Audit skončil. TrueCrypt své problémy má, běžně však data ochrání

8. 4. 2015

Sdílet

 Autor: Redakce

Je to skoro rok, co světem otřásl nenadálý konec vývoje dlouholetého řešení pro ochranu dat. TrueCrypt byl v té souvislosti označen za nebezpečný, což měl buď potvrdit, nebo vyvrátit audit. NCC Group připravila report, kde prezentuje výsledky. Dobrá zpráva zní, že ačkoli výzkumníci odhalili čtyři bezpečností problémy, žádný nevedl ke kompletnímu prolomení ochrany.

Bavíme se o scénářích, které simulovaly běžný život. Dvě ze čtyř slabých míst v zabezpečení dosáhly označení vysokého stupně nebezpečí, jedno nízkého a v posledním případě nebylo o závažnosti rozhodnuto. Největší problém se týká API pro Windows, které generuje náhodná čísla. Používalo se totiž ke generování klíčů pro šifrování oddílů.

Podle zprávy nejméně v jednom nanejvýš vzácném případě selže. Pracuje na principu neuspořádanosti a sbírá hodnoty napříč systémem, včetně API s názvem Windows Crypto. Pokud se stane, že toto API selže, TrueCrypt vás nevaruje, stav přijme a klíč stejně vygeneruje.

 

Matthew Green, odborník na kryptografii, je nicméně toho názoru, že to zase tak vážným problém není. Program sbírá kontextová data pro kontejner pro klíče i z jiných zdrojů a je i tak schopen data ochránit. Snižuje se tím náhodnost, s čímž se ovšem zvyšuje potenciální riziko prolomení klíče.

Dalším bodem je implementace AES, které by mohlo podlehnout načasovanému útoku na mezipaměť. Ani to podle výzkumníků není příliš pravděpodobné. Více ve zprávě. TrueCrypt tedy zůstává docela dobře napsaným programem, který i v poslední vydané verzi lze používat bez vysokého rizika, pokud ovšem nepřejdete na nějakou alternativu.

bitcoin školení listopad 24

Do budoucna bude stejně nutné nějakou najít, používat nepodporovaný a dále nerozvíjený program nemá smysl. Aspoň pokud existuje přijatelná alternativa. K oblíbeným alternativám patří například VeraCrypt, jenž vlastně platí za fork TC. Měli bychom zmínit, že jeden z (údajných) vývojářů TC doporučil, aby případní zájemci raději postavili nové řešení na zelené louce.

Zdroj: Open Crypto Audit Project | Matthew Green via Neowin