TrueCrypt는 정말 안전합니까?

70

나는 오랫동안 TrueCrypt를 사용하고 있습니다. 그러나 누군가 가 라이센스 문제를 설명하는 링크를 가리 켰습니다 .

IANAL은 정말 이해가되지 않았습니다. 그러나 암호화 소프트웨어를 해킹 할 수있는 것이 아니라 신뢰하기 때문에 오픈 소스가되기를 원합니다.

내가 가진 몇 가지 문제는 다음과 같습니다.

  • 소스 코드에 대한 VCS가 없습니다.
  • 변경 로그가 없습니다.
  • 포럼은 나쁜 곳입니다. 그들은 당신이 진짜 질문을하더라도 당신을 금지합니다.
  • TrueCrypt는 누가 실제로 소유합니까?
  • MD5 체크섬을 다루는보고가있었습니다.

솔직히 말해서, TrueCrypt를 사용한 유일한 이유는 오픈 소스이기 때문입니다. 그러나 일부는 옳지 않습니다.

누구든지 TrueCrypt의 보안을 검증 한 적이 있습니까? 정말 걱정해야합니까? 그렇습니다 나는 편집증이다; 암호화 소프트웨어를 사용하면 평생 신뢰합니다.

모든 우려 사항이 사실이라면 TrueCrypt에 대한 다른 오픈 소스 대안이 있습니까?

encryption  truecrypt 
안녕하세요 71
소스
4
좋은 질문입니다. 나는 또한 우려하고 있으며 특히 저자의 익명 성 때문에 어려움을 겪고 있습니다 (동기 부여가 무엇인지 평가하는 것은 불가능합니다). Bruce Schneier가 경쟁 제품에 대한 비즈니스 관심에도 불구하고 자신의 블로그에서 True Crypt에 대해 언급 한 긍정적 인 언급에서 (일부) 위안을 얻습니다.
Will M

답변:

29

기사를 단계별로 살펴 보겠습니다.

누가 TrueCrypt를 썼는지 아무도 모른다. 누가 TC를 관리하는지는 아무도 모릅니다.

그 직후 체코에 거주하는 Tesarik이 상표를 보유하고 있다고 인용했습니다. 상표를 소유 한 사람이 제품을 유지한다고 가정하는 것이 매우 안전합니다.

TC 포럼의 중재자는 질문하는 사용자를 금지합니다.

이것에 대한 증거가 있습니까, 아니면 일화입니까? 그리고 증거로, 나는 1 인칭 증거, 스크린 샷 등을 의미합니다.

TC는 대중을위한 암호화 (E4M)를 기반으로한다고 주장합니다. 또한 공개 소스라고 주장하지만 공개 CVS / SVN 저장소를 유지하지 않습니다.

소스 제어는 분명히 그룹 프로그래밍 프로젝트의 중요한 부분이지만, 반드시없는 것은 그러한 프로젝트의 신뢰성을 떨어 뜨리지 않습니다.

변경 로그를 발행하지 마십시오.

그렇습니다. http://www.truecrypt.org/docs/?s=version-history . 모든 OSS가 단순히 너무 많은 시간을 보내기 때문에 매우 명확한 변경 로그를 게시하지는 않습니다.

그들은 변경 로그 또는 오래된 소스 코드를 요청하는 포럼에서 사람들을 금지합니다.

어리석은 질문이므로 변경 로그가 있고 이전 버전을 이미 사용할 수 있다는 점을 고려하십시오. http://www.truecrypt.org/downloads2

그들은 설명없이 제로 바이너리 (md5 해시 변경)를 자동으로 변경합니다 ...

이 버전은 무엇입니까? 다른 증거가 있습니까? 다운로드 가능한 서명 된 이전 버전?

이 상표는 체코의 한 사람이 보유하고 있습니다 ((REGISTRANT) Tesarik, David INDIVIDUAL CZECH REPUBLIC Taussigova 1170/5 Praha CZECH REPUBLIC 18200).

그래서 무엇? 체코의 누군가가 주요 암호화 기술의 상표를 소유하고 있습니다. 왜 중요한가요?

도메인은 프록시에 의해 비공개로 등록됩니다. 어떤 사람들은 백도어가 있다고 주장합니다.

누구? 어디? 뭐?

누가 알아? 이 사람들은 TC 볼륨을 찾을 수 있다고 말합니다 : http://16systems.com/TCHunt/index.html

스크린 샷의 TC 볼륨은 모두 END WITH .tc입니다.

연락처 페이지에서이 이미지를 본 사람이 있습니까?

