TrueCrypt de audit completat bine
Rezultatul principal: TrueCrypt recunoscut modelul relativ bine proiectat de software criptografic. Auditul nu a evidențiat nici urme sau erori semnificative de arhitectura, care poate duce la vulnerabilități.
Acest lucru nu înseamnă că TrueCrypt este perfect. De fapt, auditorii reușit încă să găsească câteva bug-uri și exemple de programare lipsit de griji că, în anumite circumstanțe, cauzează TrueCrypt să nu funcționeze la fel de sigur cum ne-am dori.
De exemplu, cea mai gravă plângere cu privire la TrueCrypt este asociată cu activitatea unui generator de numere aleatorii pentru Windows. RNG utilizat pentru a genera o cheie, care este criptat folosind un TrueCrypt volum. Aceasta este o parte importanta a programului, pentru un RNG previzibil - un dezastru pentru securitatea și orice altceva în sistem.
Desigur, acest lucru nu este sfârșitul lumii, deoarece probabilitatea unui astfel de eșec este extrem de mic. Mai mult decât atât, a continuat colectarea de valori aleatoare de la indicii de sistem, coordonate mouse-ul și altele. Ar trebui să fie suficient pentru o protecție fiabilă. Dar proiectarea greșită a programului trebuie să fie fixat în toate Fork TrueCrypt.
În plus față de problemele cu RNG, auditorii și-au exprimat îngrijorarea cu privire la siguranța codului TrueCrypt AES împotriva atacurilor opoziției în timp din cache. Acest tip de atac, teoretic, pot fi efectuate, în cazul în care volumele criptate sunt pe un computer partajat sau în orice alt mediu în care un atacator ar putea rula codul.
«TrueCrypt - un exemplu cu adevărat unic de software, - rezuma auditorii. - Dezvoltatorii Pierdere TrueCrypt deplin conștienți de mulți oameni care se bazează pe criptare completă de disc pentru a proteja datele lor. Dacă ești norocos, vor fi angajate în sprijinul celorlalți. Sperăm că acest audit va da o anumită încredere suplimentară în codul cu care au început să lucreze.
știri Împărtășește cu prietenii: