暗号化 – TrueCryptは本当に安全なのか?

encryption truecrypt

私は長い間TrueCryptを使ってきました。しかし、誰かが私にライセンスの問題点を説明したリンクを指摘してくれました

しかし、私は自分の暗号化ソフトウェアをオープンソースにしたいと思っています

その中で気付いた問題点がいくつかあります

  • ソースコードにVCSはありません
  • 変更ログはありません
  • フォーラムは悪い場所です。真面目な質問をしても追放されます
  • TrueCryptは誰が所有しているのでしょうか?
  • MD5のチェックサムをいじったという報告がありました

正直なところ、私がTrueCryptを使った理由は、オープンソースだからというだけでした。しかし、どうしてもおかしいところがあります

誰かTrueCryptのセキュリティを検証したことがありますか?本当に心配すべきでしょうか?はい、私は被害妄想的です。暗号化ソフトを使用しているのであれば、私はそのソフトを全力で信頼しています

私の懸念がすべて本物であるならば、TrueCryptに代わる他のオープンソースはありますか?

  70  None  2010-07-15

ベストアンサー

記事を一通り見ていきます

誰がTrueCryptを書いたのか誰も知らない。誰がTCを管理しているのか 誰も知らない

その直後に引用されているのは チェコ共和国に住むTesarikが商標を所有しているというものです。商標を所有している人が製品を維持していると考えてもいいでしょう

TCフォーラムのモデレーターは、質問をするユーザーを禁止します

何か証拠があるのか、それともただの逸話なのか?証拠とは一人称での証拠、スクリーンショットなどのことです

TCはEncryption for the Masses (E4M)に基づいていると主張しています。また、オープンソースであることを主張していますが、公開されている CVS/SVN リポジトリは保守していません

ソース管理は確かにグループプログラミングプロジェクトの重要な部分ですが、それがないからといって、そのようなプロジェクトの信頼性が低下するわけではありません

と変更ログを発行しないようにしてください

はい、彼らはそうしています。http://www.truecrypt.org/docs/?s=version-historyすべてのOSSが非常に明確な変更ログを公開しているわけではありません

変更ログや古いソースコードを求める人をフォーラムから追放しています

だって、変更ログがあったり、古いバージョンが既に出ていることを考えると、アホみたいな質問ですよね。http://www.truecrypt.org/downloads2

また、何の説明もなく黙々とバイナリを変更(md5のハッシュが変わる)…ゼロ

これはどのバージョンのものなのでしょうか?他に証拠はありますか?ダウンロード可能な、署名入りの古いバージョン?

この商標はチェコ共和国の男性によって所有されています((REGISTRANT) Tesarik, David INDIVIDUAL CZECH REPUBLIC Taussigova 1170/5 Praha CZECH REPUBLIC 18200.)

それがどうした?チェコ共和国の誰かが 主要な暗号化技術の商標を所有しているなぜそれが重要なのか?

ドメインはプロキシでプライベートに登録されています。バックドアを持っていると主張する人もいます

誰が?どこで?何を?

誰が知っている?彼らはTCのボリュームを見つけることができると言っています。http://16systems.com/TCHunt/index.html

スクリーンショットのTCボリュームはすべて.tcで終わっています

誰かこの画像を見た人はいませんか?

TrueCrypt Foundation address

29  Hello71  2010-07-15

これらの記事を読むと、FBIはtruecryptで保護された5つのハードドライブの解読に失敗しています

Help Net Security - Cybersecurity News
Cybersecurity news with a focus on enterprise security. Discover what matters in the world of information security today.
www.helpnetsecurity.com
Did the FBI Fail to Decrypt a Hard Drive Encrypted with TrueCrypt? - Techie Buzz
The Operation Satyagraha at Rio de Janeiro has hard-drives as evidence but the problem is these five hard drives are all encrypted using TrueCrypt.
techie-buzz.com

18  Moab  2010-07-15

私は、TrueCryptは、NSA、CIA、またはそれらの大きな連邦機関の一つによって提供されているのではないかと信じていますが、その目的は、彼らが解読できない他の暗号化の使用を減らすために、バックドアを持っている暗号化を促進することです。それが彼らの秘密が守られている理由であり、商用製品でもオープンソースの開発者が広く参加しているわけでもないにもかかわらず、良いドキュメントを持ったよく磨かれた製品である理由でもあります

政府の目的は、鍵を回収できる暗号化の普及を促すことだと説明しているこちらの文書をご覧ください。http://www.justice.gov/criminal/cybercrime/cryptfaq.htm

実際には、データの所有者または合法的な権限の下で行動する法執行機関のいずれかによって、様々な技術的アプローチによって平文へのタイムリーなDeepLを可能にする平文復旧システムの開発を含め、暗号化されたデータの平文の復旧を可能にする暗号化製品およびサービスの設計、製造、および使用を奨励しています。このようなシステムが広く利用されるようになって初めて、データの保護を強化し、公共の安全を守ることができるようになる

….