TrueCrypt 재단 주소

안녕하세요 71
소스
10
공정하게 말하면 TCHunt는 "TCHunt는 파일 이름과 파일 확장자를 무시합니다."라는 명확한 FAQ 페이지를 가지고 있습니다. 확장 기능은 테스트 목적으로 만 사용됩니다. 이들이 TC 볼륨을 감지하는 데 사용하는 주요 방법은 "콘텐츠가 카이-제곱 분포 테스트를 통과하는 것"입니다. 아이디어는 TC 파일이 실제로는 임의의 데이터와 구별 할 수없는 반면 시스템의 다른 모든 파일은 패턴을 따르기 때문에 단순히 임의의 데이터를 감지하여 TC 볼륨을 감지 할 수 있다는 것입니다.
Ilari Kajaste
5
사이드 코멘트 : 나는 "멍청한"질문을하는 사람들을 금지하는 무례하다고 생각합니다 ...
RCIX
3
@Ilari Kajaste,하지만이 도구는 실제 암호화 볼륨을 GPG 또는 OPENSSL로 직접 암호화 된 볼륨과 구별 할 수 있습니까? 암호화 된 볼륨은 TCHunt에 의해 플래그되어야한다고 생각합니다.
Zoredache
1
@Zoredache : 아니요, 암호화가 강력하기 때문에 결과가 임의의 데이터처럼 보이기 때문에 암호화 방법을 구별 할 수 없습니다. TCHunt는 일부 파일 크기 검사 (모듈로 512)를 가지고 있지만 암호화 된 파일의 크기가 비슷하고 공통 파일 헤더가없는 한 TC 파일로 감지됩니다. TCHunt는 "완벽한"탐지라고 주장하지는 않지만, 임의의 데이터처럼 보이도록 적절히 암호화 된 파일을 탐지 할 수있는 것 같습니다.
Ilari Kajaste
이 TrueCrypt를위한 공용 저장소는 없지만, 소스 코드는 여전히 볼 수 있습니다 : truecrypt.org/downloads2은 .
Olli
18

FBI가 truecrypt로 보호 된 5 개의 하드 드라이브를 해독하지 못했습니다.

http://www.net-security.org/secworld.php?id=9506

http://techie-buzz.com/foss/fbi-fail-decrypt-hard-drive-truecrypt.html

모압
소스
14
FBI 또는 다른 사람이 진정한 암호를 해독하면 내부 고발을 당하게 될 것이라고 생각하는 이유는 무엇입니까?
vtest
6
그들이 그렇지 않다고 생각하는 이유는 무엇입니까? 그들의 자존심은 너무 크지 않습니다.
Moab
여기 다른 이야기가 있습니다. goo.gl/t7pM9
mykhal
@mykhal은 전혀 없습니다. 스페인어 할 줄 아세요? 암호 약점에 의존하는 무차별 대입 공격에 대해 이야기합니다.
kaoD
12

본인은 크랙 할 수없는 다른 암호화의 사용을 줄이기 위해 NSA, CIA 또는 대규모 연방 기관 중 하나가 백도어가있는 암호화를 홍보 할 목적으로 TrueCrypt를 제공 할 수 있다고 생각합니다. 그것이 비밀을 지키는 이유이기 때문에 상용 제품이 아니거나 오픈 소스 개발자의 광범위한 참여에도 불구하고 훌륭한 문서를 갖춘 잘 연마 된 제품이기도합니다.

정부의 목표는 키를 복구 할 수있는 광범위한 암호화 사용을 장려하는 것임을 설명하는이 문서를 참조하십시오. http://www.justice.gov/criminal/cybercrime/cryptfaq.htm

실제로, 행정부는 다양한 기술적 접근 방식을 통해 일반 텍스트에 적시에 액세스 할 수있는 일반 텍스트 복구 시스템의 개발을 포함하여 암호화 된 데이터의 일반 텍스트를 복구 할 수있는 암호화 제품 및 서비스의 설계, 제조 및 사용을 장려합니다. 데이터 소유자 또는 합법적 인 권한하에 행동하는 법 집행 기관 이러한 시스템의 광범위한 사용 만이 데이터를보다 효과적으로 보호하고 공공 안전을 보호 할 수 있습니다.

....

이 부서의 목표와 행정부의 정책은 통신 및 저장된 데이터의 프라이버시를 향상시키는 동시에 강력한 법적 암호화의 개발 및 사용을 촉진하는 동시에 법 집행 기관이 법적으로 승인 된 검색 또는 증거의 일부로 증거에 액세스 할 수있는 능력을 유지하는 것입니다 감시.

...

이와 관련하여 복구 시스템을 제공하는 신뢰성이 높은 암호화를 사용하면 다른 유형의 암호화에 대한 수요가 줄어들고 범죄자가 복구 가능한 암호화를 사용할 가능성이 높아지기를 바랍니다.

