположить, что тот, кто владеет торговой маркой, поддерживает продукт.
Есть ли какое-либо доказательство этого или это просто анекдотично? Под доказательством я имею в виду доказательства от первого лица, снимки экрана и так далее.
Контроль исходного кода, безусловно, является важной частью проекта группового программирования, но его отсутствие, безусловно, не снижает доверие к такому проекту.
Да, они делают. http://www.truecrypt.org/docs/?s=version-history . Не все OSS публикуют чрезвычайно четкие журналы изменений, потому что иногда это просто слишком много времени.
Потому что это глупый вопрос, учитывая, что есть журнал изменений и старые версии уже доступны. http://www.truecrypt.org/downloads2
Что это за версия? Есть ли другие доказательства? Загружаемые, подписанные старые версии?
И что? Кто-то в Чешской Республике владеет торговой маркой для основной технологии шифрования. Почему это имеет значение?
Кто? Где? Какая?
Дух, тома TC на скриншоте все END WITH
.tc
.А кто-нибудь видел это изображение на странице контактов?
источник
Прочитайте эти статьи, ФБР не удалось расшифровать 5 жестких дисков, защищенных с помощью truecrypt
http://www.net-security.org/secworld.php?id=9506
http://techie-buzz.com/foss/fbi-fail-decrypt-hard-drive-truecrypt.html
источник
Я считаю, что TrueCrypt может быть предоставлен АНБ, ЦРУ или одним из тех крупных федеральных агентств с целью продвижения шифрования, для которого у них есть задняя дверь, чтобы уменьшить использование другого шифрования, которое они не могут взломать. В этом и заключается причина их секретности, и поэтому он также является настолько хорошо отлаженным продуктом с хорошей документацией, несмотря на то, что он не является коммерческим продуктом и не имеет широкого участия разработчиков с открытым исходным кодом.
См. Этот документ, в котором объясняется, что целью правительства является поощрение широкого использования шифрования, для которого они могут восстановить ключи: http://www.justice.gov/criminal/cybercrime/cryptfaq.htm
....
...
источник
Что ж, проект TrueCrypt вполне может быть запущен способом, который неприемлемо / враждебно посторонним (анонимные разработчики, никаких изменений), но я не понимаю, как это связано с безопасностью или нет.
Посмотрите на это следующим образом: если разработчики действительно хотят обмануть людей, добавив бэкдоры в TrueCrypt, им будет полезно быть милыми, чтобы люди были менее подозрительными.
Другими словами, заслуживает ли доверие программное обеспечение, совершенно не зависит от того, являются ли разработчики общительными людьми или нет. Если вы считаете, что наличия исходного кода недостаточно для обеспечения безопасности, вам придется организовать аудит кода. Конечно, есть люди вне проекта TrueCrypt, которые смотрят на исходный код, поэтому преднамеренный черный ход, вероятно, трудно скрыть, но могут быть скрытые ошибки. Эта ошибка в пакете Debian OpenSSL долгое время оставалась незамеченной.
источник
Я думаю, что все упускают из виду то, что если кто-то рассматривает возможность использования Truecrypt, то этот человек должен быть на 100% уверен, что он безопасен, если не его жизнь может быть в опасности, это не Flash Player или приложение Fart для вашего iPhone, это приложение, где если это терпит неудачу, может означать, что кто-то убит по обнаруженной информации
Если целостность Truecrypt вызывает сомнения, зачем использовать это приложение?
Между прочим, не вопрос тупой вопрос о Truecrypt или что-нибудь еще.
источник
Я использую truecrypt уже несколько лет, и когда вы посмотрите на их схему шифрования , другие мелкие проблемы, на которые вы указали, не повлияют на его безопасность. Даже 15-летний компьютерный инженер / криптоаналитик был впечатлен этим.
И только то, что у него нет репозитория, не означает, что его нет с открытым исходным кодом. Я могу зайти в раздел загрузки и получить весь исходный код, который на самом деле - то, что вы ищете.
Форумы являются единственным слабым местом. Я не видел никаких запретов, только войны пламени. У вас есть доказательства запретов?
источник
Ответы до сих пор обсуждали, насколько можно доверять шифрованию TrueCrypt. Согласно документации, TrueCrypt использует хорошие алгоритмы шифрования; однако это только часть истории, поскольку криптографические алгоритмы не самая сложная часть программ, требующих высокой безопасности. Исходный код TrueCrypt доступен для ознакомления, что является точкой в его пользу.
Есть и другие моменты, которые следует учитывать при оценке программы для защиты конфиденциальных данных.
Программа также обеспечивает целостность данных ? TrueCrypt нет. Целостность данных означает, что тот, кто имеет временный доступ к вашему компьютеру, не может заменить ваши данные измененными данными. Это особенно важно для защиты вашей операционной системы: если кто-то ищет ваши данные, он может установить кейлоггер для захвата вашей пас-фазы при следующем вводе, или какое-либо другое вредоносное ПО, которое косвенно предоставляет им доступ к вашим данным. Поэтому, если у вас нет способа обнаружить такое вмешательство, не оставляйте свой компьютер без присмотра .
Насколько широко доступна программа? TrueCrypt довольно высоко оценивает этот показатель: он доступен во всех основных настольных операционных системах (Windows, Mac, Linux); это бесплатно, поэтому вам не нужно беспокоиться о стоимости лицензии; это открытый исходный код, так что другие могут заняться разработкой, если текущая команда разработчиков внезапно исчезнет; он широко используется, так что кто-то может усилиться, если текущая команда исчезнет. Отсутствие публичного доступа к системе контроля версий (отдельные патчи с их сообщениями об изменениях) является точкой против.
источник
За исключением атаки с помощью холодного старта , Truecrypt не на 100% безопасен . В его загрузчике есть следы судебной экспертизы, которые заставят вашего врага (если он знает компьютерную экспертизу) заставить вас ввести пароль.
источник