TrueCrypt - TrueCrypt
 | |
 TrueCrypt Windowsissa (lopetettu)
| |
| Kehittäjä (t) | TrueCrypt Foundation |
|---|---|
| Ensimmäinen julkaisu | Helmikuu 2004 |
| Lopullinen julkaisu | 7.2 / 28.5.2014 (lopetettu) |
| Kirjoitettu sisään | C , C ++ , kokoonpano |
| Käyttöjärjestelmä | Windows , macOS , Linux |
| Koko | 3,30 Mt |
| Saatavilla | 38 kieltä |
Luettelo kielistä
Englanti, arabia, baski, valkovenäjä, bulgaria, burma, katalaani, kiina (yksinkertaistettu), kiina (Hongkong), kiina (Taiwan), tšekki, tanska, hollanti, viro, suomi, ranska, georgia, saksa, kreikka, unkari, Indonesia, italia, japani, korea, latvia, norja (Nynorsk), persia, puola, portugali (Brasilia), venäjä, slovakki, sloveeni, espanja, ruotsi, turkki, ukraina, uzbekki (kyrillinen), vietnam
| |
| Tyyppi | Levyn salausohjelmisto |
| Lisenssi | TrueCrypt License 3.1 ( lähde saatavilla oleva ilmainen ohjelmisto ) |
| Verkkosivusto |
www 
|
TrueCrypt on lopetettu lähdekoodin ilmainen apuohjelma, jota käytetään lennon salaukseen (OTFE). Se voi luoda virtuaalisen salatun levyn tiedostoon tai salata osion tai koko tallennuslaitteen ( käynnistystä edeltävä todennus ).
TrueCrypt -sivusto ilmoitti 28. toukokuuta 2014, että projektia ei enää ylläpidetty ja että käyttäjät suosittelivat vaihtoehtoisten ratkaisujen löytämistä. Vaikka TrueCryptin kehittäminen on lopetettu, TrueCryptin riippumaton tarkastus (julkaistu maaliskuussa 2015) on todennut, että merkittäviä puutteita ei ole. Kehitys jatkuu kahdella haarukalla, VeraCrypt ja CipherShed.
Historia
TrueCrypt julkaistiin alun perin versiona 1.0 helmikuussa 2004, joka perustuu E4M: ään (Encryption for the Masses). Siitä lähtien on tehty useita versioita ja monia muita pieniä julkaisuja, joista uusin versio on 7.1a.
E4M ja SecurStar kiistelevät
TrueCryptin alkuperäinen julkaisu tehtiin nimettömillä kehittäjillä nimeltä "TrueCrypt Team". Pian sen jälkeen, kun versio 1.0 julkaistiin vuonna 2004, TrueCrypt -tiimi ilmoitti vastaanottaneensa sähköpostin tietoturvayrityksen SecurStarin johtajalta Wilfried Hafnerilta. TrueCrypt -tiimin mukaan Hafner väitti sähköpostissa, että E4M: n tunnustettu kirjoittaja, kehittäjä Paul Le Roux , oli varastanut lähdekoodin SecurStarilta työntekijänä. Lisäksi todettiin, että Le Roux jakoi laittomasti E4M: ää ja kirjoitti laittoman lisenssin, jonka avulla kuka tahansa voi perustaa johdannaistyön koodiin ja levittää sitä vapaasti. Hafner väittää, että kaikki E4M -versiot ovat aina kuuluneet vain SecurStarille, eikä Le Rouxilla ollut oikeutta julkaista sitä tällaisen lisenssin nojalla.
Tämä johti siihen, että TrueCrypt -tiimi lopetti välittömästi TrueCryptin kehittämisen ja jakelun, jonka he ilmoittivat verkossa usenetin kautta . TrueCrypt -tiimin jäsen David Tesařík totesi, että Le Roux ilmoitti tiimille, että hänen ja SecurStarin välillä oli oikeudellinen kiista ja että hän sai oikeudellista neuvontaa olla kommentoimatta tapauksen asioita. Tesařík totesi, että jos TrueCrypt -tiimi jatkaa TrueCryptin jakelua, Le Roux voidaan lopulta saattaa vastuuseen ja joutua maksamaan siitä aiheutuvat vahingot SecurStarille. Jotta hän voisi jatkaa vilpittömässä mielessä, hänen mukaansa tiimin on tarkistettava E4M -lisenssin voimassaolo. Koska Le Roux halusi kuitenkin olla hiljaa asiasta, hän ei voinut vahvistaa tai kieltää sen legitiimiyttä pitäen TrueCrypt -kehityksen epävarmana.
