. Criptografia para o paranóico: Verificando TrueCrypt código fonte e binários - Tudo Sobre Tecnologia

TrueCrypt é open source e verificáveis, mas até que alguém realmente faz a verificação, os acontecimentos recentes nos ensinaram a ser cético. 
TrueCrypt  é facilmente o programa de criptografia mais popular e altamente considerado que existe. TrueCrypt é capaz de criptografar discos completos, divisórias, pastas ou arquivos individuais. Ironicamente, TrueCrypt também é conhecida por sua capacidade de ocultar dados em vista.
TrueCrypt Verifique 1.png
Ao longo destas linhas, é interessante notar que todos os desenvolvedores TrueCrypt ter permanecido anônimo, com todas as comunicações passando a Fundação TrueCrypt. Eu encontrei uma entrevista em 2005 , supostamente com um dos desenvolvedores, de codinome Enéade.

Recomendado por especialistas

Disposição dos especialistas de criptografia para recomendar TrueCrypt é em parte devido ao TrueCrypt software ser open source, o que significa que é de revisão. Isso é algo que está acontecendo o tempo todo, de acordo com a FAQ página web TrueCrypt :
"Na verdade, o código fonte está constantemente sendo revisado por muitos pesquisadores e usuários independentes. Sabemos disso porque muitos bugs e vários problemas de segurança foram descobertos por pesquisadores independentes ao rever o código-fonte".
Mas a maioria das pessoas não baixar o código fonte e, em seguida, compilá-lo. Eles instalar TrueCrypt usando um dos arquivos executáveis. E foi aí que a validade do software torna-se questionável. A página web FAQ menciona uma maneira de verificar se os arquivos baixados são compilados a partir do código-fonte anunciado:
"Além de analisar o código-fonte, os pesquisadores independentes pode compilar o código fonte e comparar os arquivos executáveis ​​resultantes com os oficiais. Eles podem encontrar algumas diferenças (por exemplo, selos de tempo ou assinaturas digitais embutidos), mas eles podem analisar as diferenças e verificar que eles não formam um código malicioso. "
Infelizmente, eu sou incapaz de encontrar qualquer evidência documentada de que isso tenha sido feito. Depois de baixar o código fonte , eu posso ver o porquê. Era quase dois MB de dados. Um programa complexo que não pode ser simples engenharia reversa.
Até recentemente, este não tem sido um problema excessivamente pressionando com especialistas de criptografia. Mas isso mudou quando o Sr. Snowden divulgou informações sobre o programa Bullrun NSA :
"Os documentos mostram que a NSA tem travado uma guerra contra a criptografia usando uma bateria de métodos que incluem trabalhar com a indústria para enfraquecer os padrões de criptografia, fazer mudanças de design para software de criptografia, e empurrando os padrões internacionais de criptografia, ele sabe que pode quebrar."
Bruce Schneier, em neste blog , afirma o Número de reivindicação New York:
"A defesa contra estes ataques é difícil. Sabemos do canal subliminar e pesquisa kleptography que é praticamente impossível garantir que uma peça complexa de software não está vazando informações secretas. Sabemos por Ken Thompson famoso talk  sobre "confiança confiar" que você nunca pode estar totalmente certo se há uma falha de segurança em seu software. "
Criptógrafos, um grupo nervoso, para começar, finalmente tive o suficiente. Matthew Green, criptógrafo e professor pesquisador da Universidade Johns Hopkins, e Kenneth Branco, principal cientista Sistemas Sociais e Científico decidiu auditar os arquivos executáveis ​​derivados da versão atual (7.1a) do código fonte TrueCrypt, e concluir o seguinte:
  • Criar um histórico de controle de versão independente verificado da fonte TrueCrypt e código executável.
  • Documentar a construção de arquivos executáveis ​​a partir do código-fonte para os diversos sistemas operacionais anunciados.
  • Realizar uma auditoria (segurança e criptoanálise) dos programas.
Em seu site istruecryptauditedyet.com , os cavalheiros mencionar, "Muitas das nossas preocupações com o TrueCrypt poderia ir embora se soubéssemos os binários (arquivos executáveis) foram compiladas a partir da fonte." Eles também querem eliminar qualquer preocupação que TrueCrypt foi comprometida, principalmente com um backdoor.
"O verdadeiro sonho deste projeto é ver a base de código inteiro receber uma auditoria profissional de uma das poucas empresas de avaliação da segurança que estão qualificados para rever software de criptografia."
Como você pode imaginar, este tipo de empresa não é barato. Verde e branco veio com uma idéia nova: o uso crowd sourcing para financiar o projeto. Ele parece estar funcionando, tendo levantado 50 mil dólares desde 14 de outubro. As doações ainda estão sendo aceitas noFundFill  e IndieGoGo .

Considerações finais

Eu li que verde e branco atingiram o seu objetivo financeiro, de modo TrueCrypt deve obter o seu dia no tribunal. Toda a história por trás TrueCrypt tem sido uma fonte de fascínio para mim, e espero TrueCrypt passar pela inspeção. Se eu fosse um homem de apostas ...

Sobre Michael Kassner

Michael Kassner Atualmente é gerente de sistemas de uma empresa internacional.Juntamente com seu filho, ele corre MKassner Net, uma pequena consultoria de TI publicação.

0 comentários Goocle+ 0 Facebook

Postar um comentário

 
Tudo Sobre Tecnologia © 2013-2020. Todos os direitos reservados. Tudo Sobre Tecnologia. Desenvolvido por TST
Topo