Software di crittografia affidabile?

1

Se stai scaricando e utilizzando un software di crittografia, e. g. Veracrypt o Diskcryptor, come fai a sapere se questo software non è falso? Backdoor o altri buchi di sicurezza? Supponendo che tali programmi non siano codificati entro un piovoso pomeriggio di domenica da una stupida, è necessaria una manodopera, ma sono gratuiti! Anche se è open source, la maggior parte degli utenti non ha né conoscenza né tempo per controllare il codice. Qual è il tuo modo per essere sicuro di essere sulla strada giusta? Grazie mille per i tuoi consigli e suggerimenti!

    
posta Joe 15.10.2015 - 12:42
fonte

2 risposte

5

Quando il software è popolare, rilevante per la sicurezza e open source (come Veracrypt), ci saranno spesso persone che lo controlleranno e segnaleranno vulnerabilità. VeraCrypt è basato su TrueCrypt 7.1, che ha ottenuto un audit completo qualche tempo fa . Molti progetti open source hanno anche bugtrackers pubblici in cui vengono segnalati bug noti.

Ma quando scarichi la tua copia del programma da un mirror non affidabile, non puoi essere sicuro che sia stato compilato dal codice sorgente originale. Ecco perché molti progetti pubblicano checksum crittografici o firme PGP per verificare che i file serviti dai mirror siano identici ai build ufficiali. Quando guardi il sito di download da VeraCrypt , ad esempio, noterai che hanno una chiave PGP pubblica e una firma PGP per ciascuno dei loro download. Puoi utilizzare GnuPG per verificare questi file.

Ma quando il codice sorgente di un software è non disponibile, tutte le prove che hai che non ha vulnerabilità (intenzionale o non intenzionale) è la parola dello sviluppatore (e forse quella di qualsiasi Terze parti a cui hanno dato il codice sorgente per la revisione). Ecco perché alcuni professionisti della sicurezza non consigliano l'uso di prodotti di sicurezza a sorgente chiusa.

    
risposta data 15.10.2015 - 13:12
fonte
0

Non ti fidi del software, ti fidi delle persone. Che sistema usi? Finestre? Quindi, se Microsoft volesse, potrebbe controllare facilmente il tuo PC. Forse non hanno ancora una back-door diretta nel sistema, ma è solo una questione di "aggiornamento della sicurezza" che installeresti.

Hai un telefono cellulare? Android? Quindi Google può fare lo stesso con il tuo telefono cellulare. Usi Linux? Ubuntu? Canonical è l'azienda di cui ti devi fidare. Con Debian dovresti fidarti di un'associazione di persone che si preoccupano di Debian.

Ti fidi delle persone che mantengono Vearacrypt? Puoi scaricare Veracrypt dalle loro pagine, puoi controllare il certificato SSL che è firmato da un'autorità. Quindi, inoltre, devi fidarti dell'autorità.

È possibile scaricare il codice sorgente. Bene, è molto più facile controllare il codice sorgente che binario. Tuttavia, ha migliaia di linee di codice e ci vorrebbero anni per controllarlo correttamente. E anche se controlli il codice, hai controllato il compilatore? Inoltre, il sistema (Windows) deve avere accesso alla chiave di crittografia quando il disco è montato. E che dire della CPU (realizzata da Intel)? L'hai controllato?

L'unica cosa che puoi fare è che puoi ridurre il numero di soggetti di cui ti devi fidare. Ad esempio, puoi utilizzare solo i prodotti realizzati da Apple. La tua vita sarebbe nelle mani di Apple, ma ciò che è importante è che sarebbe nelle mani di Apple solo ... Non consiglio che: -).

    
risposta data 15.10.2015 - 13:55
fonte

Leggi altre domande sui tag