Tämän jälkeen mahdolliset vierailijat ilmoittivat vaikeuksista päästä TrueCrypt-verkkosivustolle, ja kolmannen osapuolen peilit ilmestyivät verkkoon, jolloin lähdekoodi ja asennusohjelma olivat jatkuvasti käytettävissä TrueCrypt-tiimin virallisten pakotteiden ulkopuolella.
Verkkosivustonsa FAQ -osiossa SecurStar säilyttää omistusoikeutensa sekä E4M: ään että Scramdiskiin , joka on toinen ilmainen salausohjelma. Yhtiö toteaa, että näillä tuotteilla SecurStarilla "oli pitkät perinteet avoimen lähdekoodin ohjelmistoista", mutta että "kilpailijoilla ei ollut muuta tekemistä kuin varastaa lähdekoodimme", mikä sai yrityksen tekemään tuotteistaan suljetun lähdekoodin ja pakottamaan asiakkaat voivat tehdä merkittävän tilauksen ja allekirjoittaa salassapitosopimuksen ennen kuin he voivat tarkistaa koodin turvallisuuden vuoksi.
Le Roux itse on kiistänyt TrueCryptin kehittämisen oikeudenkäynnissä maaliskuussa 2016, jossa hän myös vahvisti kirjoittaneensa E4M: n.
Versio 2.0
Kuukautta myöhemmin, 7. kesäkuuta 2004, TrueCrypt 2.0 julkaistiin. Uusi versio sisälsi erilaisen digitaalisen allekirjoituksen kuin alkuperäinen TrueCrypt -tiimi, ja kehittäjiä kutsutaan nyt "TrueCrypt Foundationiksi". Ohjelmistolisenssien myös muutettiin avoimen lähdekoodin GNU General Public License (GPL). Koska ohjelmisto muodostaa kuitenkin laajan valikoiman komponentteja, joilla on eri lisenssit, ja ohjelman julkaisun laillisuuden kiistanalainen luonne, muutama viikko myöhemmin 21. kesäkuuta versio 2.1 julkaistiin alkuperäisen E4M -lisenssin alla mahdollisten ongelmien välttämiseksi GPL -lisenssiin.
Ohjelmiston versio 2.1a julkaistiin 1. lokakuuta 2004 truecrypt.sourceforge.net aliverkkotunnuksella . Toukokuuhun 2005 mennessä alkuperäinen TrueCrypt -verkkosivusto palasi ja truecrypt.sourceforge.net uudelleenohjasi vierailijat truecrypt.org.
Ilmoitus elämän lopusta
28. toukokuuta 2014 TrueCrypt virallisilla verkkosivuilla, truecrypt.orgalkoi suuntaamalla kävijöitä truecrypt.sourceforge.netkanssa HTTP 301 "siirretty pysyvästi" status , joka varoitti, että ohjelmisto voi olla epävakioita turvallisuuskysymyksiä, ja että kehitys TrueCrypt oli päättyi toukokuussa 2014 seuraavaa Windows XP: n tuen loppu. Viestissä todettiin, että uusimmissa Windows-versioissa on sisäänrakennettu tuki BitLocker- salausta käyttävälle levylle ja että Linuxilla ja OS X: llä on samankaltaisia sisäänrakennettuja ratkaisuja, jotka sanoman mukaan tekevät TrueCryptin tarpeettomaksi. Sivu suosittelee, että kaikki TrueCryptin salaamat tiedot siirretään muihin salausasetuksiin ja tarjotaan ohjeita BitLockeriin siirtymisestä. Ohjelmiston SourceForge -projektisivu sourceforge.net/truecryptpäivitettiin näyttämään sama alkuperäinen viesti, ja tila muutettiin "ei -aktiiviseksi". Sivu ilmoitti myös uudesta ohjelmistoversiosta, 7.2, joka sallii vain salauksen purkamisen.
Ilmoituksen ja uuden ohjelmiston aitous kyseenalaistettiin aluksi. Tekniikkayhteisössä syntyi useita teorioita, jotka yrittivät selittää ilmoituksen syyn.
Pian TrueCryptin käyttöiän päättymisen jälkeen Gibson Research Corporation julkaisi ilmoituksen otsikolla "Kyllä ... TrueCrypt on edelleen turvallinen käyttää" ja lopullisen julkaisutietokannan isännöidäkseen TrueCryptin viimeistä virallista, vammautumatonta versiota 7.1a.
Käyttöjärjestelmät
TrueCrypt tukee Windows- , OS X- ja Linux -käyttöjärjestelmiä. Näiden käyttöjärjestelmien sekä 32- että 64-bittisiä versioita tuetaan, paitsi Windows IA-64 (ei tuettu) ja Mac OS X 10.6 Snow Leopard (toimii 32-bittisenä prosessina). Windows 7-, Windows Vista- ja Windows XP -versio voi salata käynnistysosion tai koko käynnistysaseman.