마이크로 웨이브
소스
6
-1 이것은 음모론처럼 들립니다. TrueCrypt의 백도어를 믿기 어려워 소스를 조사 할 수 있다는 것을 알았습니다. 귀하의 주장에 대한 증거가 있습니까?
sleske
2
위의 내용을 구성하지 않았습니다. 미국 정부에서 발행 한 웹 페이지에 있습니다. TrueCrypt에 관한 한, 소스를 편집 한 사람들은 바이너리가 TrueCrypt 웹 사이트의 바이너리와 일치하지 않는 것을 관찰합니다. 따라서 바이너리에 백도어를 배치하는 것이 쉬울 것입니다. 소스 코드에서 백도어를 숨기는 것은 쉽지 않지만 불가능하지는 않습니다.
Mike Rowave
4
"이진 파일이 TrueCrypt 웹 사이트의 이진 파일과 일치하지 않는다"는 것은 무엇을 의미합니까? 체크섬이 다르다는 것을 의미한다면 정상입니다. 서로 다른 시간에 동일한 시스템에서 동일한 소스 코드를 컴파일하는 바이너리는 다른 체크섬을 생성합니다.
segfault
4

글쎄, TrueCrypt 프로젝트는 외부인 (명명하지 않은 개발자, 변경 로그 없음)에게 불가 해 / 적대적 인 방식으로 운영 될 수는 있지만 그것이 어떻게 보안과 관련이 있는지는 알 수 없습니다.

이런 식으로 봐 다음의 devs하면 정말 의 TrueCrypt에 백도어를 넣어 사람들 나사 싶어 그들에게 좋은 일하는 사람들이 덜 의심스러운, 그래서 그것이 의미가있다.

다시 말해서, 소프트웨어의 신뢰성 여부는 개발자가 사교적 인 사람인지 아닌지와는 매우 독립적입니다. 소스 코드의 가용성이 보안을 보장하기에 충분하지 않다고 생각되면 코드 감사를 구성해야합니다. TrueCrypt 프로젝트 외부에 소스 코드를 보는 사람들이있을 것이므로 의도적으로 백도어를 숨기는 것이 어려울 수 있지만 숨겨진 버그가있을 수 있습니다. 데비안 OpenSSL 패키지의이 버그는 꽤 오랫동안 눈에 띄지 않았습니다.

썰매
소스
4
선한 행동에 관하여 : 그들은이 주장을 알고 있으므로 의심을 피하기 위해 무례하게 행동해야합니다. 잠깐, 만약 그들이 주장 을 알고 있다면, 그들은 잘 놀아야합니다! 아니, 기다려! 흠, 나는 그것이 불가능하다고 생각합니다.
Peter Jaric
4

누군가가 Truecrypt를 사용하고 있다고 생각한다면 사람이 안전하다는 것을 100 % 확신해야한다고 생각합니다. 인명은 위험하지 않을 수도 있습니다 .iPhone의 Flash Player 또는 Fart 앱이 아닙니다. 응용 프로그램입니다. 실패하면 발견 된 정보로 누군가가 죽임을 의미합니다.

Truecrypt의 무결성이 확실하지 않은 경우 왜이 애플리케이션을 사용합니까?

btw는 의심 할 여지없이 Truecrypt 또는 다른 것에 대한 멍청한 질문입니다.

으악
소스
사람들이 질문하고 소스를 사용할 수있는 앱을 원하십니까? 아니면 아무도 의심하지 않는 멋진 반짝이는 미국 회사가 제공 한 앱입니까?
Martin Beckett
사람들이 만들고자하는 요점은 현재 존재하는 가장 안전한 프로그램이라는 것입니다. 양자 컴퓨팅이 실현 될 때까지 아무도 이것에 의해 보호되는 컨테이너를 깨뜨릴 수 없습니다. truecrypt.org/docs/?s=encryption-scheme
TheLQ
질문하는 것이 잘못되었다는 것을 이해하지 못합니다. Truecrypt 사용 및 알고, 상호 배타적이지 않다는 것에 대해 더 많이 묻는 것은 동시에 존재할 수 있습니다. 응용 프로그램이 강력하면 응용 프로그램에 대해 모든 것을 알고 여전히 데이터를 암호화하는 데 사용할 수 있습니다. 우리는 동의하지 않을 수 있지만 모든 포럼에서 혼란스러워하고 문제를 표시하는 것은 모든 응용 프로그램에서 내게 큰 깃발이지만 Truecrypt와 같은 것은 냉담합니다.
dghughes
"누군가 Truecrypt 사용을 고려하고 있다면 그 사람은 100 % 확실해야합니다."라고 말하고 "왜?" 많은 사람들이 제품이 안전하다는 사실을 거의 또는 전혀 확신하지 않고 많은 제품을 신뢰합니다. 그렇다면 TrueCrypt가 다른 이유는 무엇입니까? 특히 비 기술적 인 최종 사용자의 경우 이는 매우 까다로운 요구 사항입니다 (일반적으로 전문가 또는 제품 문서를 사용하여 결정합니다).
랜돌프 리차드슨
내가 위에서 언급했듯이, 그것을 사용하는 일부 사람들은 그것을 사용하는 삶의 위험이 있기 때문에 일반적인 응용 프로그램이 아니기 때문에 비밀을 지키지 않으면 고문 당하거나 살해 될 수 있습니다.
dghughes
3

