Qual è il problema con TrueCrypt? [duplicare]

17

Da alcuni giorni, la pagina del progetto Sourceforge di TrueCrypt visualizza un messaggio che dice:

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

E, gli autori stanno persino incoraggiando gli utenti a passare al programma Microsoft BitLocker. La stampa ha fatto molti commenti su questo cambiamento:

Un fork del progetto è apparso anche su un sito web svizzero .

Quindi, cosa sta succedendo davvero? Quali sono questi problemi di sicurezza in TrueCrypt? Che tipo di rischi per la sicurezza ci si può aspettare se continuiamo ad usarlo?

    
posta perror 30.05.2014 - 17:20
fonte

1 risposta

10

A partire dalle ultime informazioni , il problema principale con TrueCrypt ora è che non è più supportato e mantenuto. Ciò è di notevole importanza in quanto ci aspettiamo che il rapporto di verifica di fase 2 di iSec perché significa che se si riscontrano gravi errori nella crittografia utilizzata o nell'implementazione di esso, quindi tali difetti non verranno risolti dagli sviluppatori. Ulteriori problemi vengono creati perché TC è sviluppato da due sviluppatori semi-anonimi (fonte in russo) e la sua licenza unica impedisce da essere open-source. Tuttavia, fino a quando il rapporto mostra che esistono dei difetti nel programma, si può sostenere che è "abbastanza sicuro" da utilizzare a seconda delle minacce che si trovano nella situazione. Essenzialmente, non è meno sicuro oggi di quanto non fosse due o tre giorni fa per la maggior parte degli utenti, anche se non dovresti credermi sulla parola dato che non sono affatto un professionista della sicurezza.

Ieri, quando la notizia è stata interrotta, inizialmente c'erano molte speculazioni sulle possibilità di ciò che è accaduto. Le teorie andavano dagli sviluppatori semplicemente rinunciando, a TC veniva fornita una NSL . L'anonimato combinato con la mancanza di chiarimenti da parte degli sviluppatori e il metodo amatoriale di informare i propri utenti ha creato molte speculazioni inutili.

Il sito web svizzero sembra essere un autentico tentativo di creare un fork del codice Truecrypt e di creare un nuovo progetto con un nuovo nome .

Quindi, per dare una sintesi delle tue domande:

So, what is really happening?

Gli sviluppatori sembrano aver perso interesse per il progetto e sembrano credere che solo loro abbiano le conoscenze richieste e la familiarità con il codice, qualsiasi fork derivante dalla base di codici TC sarà potenzialmente dannoso.

What are these security issues in TrueCrypt?

A partire da ora, il rapporto di Fase 1 della iSec ha rilevato 11 problemi nelle aree valutate del codice e documentazione. Il più grave di questi è un algoritmo di derivazione della chiave di intestazione del volume debole. Per citare il rapporto ufficiale:

Exploit Scenario: An attacker captures an encrypted TrueCrypt volume and performs an offline brute force and/or dictionary attack to identify the key used to encrypt the Volume Header. They use the recovered key to decrypt the volume.

What kind of security risks can be expected if we are keep using it?

Se continui a utilizzarlo, tieni presente che il software non è più supportato. Questo è significativo considerando che il rapporto di iSec sulla fase 2 dell'audit TC era programmato per essere completato. Ovviamente, non è sicuro se quel rapporto verrà rilasciato o addirittura terminato ora che TC è sostanzialmente chiuso. Come con qualsiasi pezzo di software che non è più supportato, se sorgono nuovi problemi, non verranno risolti. Il mio suggerimento per un utente domestico (come me) che deve affrontare minacce molto deboli sarebbe continuare a utilizzare TC versione 7.1 fino a quando qualcuno riprende il progetto o un chiaro successore viene avanti. Prendere decisioni avventate a causa del senso di urgenza creato con la situazione recente è improbabile che produca buoni risultati.

Spero che questo dia una decente panoramica di quello che è successo. Potrei aggiornarlo come nuove superfici informative.

    
risposta data 30.05.2014 - 22:40
fonte

Leggi altre domande sui tag