Riippumattomat toteutukset
On riippumaton, yhteensopivan toteutuksen, tcplay , sillä DragonFly BSD ja Linux .
Dm-crypt moduuli sisältyy oletus Linux-ytimen tukee TrueCrypt kohde nimeltä "TCW" koska Linux-versio 3.13.
Salausjärjestelmä
Algoritmit
TrueCryptin tukemat yksittäiset salaukset ovat AES , Serpent ja Twofish . Lisäksi saatavilla on viisi erilaista kaskadoitujen algoritmien yhdistelmää : AES-Twofish, AES-Twofish-Serpent, Serpent-AES, Serpent-Twofish-AES ja Twofish-Serpent. Tiiviste käytettävissä TrueCrypt ovat RIPEMD-160 , SHA-512 , ja Whirlpool .
Toimintatavat
TrueCrypt käyttää tällä hetkellä XTS -toimintatilaa . Tätä ennen TrueCrypt käytti LRW -tilaa versioissa 4.1 - 4.3a ja CBC -tilaa versioissa 4.0 ja aiemmissa. XTS -tilan uskotaan olevan turvallisempi kuin LRW -tila, joka puolestaan on turvallisempi kuin CBC -tila.
Vaikka uusia asemia voidaan luoda vain XTS -tilassa, TrueCrypt on taaksepäin yhteensopiva vanhempien, LRW -tilaa ja CBC -tilaa käyttävien tilavuuksien kanssa. Uudemmat versiot antavat turvallisuusvaroituksen asennettaessa CBC -tilan asemia ja suosittelevat niiden korvaamista uusilla taltioilla XTS -tilassa.
Avaimet
Otsikkoavain ja toissijainen otsikkoavain (XTS-tila) luodaan käyttämällä PBKDF2: ta, jossa on 512- bittinen suola ja 1000 tai 2000 iteraatiota, riippuen käytetystä tiivisteestä.
Todennäköistä kieltäytymistä
TrueCrypt tukee käsitettä, jonka nimi on uskottava deniability , sallimalla yhden "piilotetun aseman" luomisen toiseen taltioon. Lisäksi TrueCryptin Windows -versiot voivat luoda ja käyttää piilotettua salattua käyttöjärjestelmää, jonka olemassaolo voidaan kieltää .
TrueCrypt -dokumentaatiossa luetellaan monia tapoja, joilla TrueCryptin piilotetut äänenvoimakkuusominaisuudet voivat vaarantua (esim. Kolmannen osapuolen ohjelmistot, jotka voivat vuotaa tietoja väliaikaisten tiedostojen, pikkukuvien jne. Kautta salaamattomille levyille), ja mahdollisia tapoja välttää tämä. Vuonna 2008 julkaistussa artikkelissa, joka keskittyi silloiseen uusimpaan versioon (v5.1a) ja sen uskottavaan kiistämiseen, Bruce Schneierin johtama tietoturvatutkijaryhmä toteaa, että Windows Vista , Microsoft Word , Google Desktop ja muut tallentavat tietoja salaamattomille levyille , mikä saattaa vaarantaa TrueCryptin uskottavan kielteisyyden. Tutkimus ehdotti piilotetun käyttöjärjestelmän toiminnallisuuden lisäämistä; tämä ominaisuus lisättiin TrueCrypt 6.0: een. Kun piilotettu käyttöjärjestelmä on käynnissä, TrueCrypt tekee myös paikallisista salaamattomista tiedostojärjestelmistä ja ei-piilotetuista TrueCrypt-taltioista vain luku -muotoisia tietojen vuotojen estämiseksi. Tämän ominaisuuden toteutuksen turvallisuutta ei arvioitu, koska TrueCryptin ensimmäinen versio, jossa oli tämä vaihtoehto, oli vasta julkaistu.
Schneier et ai. Aikaisemmassa TrueCrypt -versiossa oli toiminnallinen arvio piilotettujen volyymien kiistävyydestä. joka havaitsi turvallisuusvuotoja.
TrueCrypt -volyymien tunnistaminen
Analysoitaessa TrueCrypt -asemat eivät näytä sisältävän otsikkoa ja sisältävät satunnaisia tietoja. TrueCrypt-taltioiden koot ovat 512-kertaisia salausmuodon lohkokoon vuoksi, ja avaintiedot ovat joko 512 tavua, jotka on tallennettu erikseen järjestelmän salauksen tapauksessa tai kaksi 128 kt: n otsikkoa muille kuin järjestelmille. Oikeuslääketieteen työkalut voivat käyttää näitä tiedostokoko -ominaisuuksia, otsikon ilmeistä puuttumista ja satunnaisuustestit TrueCrypt -asemien tunnistamiseksi. Vaikka nämä ominaisuudet antavat aihetta epäillä tiedoston olevan TrueCrypt -taltio, on kuitenkin olemassa joitakin ohjelmia, joiden tarkoituksena on poistaa tiedostot turvallisesti käyttämällä tiedoston sisällön korvaamistapaa ja vapaata levytilaa puhtaasti satunnaisilla tiedoilla ( eli "silppua" ja "kuorinta"), mikä luo kohtuullisen epäilyksen vastustaakseen syytöksiä, joiden mukaan tilastollisesti satunnaisista tiedoista koostuva tiedosto julistetaan TrueCrypt -tiedostoksi.
