Truecrypt trækker stadig vejret

Selvom udviklerne har droppet krypteringsprojektet Truecrypt og advaret mod at bruge det, er der ingen grund til at antage, at det skulle indeholde store sikkerhedshuller, blandt andet som følge af kode-audits, lyder det fra Gartner.

Som bekendt droppede udviklerne bag krypteringsprogrammet Truecrypt projektet tidligere på året og efterlod en advarsel på hjemmesiden for produktet, om at det kunne indeholde sikkerhedshuller. Men der er tilsyneladende stadig liv i Truecrypt, fortæller eSecurity Planet.

Blandt andet er der ved at blive foretaget en decideret audit af koden, og nu er første del af den proces, en gennemgang af Truecrypt-bootloaderes og Windows kernel-driveren, overstået.

Ingen alvorlige sikkerhedsproblemer blev opdaget, selvom der var andre skavanker, heriblandt manglende kode-kommentering.

Næste del af audit er undervejs og består af en formel krypteringsanalyse.

Læs også: Fortsat mystik om Truecrypt-kryptering: Stadig eneste mulighed i Amazons sky

eSecurity Planet stiller spørgsmålet, hvorvidt virksomheder bør stoppe med at bruge TrueCrypt, når nu folkene bag siger det. Med tiden, lyder svaret fra analytiker ved Gartner Mario de Boer.

»Ikke-understøttet software medfører før eller siden problemer. Men jeg synes ikke, der er nogen grund til at forhaste sig. I dette øjeblik er der ingen grund til at antage, at der er store sikkerhedsproblemer. Og jeg går også ud fra, at hvis auditeringen afslører en fejl, vil det være muligt at løse den, og nogen vil gøre det,« siger Boar til eSecurity Planet og understreger, at han endnu ikke har set reviewet af den kryptografiske del af koden.

Derudover er et schweizisk projekt, kaldet CipherShed, der bygger videre på Truecrypt-koden også undervejs.

Det er planen, at Ciphershed på et tidspunkt bliver frigivet under en standard open source-licens, selvom det endnu ikke er besluttet hvilken.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Lars Hvidegaard

Der er flere separate audits af TrueCrypt igang. Se fx http://www.noobslab.com/2014/06/first-audit-report-of-truecrypt-is.html

De første resultater ser også fornuftige ud, men vær lige opmærksom på at man nok bør holde sig til version 7.1a. Inden de gav op efterlod udviklerne indikatorer i sourcekoden til 7.2 på at der er lusk med i spillet nu.

Der er "canaries" til stede i koden, foruddefinerede til at indikere at de er under pres, specifikt "under nation-state adversary duress or that they have been served with an NSL (National Security Letter)".

Der er 3 separate indikatorer i koden til 7.2 - det sker ikke tilfældigt. Så, vær særdeles varsom med at bruge 7.2!

Det er spændende at se, hvad der evt. kommer af forks... men det er nok også på sin plads at have lidt sund skepsis overfor dem :)

  • 3
  • 0
#2 Henrik Pedersen

Jeg stoler på deres AES implementering var i orden, siden at NSA har haft så store problemer med det at de nu har fået dem til at stoppe (hvem kunne ellers havde gjort det?) Jeg bruger Truecrypt sammen med filevault og søger gerne et uafhængigt lag mere da jeg ikke føler jeg kan stole helt på Filevault, og truecrypt vil nu med tiden blive usikkert.

Irriterende fordi jeg brugte det til forretningshemmeligheder og så kunne de snildt backes up i dropbox eller lignende bagefter. Jaja.. fuck det her overvågningssamfund hvor god (problematisk for big brother) software bare skal dø.

  • 3
  • 0
#3 Johnny Olesen
  • 2
  • 0
Log ind eller Opret konto for at kommentere