나는 몇 년 동안 truecrypt를 사용했으며, 암호화 체계를 살펴보면 지적한 다른 작은 문제는 보안에 아무런 영향을 미치지 않습니다. 15 년의 컴퓨터 엔지니어 / Cryptanalyst조차도 깊은 인상을 받았습니다.

리포지토리가 없다고해서 오픈 소스가 아니라는 의미는 아닙니다. 나는로 향할 수있는 다운로드 섹션 과 현실에서 당신이 찾고있는 무엇을 모든 소스 코드를 얻을.

포럼은 유일한 약점입니다. 나는 화염 전쟁 만 금지령을 보지 못했습니다. 금지에 대한 증거가 있습니까?

TheLQ
소스
6
커밋을 탐색하면 안정된 릴리스의 거대한 차이를 검사하는 것보다 코드 감사가 더 쉬워지기 때문에 공용 저장소에는 많은 신뢰성이 추가됩니다.
vtest
2

지금까지의 답변은 TrueCrypt의 암호화에 얼마나 많은 신뢰를 넣을 수 있는지에 대해 논의했습니다. 문서에 따르면 TrueCrypt는 우수한 암호화 알고리즘을 사용합니다. 그러나 암호화 알고리즘은 보안 집약적 프로그램에서 가장 어려운 부분이 아니기 때문에 이것은 이야기의 일부일뿐입니다. TrueCrypt의 소스 코드를 검토 할 수 있습니다.

기밀 데이터를 보호하기 위해 프로그램을 평가할 때 고려해야 할 다른 사항이 있습니다.

  • 프로그램은 또한 데이터 무결성을 제공 합니까? TrueCrypt는 그렇지 않습니다. 데이터 무결성은 컴퓨터에 임시로 액세스하는 사람이 수정 된 데이터로 데이터를 대체 할 수 없음을 의미합니다. 운영 체제를 보호하는 것이 특히 중요합니다. 누군가 데이터를 사용하는 경우 다음에 입력 할 때 암호를 캡처하기 위해 키로거를 설치하거나 간접적으로 데이터에 액세스하는 것 이외의 다른 맬웨어가있을 수 있습니다. 따라서 그러한 변조를 탐지 할 방법이 없다면 컴퓨터를 방치하지 마십시오 .

  • 프로그램은 얼마나 광범위하게 이용 가능 합니까? TrueCrypt는 그 숫자에 비해 상당히 높은 비율을 나타냅니다. 모든 주요 데스크탑 운영 체제 (Windows, Mac, Linux)에서 사용할 수 있습니다. 무료이므로 라이센스 비용에 대해 걱정할 필요가 없습니다. 현재 개발 팀이 갑자기 사라지면 다른 사람들이 개발에 참여할 수있는 오픈 소스입니다. 널리 사용되므로 현재 팀이 사라지면 누군가 단계적으로 올라갈 수 있습니다. 그러나 소스 제어 시스템 (변경 메시지가 포함 된 개별 패치)에 대한 공개 액세스가 부족하다는 것은 그 반대입니다.


소스
1

콜드 부팅 공격은 제외하고 Truecrypt는 100 % 안전하지 않습니다 . 부트 로더에 법 의학적 흔적이있어 적 (컴퓨터 법의학을 알고있는 경우)이 암호를 제공하게합니다.

불량자
소스
4
이것은 좋은 지적이며 문서에서 이것에 대해 읽은 것을 기억합니다. 그래서 TrueCrypt.org가 숨기지 않고 설명함으로써 공정하게 진행하고 있음을 지적하고 있습니다.
Randolf Richardson
콜드 부팅은 이전 메모리 유형 (예 : ddr2 및 이전 AFAIK)에만 영향을줍니다. DDR3은 컴퓨터 케이스 분리 및 동결 절차를 수행하기에 너무 빠른 전압을 잃습니다. 따라서 문에 응답하기 전에 플러그를 당기십시오.
Stann
1
"부트 로더에 법 의학적 흔적이 있습니다". truecrypt는 또 다른 하나의 내부에 두 번째 암호화 된 볼륨을 추가하여 그럴듯한 거부 가능성 개념을 허용합니다.
스탠
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.