Jos järjestelmäasema tai sen osio on salattu TrueCryptillä, vain kyseisen osion tiedot ovat kiellettyjä. Kun TrueCrypt -käynnistyslatain korvaa tavallisen käynnistyslataimen, aseman offline -analyysi voi määrittää positiivisesti, että TrueCrypt -käynnistyslatain on läsnä, ja johtaa siten loogiseen johtopäätökseen, että myös TrueCrypt -osio on läsnä. Vaikka on olemassa ominaisuuksia, jotka hämärtävät sen tarkoituksen (esim. BIOS-tyyppisen viestin näyttäminen tarkkailijan harhaan ohjaamiseksi, kuten "Ei-järjestelmälevy" tai "levyvirhe"), ne vähentävät TrueCrypt-käynnistyslataimen toimintoja eivätkä piilota TrueCrypt -käynnistyslataimen sisältö offline -analyysistä. Tässäkin tapauksessa piilotetun käyttöjärjestelmän käyttö on ehdotettu menetelmä kielteisyyden säilyttämiseksi.
Esitys
TrueCrypt tukee Rinnakkaisten salaus moniytimisiä järjestelmiä sekä Microsoft Windows, liukuhihnaoperaatiot lukea / kirjoittaa toiminta (eräänlainen asynkroninen käsittely) vähentää suorituskykyä osuma salauksen ja salauksen. Uudemmissa AES-NI-käskyä tukevissa suorittimissa TrueCrypt tukee laitteistokiihdytettyä AES-tekniikkaa suorituskyvyn parantamiseksi entisestään. Levyn salauksen suorituskykyvaikutus on erityisen havaittavissa toiminnoissa, joissa normaalisti käytettäisiin suoraa muistin käyttöoikeutta (DMA), koska kaiken datan täytyy kulkea suorittimen läpi salauksen purkamisen sijasta sen sijaan, että se kopioidaan suoraan levyltä RAM -muistiin.
Tom's Hardwaren suorittamassa testissä , vaikka TrueCrypt on hitaampi kuin salaamaton levy, reaaliaikaisen salauksen yleiskustannukset todettiin samanlaisiksi riippumatta siitä, onko käytössä keskitasoinen tai uusin laitteisto, ja tämä vaikutus oli "varsin hyväksyttävä". Toisessa artikkelissa havaittiin, että suorituskykykustannukset olivat huomaamattomia työskennellessään "suosittujen työpöytäsovellusten kanssa kohtuullisella tavalla", mutta todettiin, että "tehon käyttäjät valittavat".
Yhteensopimattomuus FlexNet Publisherin ja SafeCastin kanssa
Kolmansien osapuolien ohjelmistojen asentaminen, jotka käyttävät FlexNet Publisheria tai SafeCastia (joita käytetään ohjelmistopiratismin estämiseen Adoben tuotteissa , kuten Adobe Photoshopissa ), voivat vahingoittaa TrueCrypt-käynnistyslatainta TrueCrypt-salaamissa Windows-osioissa/-asemissa ja tehdä asemasta käynnistyskelvottoman. Tämä johtuu siitä, että FlexNet Publisher on kirjoittanut sopimattomasti ensimmäiselle asemaraidalle ja korvannut kaiken siellä olevan muun kuin Windows-käynnistyslataimen.
Turvallisuusongelmat
TrueCrypt on altis useille tunnetuille hyökkäyksille, joita esiintyy myös muissa levyn salausohjelmistoversioissa, kuten BitLocker . Näiden estämiseksi TrueCryptin kanssa jaetut asiakirjat edellyttävät, että käyttäjät noudattavat erilaisia turvatoimenpiteitä. Jotkut näistä hyökkäyksistä on kuvattu alla.
Muistiin tallennetut salausavaimet
TrueCrypt tallentaa avaimet RAM -muistiin; tavallisella tietokoneella DRAM säilyttää sisällön useita sekunteja virran katkeamisen jälkeen (tai kauemmin, jos lämpötila laskee). Vaikka muistin sisällössä olisi jonkin verran heikkenemistä, eri algoritmit voivat älykkäästi palauttaa avaimet. Tätä kylmäkäynnistyshyökkäyksenä tunnettua menetelmää (joka koskisi erityisesti kannettavaa tietokonetta, joka on hankittu käynnistys-, keskeytys- tai näyttölukitustilassa) on käytetty onnistuneesti TrueCrypt-suojatun tiedostojärjestelmän hyökkäykseen.
