Audyt TrueCrypta zakończony: nie znaleziono tylnych furtek

Audyt TrueCrypta zakończony: nie znaleziono tylnych furtek03.04.2015 11:26
Redakcja

Zakończono audyt bezpieczeństwa TrueCrypta, bardzo popularnego oprogramowania stosowanego do szyfrowania danych. Przeprowadzona analiza nie wykazała, jakoby program miał wbudowane tylne furtki jakichkolwiek organizacji rządowych. Owszem, znaleziono kilka błędów, w tym również dwa dosyć poważne, ale użytkownicy aplikacji nie powinni z tego powodu wpadać w panikę.

Choć audyt trwał od dłuższego czasu i w swojej pierwszej fazie nie wykazał rażących uchybień, pewne wydarzenia spowodowały, że wiele osób straciło zaufanie do TrueCrypta. W maju ubiegłego roku na oficjalnej stronie projektu znalazł się komunikat mówiący o porzuceniu prac nad programem i stwierdzający, że nie powinniśmy mu ufać. Efekty analizy mają więc kluczowe znaczenie dla każdego, kto postanowił zabezpieczyć swoje dane przy użyciu tego programu. Na szczęście nie ma powodu do obaw, audyt obejmujący wersję 7.1a i dotyczący rozwiązań kryptograficznych nie wykazał istnienia tylnej furtki np. NSA.

Analiza wykazała, że aplikacja nie jest idealna. Znaleziono w niej dwa poważne błędy. Pierwszy jest związany z możliwością wygenerowania niedostatecznie losowego (a co za tym idzie i niebezpiecznego) klucza. Program korzysta w systemie Windows z funkcji CryptAcquireContext, która w firmach np. z powodu określonych ustawień zasad grup może odmówić działania. W przypadku braku możliwości komunikacji z dostawcą usług kryptograficznych (CSP) aplikacja powinna powiadomić o tym fakcie użytkownika. Nie robi tego jednak, przechodzi do mniej bezpiecznych metod losowych i generuje słabsze klucze narażone na ataki siłowe. Zgodnie z zaleceniem autorów raportu program powinien proces przerywać, zapisać logi, informować użytkownika o błędzie i skierować na odpowiednie forum wsparcia.

Drugi problem jest związany z niektórymi implementacjami algorytmu AES, które są podatne na atak typu cache-timing. Atakujący jest w stanie tak sterować danymi, aby w efekcie uzyskać klucze szyfrujące. Dotyczy to jednak tylko sytuacji, gdy algorytm korzysta z dużych tablic danych, implementacje wykorzystujące sprzętowe szyfrowanie i instrukcje Intel AES-NI nie są podatne. Atak i tak nie byłby łatwy, wymaga przejęcia kontroli nad komputerem ofiary. Oprócz tego w aplikacji znaleziono jeszcze dwa inne błędy, ale nie wpływają one na bezpieczeństwo zaszyfrowanych danych. Oba są również trudne do wykorzystania przez ewentualnych atakujących. Audyt stwierdza więc, że program jest stosunkowo bezpieczny, daje także wytyczne dla programistów korzystających z jego kodu (np. VeraCrypt): programy powinny być proste, aby były łatwe do weryfikacji. Powinny korzystać ze sprzętowego przyśpieszania szyfrowania i zwracać baczną uwagę na wszelkie błędy.

Pomysł przeprowadzenia audytu TrueCrypta pojawił się w drugiej połowie 2013 roku. Choć program był od początku otwartoźródłowy, tak naprawdę niewiele osób miało jakiekolwiek pojęcie o sposobie jego działania. Użytkownicy ufali, choć nie było ku temu podstaw, poza należeniem do grupy otwartego oprogramowania. Pierwsza faza audytu została zakończona rok temu i nie wykazała żadnych poważnych błędów – badacze znaleźli co prawda 11 podatności, w tym 4 średniego ryzyka, ale stworzenie expoitów zdolnych do ich wykorzystania byłoby niezwykle trudne, do tego ataki musiałyby zostać przeprowadzone w sprzyjających okolicznościach. Zarówno TrueCrypta jak i inne programy do szyfrowania danych znajdziecie w bazie aplikacji naszego serwisu.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na