同省の目標は、通信や保存されたデータのプライバシーを強化する強力な暗号化の開発と使用を促進することであり、同時に、法的に許可された捜索や監視の一環として証拠品にアクセスする法執行機関の現在の能力も維持することである

この点、回復システムを提供する信頼性の高い暗号化が利用可能になることで、他のタイプの暗号化に対する需要が減り、犯罪者が回復可能な暗号化を利用する可能性が高まることを期待しています

12  Mike Rowave  2011-07-03

まあ、TrueCryptプロジェクトは部外者(匿名の開発者、Changelogなし)には敵対的であるような方法で運営されているかもしれませんが、それが安全であるかどうかとどう関係しているのかはわかりません

このように見てください。もし開発者が本当にTrueCryptにバックドアを入れて人々をねじ伏せたいと思っているのであれば、彼らが親切であることは理にかなっているでしょう

つまり、ソフトウェアが信頼できるかどうかは、開発者が社交的な人かどうかとは全く関係がないのです。ソースコードの可用性だけではセキュリティを確保できないと考えるのであれば、コード監査を組織する必要があります。確かにTrueCryptプロジェクトの外部にはソースコードを見ている人がいるので、意図的なバックドアは隠しにくいかもしれませんが、隠れたバグがあるかもしれません。Debian の OpenSSL パッケージのこのバグは、かなりの間気付かれずにいました

4  sleske  2010-07-15

誰もが見逃しているポイントは、Truecrypt の使用を検討している人がいる場合、その人は 100% 安全であることを確信していなければならないということだと思います

Truecrypt の整合性に疑問がある場合、このアプリケーションを使用する理由は何ですか?

btw. トゥルーエクリプトについての質問でも何でもありません

4  dghughes  2010-08-29

私は数年前から truecrypt を使用していますが、暗号化方式を見てみると、あなたが指摘した他の小さな問題は、そのセキュリティには何もしていません。15年のコンピュータ・エンジニア/暗号アナリストでさえ、それに感銘を受けました

そして、それがリポジトリを持っていないという理由だけで、そのオープンソースではないことを意味しません。私はダウンロードセクションに向かうことができますし、現実にはあなたが探しているものであるすべてのソースコードを取得します

フォーラムは唯一の弱点です。私は禁止されているのを見たことがありません 炎上しているだけです禁止の証拠はありますか?

3  TheLQ  2010-07-15

これまでの回答では、TrueCrypt の暗号化にどれだけの信頼を置けるかが議論されてきました。ドキュメントによると、TrueCryptは優れた暗号化アルゴリズムを使用していますが、暗号化アルゴリズムはセキュリティを重視するプログラムの最も難しい部分ではないので、これは話の一部に過ぎません。TrueCrypt のソースコードは、レビューのために利用可能であり、それが有利な点となっています

他にも、機密データを保護するためのプログラムを評価する際に考慮すべき点があります

  • プログラムはデータの整合性も提供しますか?TrueCrypt は提供していません。データの完全性とは、コンピュータへの一時的なアクセス権を持つ者が、あなたのデータを変更したデータに置き換えることができないことを意味します。誰かがあなたのデータを狙っている場合、パスフェイズをキャプチャするためにキーロガーをインストールしたり、間接的にあなたのデータへのアクセスを与えるマルウェアをインストールしたりするかもしれません。そのため、そのような改ざんを検出する方法がない場合は、コンピュータを無人のままにしないでください

  • プログラムはどのくらい普及していますか?TrueCryptは、すべての主要なデスクトップOS(Windows、Mac、Linux)で利用可能です。無料なので、ライセンスコストを心配する必要はありません。オープンソースなので、現在の開発チームが突然いなくなっても、他の人が開発を引き継ぐことができます。ソース管理システム (個々のパッチとその変更メッセージ) へのパブリックアクセスがないことは、反対のポイントですが

2  Gilles ‘SO- stop being evil’  2010-08-29

コールドブート攻撃はさておき、Truecrypt は 100% 安全ではありません。Truecrypt はブートローダにフォレンジックな痕跡を持っていて、敵(もし彼がコンピュータフォレンジックを知っているなら)にパスワードを与えさせます

1  desperado  2011-03-22

スポンサーリンク
タイトルとURLをコピーしました