Fyysinen turvallisuus
TrueCrypt -dokumentaatiossa todetaan, että TrueCrypt ei pysty suojaamaan tietoja tietokoneella, jos hyökkääjä on käyttänyt niitä fyysisesti ja käyttäjä käyttää TrueCrypt -ohjelmaa uudelleen vaarantuneella tietokoneella (tämä ei koske tavallista tapausta varastetusta, kadonneesta tai takavarikoidusta tietokoneesta). . Hyökkääjä, jolla on fyysinen pääsy tietokoneeseen, voi esimerkiksi asentaa laitteiston/ohjelmiston keyloggerin , väylänhallintalaitteen, joka kerää muistia , tai asentaa minkä tahansa muun haitallisen laitteiston tai ohjelmiston , jolloin hyökkääjä voi kaapata salaamattomia tietoja (mukaan lukien salausavaimet ja salasanat) ) tai salatun datan salauksen purkamiseen käyttämällä kaapattuja salasanoja tai salausavaimia. Siksi fyysinen turvallisuus on turvallisen järjestelmän perusedellytys. Tällaisia hyökkäyksiä kutsutaan usein " pahan piikahyökkäyksiksi ".
Haittaohjelma
TrueCrypt -dokumentaatiossa todetaan, että TrueCrypt ei voi suojata tietokoneen tietoja, jos siihen on asennettu haittaohjelmia . Haittaohjelmat voivat kirjata näppäinpainalluksia ja paljastaa siten salasanat hyökkääjälle.
"Kivitetty" bootkit
"Stoned" bootkit , An MBR rootkit esittämä itävaltalainen ohjelmistokehittäjä Peter Kleissner klo Black Hat Tekninen turvallisuuspoliittiseen konferenssiin USA 2009, on osoitettu, kykenee peukaloinnista TrueCrypt MBR tehokkaasti ohittaen TrueCrypt n täysillä salausta . Tällainen hyökkäys vaikuttaa mahdollisesti kaikkiin kiintolevyn salausohjelmistoihin, jos salausohjelmisto ei perustu laitteistopohjaisiin salaustekniikoihin, kuten TPM , tai jos hyökkäys tehdään järjestelmänvalvojan oikeuksilla salatun käyttöjärjestelmän ollessa käynnissä.
On olemassa kahdenlaisia hyökkäysskenaarioita, joissa on mahdollista käyttää tätä käynnistyspakettia haitallisesti: ensimmäisessä käyttäjän on käynnistettävä käynnistyspaketti järjestelmänvalvojan oikeuksilla, kun tietokone on jo käynnistynyt Windowsiin; toisessa, kuten laitteiston keyloggerit , haitallinen henkilö tarvitsee fyysisen pääsyn käyttäjän TrueCrypt-salattuun kiintolevyyn: tässä yhteydessä tätä tarvitaan käyttäjän TrueCrypt MBR: n muokkaamiseen Stoned bootkitin kanssa ja sitten kiintolevyn asettaminen takaisin tietämättömän käyttäjän tietokoneessa, joten kun käyttäjä käynnistää tietokoneen ja kirjoittaa TrueCrypt -salasanansa käynnistyksen yhteydessä, "Stoned" -käynnistyspaketti sieppaa sen sen jälkeen, koska siitä hetkestä lähtien Stoned -käynnistyspaketti ladataan ennen TrueCryptin MBR: tä käynnistyksessä järjestyksessä. Ensimmäiset hyökkäystyypit voidaan estää tavalliseen tapaan hyvillä tietoturvakäytännöillä, esim. Vältä käyttämästä epäluotettavia suoritettavia tiedostoja, joilla on järjestelmänvalvojan oikeudet. Käyttäjä voi onnistuneesti neutraloida toisen, jos hän epäilee, että salattu kiintolevy on saattanut olla fyysisesti jonkun, johon hän ei luota, käynnistämällä salatun käyttöjärjestelmän TrueCryptin pelastuslevyllä sen sijaan, että käynnistäisi sen suoraan kiintolevylle. Pelastuslevyn avulla käyttäjä voi palauttaa TrueCryptin MBR -levyn kiintolevylle.
Luotettu alustamoduuli
TrueCrypt -verkkosivuston FAQ -osiossa todetaan, että Trusted Platform Module (TPM) -järjestelmään ei voi luottaa turvallisuuden vuoksi, koska jos hyökkääjällä on fyysinen tai hallinnollinen pääsy tietokoneeseen ja käytät sitä myöhemmin, hyökkääjä on voinut muokata tietokonetta esim. haittaohjelmaa, kuten laitteiston näppäinpainallusta, olisi voitu käyttää salasanan tai muiden arkaluonteisten tietojen kaappaamiseen. Koska TPM ei estä hyökkääjää muuttamasta tietokonetta haitallisesti, TrueCrypt ei tue TPM: ää.
Turvatarkastukset
Vuonna 2013 jatko -opiskelija Concordia -yliopistossa julkaisi yksityiskohtaisen online -raportin, jossa hän toteaa vahvistaneensa version 7.1a jaettujen Windows -binaaritiedostojen eheyden.
Joukkorahoituskampanja TrueCryptin riippumattoman turvatarkastuksen suorittamiseksi rahoitettiin onnistuneesti lokakuussa 2013. Voittoa tavoittelematon organisaatio nimeltä Open Crypto Audit Project (OCAP) perustettiin ja kutsui itseään "yhteisölähtöiseksi maailmanlaajuiseksi aloitteeksi, joka kasvoi ensimmäinen kattava julkinen tarkastus ja kryptoanalyysi laajalti käytetystä salausohjelmistosta TrueCrypt ". Organisaatio otti yhteyttä TrueCrypt -kehittäjiin, jotka suhtautuivat tarkastukseen myönteisesti. Tarkastuksen vaihe I saatiin onnistuneesti päätökseen 14. huhtikuuta 2014, koska siinä ei havaittu "todisteita takaovista tai haitallisesta koodista". Yksi tilintarkastajista Matthew D. Green lisäsi: "Minusta on hyvä, ettemme löytäneet mitään erittäin kriittistä."
Päivä TrueCryptin käyttöiän päättymisilmoituksen jälkeen OCAP vahvisti, että tarkastus jatkuu suunnitellusti.Vaiheen II odotetaan alkavan kesäkuussa 2014 ja päättyvän syyskuun loppuun mennessä. Vaiheen II tarkastus viivästyi, mutta NCC Cryptography Services sai sen päätökseen 2. huhtikuuta 2015 . Tämä tarkastus "ei löytänyt todisteita tahallisista takaovista tai vakavista suunnitteluvirheistä, jotka tekisivät ohjelmistosta turvattoman useimmissa tapauksissa." Ranskan kansallinen tietojärjestelmien turvallisuusvirasto (ANSSI) totesi, että vaikka TrueCrypt 6.0 ja 7.1a ovat aiemmin saaneet ANSSI -sertifioinnin, siirtymistä vaihtoehtoiseen sertifioituun tuotteeseen suositellaan varotoimenpiteenä.
Mukaan Gibson Research Corporation , Steven Barnhart kirjoitti sähköpostiosoite TrueCrypt Foundation jäsen hän oli käytetty aiemmin ja saanut useita vastauksia "David". Barnhartin mukaan sähköpostiviestien pääkohdat olivat, että TrueCrypt -säätiö oli "tyytyväinen tarkastukseen, se ei herättänyt mitään" ja että ilmoituksen syy oli, että "ei ole enää kiinnostusta [ylläpitää projekti]. "
29. syyskuuta 2015 julkaistun tutkimuksen mukaan TrueCrypt sisältää kaksi haavoittuvuutta ohjaimessa, jonka TrueCrypt asentaa Windows -järjestelmiin, mikä mahdollistaa hyökkääjän mielivaltaisen koodin suorittamisen ja etuoikeuksien laajentamisen DLL -kaappauksen avulla. Tammikuussa 2016 haavoittuvuus korjattiin VeraCryptissä , mutta se on korjaamaton TrueCryptin ylläpitämättömissä asennusohjelmissa.
Oikeudelliset asiat
Operaatio Satyagraha
Heinäkuussa 2008 useita TrueCrypt-suojattuja kiintolevyjä takavarikoitiin brasilialaiselta pankkiirilta Daniel Dantasilta , jota epäillään talousrikoksista. Brasilian kansallinen kriminologian instituutti (INC) yritti epäonnistuneesti viiden kuukauden ajan saada pääsyn TrueCrypt-suojattujen levyjen tiedostoihin. He käyttivät FBI: n apua , joka käytti sanakirjahyökkäyksiä Dantasin levyjä vastaan yli 12 kuukautta, mutta eivät silti pystyneet purkamaan niitä.
Yhdysvallat vastaan John Doe
Vuonna 2012 Yhdysvaltojen 11. piirioikeus valitti, että John Doe TrueCrypt -käyttäjää ei voida pakottaa purkamaan useiden kiintolevyjen salauksia. Tuomioistuimen tuomiossa todettiin, että FBI: n oikeuslääketieteen tutkijat eivät pystyneet pääsemään TrueCryptin salauksen ohi (ja siksi he eivät päässeet tietoihin), ellei Doe joko purkanut asemien salausta tai antanut FBI: lle salasanaa, ja tuomioistuin katsoi, että Doen viides muutosoikeus jäädä hiljainen laillisesti esti hallitusta tekemästä niin.
David Miranda
18. elokuuta 2013 David Miranda , kumppani toimittaja Glenn Greenwald, pidätettiin Lontoon Heathrow'n lentokentän mukaan Metropolitan Police samalla matkalla Rio de Janeiro alkaen Berliini . Hän kantoi hänen kanssaan ulkoinen kovalevy sanotaan arkaluonteisia asiakirjoja liittyvät 2013 maailmanlaajuisen sieppaamisen paljastukset herättämän Edward Snowden . Aseman sisältö salattiin TrueCryptillä, jonka viranomaisten mukaan "tekee materiaalista erittäin vaikea päästä käsiksi". Etsivä superintendentti Caroline Goode totesi, että kiintolevyllä oli noin 60 gigatavua dataa, "joista vain 20 on tähän mennessä käytetty". Lisäksi hän totesi, että materiaalin dekoodausprosessi oli monimutkainen ja "toistaiseksi vain 75 asiakirjaa on rekonstruoitu sen jälkeen, kun omaisuus alun perin saatiin."
Guardianin avustaja Naomi Colvin päätteli, että lausunnot olivat harhaanjohtavia ja totesi, että oli mahdollista, että Goode ei edes viitannut mihinkään todelliseen salattuun materiaaliin, vaan pikemminkin poistettuihin tiedostoihin, jotka on rekonstruoitu salaamattomasta, kohdistamattomasta kiintolevytilasta, tai jopaMirandan henkilökohtaisista tavaroista peräisin olevista selkeistä asiakirjoista. Glenn Greenwald tuki tätä arviota haastattelussa Democracy Now! mainitsemalla, että Yhdistyneen kuningaskunnan hallitus teki valituslupapyynnön, jossa hän pyysi tuomioistuinta sallimaan Mirandan tavaroiden hallussapidon. Pyynnön perustelut olivat, että he eivät voineet rikkoa salausta ja pääsivät käsiksi vain 75 hänen mukanaan pitämäänsä asiakirjaan, joista Greenwald sanoi, että "joista suurin osa liittyy todennäköisesti hänen koulutyöhönsä ja henkilökohtaiseen käyttöönsä".
James DeSilva
Helmikuussa 2014 Arizona laitos Kiinteistöt IT -osasto työntekijää, James DeSilva, pidätettiin maksuista ja seksuaalista hyväksikäyttöä alaikäisen jakamalla sisältäviä kuvia kautta Internetissä . Hänen tietokoneensa, joka oli salattu TrueCryptillä, takavarikoitiin, ja DeSilva kieltäytyi paljastamasta salasanaa. Oikeuslääketieteen tutkijat Maricopan piirikunnan sheriffin toimistosta eivät päässeet käsiksi hänen tallennettuihin tiedostoihinsa.
Lauri Rakkaus
Lokakuussa 2013 National Crime Agency (NCA) pidätti brittiläis -suomalaisen aktivistin Lauri Lovein syytettynä hakkeroinnista Yhdysvaltain osastolle tai viraston tietokoneelle ja yhdestä syyllisyydestä salaliittoon. Hallitus takavarikoi kaikki hänen elektroniikkansa ja vaati häntä toimittamaan heille tarvittavat avaimet laitteiden salauksen purkamiseksi. Rakkaus kieltäytyi. 10. toukokuuta 2016 käräjäoikeus ( magistrate's Court ) hylkäsi kansallisen toimivaltaisen viranomaisen pyynnön, jonka mukaan Love joutuisi luovuttamaan salausavaimensa tai salasanansa TrueCrypt -tiedostoille SD -kortilla ja kiintolevyillä, jotka kuuluivat takavarikoituun omaisuuteen.
Humalassa
Etelä -Korean Drukingin erityissyyttäjän tutkinnassa erikoissyyttäjä purki joidenkin TrueCryptin salaamien tiedostojen salauksen arvaamalla salasanan .
Erikoissyyttäjä sanoi, että piilotettuja määriä oli erityisen vaikea käsitellä. Hän purkasi joidenkin salattujen tiedostojen salauksen yrittämällä sanoja ja lauseita, joita humalaryhmä oli käyttänyt muualla osana salasanaa, jotta he voisivat tehdä perusteltuja arvauksia .
Lisenssi ja lähdemalli
TrueCrypt julkaistiin TrueCrypt-ohjelmiston ainutlaatuisen lähdevalmisteen "TrueCrypt-lisenssin" alla. Se ei ole osa kirjo laajasti käytetty avoimen lähdekoodin lisenssejä eikä ole ilmainen ohjelmistolisenssin mukaan Free Software Foundation (FSF) lisenssin luetteloon, koska se sisältää jakelu- ja tekijänoikeudella vastuuta koskeviin rajoituksiin. Versiosta 7.1a lähtien (ohjelmiston viimeinen täysi versio, julkaistu helmikuussa 2012) TrueCrypt -lisenssi oli versio 3.0.
Keskustelu avoimen lähdekoodin aloitteen (OSI) lisenssikeskustelulistalta lokakuussa 2013 saaduista lisenssiehdoista viittaa siihen, että TrueCrypt-lisenssi on edistynyt kohti avoimen lähdekoodin määritelmän noudattamista, mutta se ei vielä läpäisty, jos sitä ehdotetaan sertifioitavaksi avoimena lähdekoodina ohjelmisto.
OSI : n nykyisen presidentin Simon Phippsin mukaan :
... [TrueCrypt] ei ole lainkaan sopivaa kuvata itseään "avoimena lähdekoodina". Tätä termiä "avoin lähdekoodi" ei voida käyttää kuvaamaan jotain lisenssin alaista, jota OSI ei ole hyväksynyt mutta jonka tiedetään olevan alttiina ongelmille.
Koska TrueCrypt -lisenssi on kyseenalainen tekijänoikeusrajoitusten ja muiden mahdollisten oikeudellisten ongelmien suhteen, sitä ei pidetä " ilmaisena " useissa suurissa Linux -jakeluissa, joten se ei sisälly Debianiin, Ubuntuun, Fedoraan tai openSUSEen.
Lisenssin sanamuoto herättää epäilyksiä siitä, onko sen käyttäjillä oikeus muuttaa sitä ja käyttää sitä muissa hankkeissa. Salakirjoittaja Matthew Green totesi, että "monet asiat [kehittäjät] olisivat voineet tehdä helpottaakseen ihmisten saada tätä koodia haltuunsa, mukaan lukien lisensointitilanteen korjaaminen", ja arvelee, että koska he eivät tehneet näitä asioita ( mukaan lukien lisenssin tekeminen ystävällisemmäksi), niiden tarkoituksena oli estää ketään rakentamasta koodiaan tulevaisuudessa.
Käyttöiän loppu ja lisenssiversio 3.1
28. toukokuuta 2014 ilmoitus TrueCryptin lopettamisesta tuli myös ohjelmiston uudella versiolla 7.2. Edellisen julkaisun lähdekoodiin tehtyjen monien muutosten joukossa oli muutoksia TrueCrypt -lisenssiin - mukaan lukien TrueCryptin määrittämistä edellyttäneen kielen poistaminen sekä linkki viralliselle verkkosivustolle, joka sisällytetään kaikkiin johdannaistuotteisiin - muodostaen lisenssiversion 3.1.
16. kesäkuuta 2014 ainoa väitetty TrueCrypt -kehittäjä, joka vastasi edelleen sähköpostiin, vastasi Matthew Greenin viestiin, jossa pyydettiin lupaa käyttää TrueCrypt -tavaramerkkiä haarukassa, joka on julkaistu vakiomuotoisen avoimen lähdekoodin lisenssillä. Lupa evättiin, mikä johti kahden tunnetun haarukan nimeen VeraCrypt ja CipherShed sekä uudelleenkäyttöönotto nimeltä tc-play TrueCryptin sijasta.
Tavaramerkit
Vuonna 2007 TrueCryptin yhdysvaltalainen tavaramerkki rekisteröitiin Ondrej Tesarik -nimellä yrityksenimellä TrueCrypt Developers Association ja "key" -logolla oleva tavaramerkki rekisteröitiin David Tesarik -nimellä yrityksen nimellä TrueCrypt Developers Association .
Vuonna 2009 yrityksen nimi TrueCrypt Foundation rekisteröitiin Yhdysvalloissa henkilön nimeltä David Tesarik. Voittoa tavoittelematon TrueCrypt Foundation -järjestö jätti viimeksi veroilmoitukset vuonna 2010, ja yritys hajotettiin vuonna 2014.
Katso myös
Viitteet
Ulkoiset linkit
-
Virallinen nettisivu
- Open Crypto Audit Project (OCAP)-voittoa tavoittelematon organisaatio, joka edistää TrueCryptin tarkastusta
- IsTrueCryptAuditedYet.com - auditoinnin verkkosivusto
- Veracrypt - haarukan virallinen verkkosivusto
Arkistot
- Menneisyyden versioita on FileHippo
- Menneisyyden versioita on GitHub
- Aiemmat versiot osoitteessa truecrypt.ch
- Viimeisin versio on Gibson Research Corporation verkkosivuilla
- Osittainen peili alkuperäisestä TrueCrypt 7.1a -käyttöoppaasta
