Bavíme se o scénářích, které simulovaly běžný život. Dvě ze čtyř slabých míst v zabezpečení dosáhly označení vysokého stupně nebezpečí, jedno nízkého a v posledním případě nebylo o závažnosti rozhodnuto. Největší problém se týká API pro Windows, které generuje náhodná čísla. Používalo se totiž ke generování klíčů pro šifrování oddílů.
Podle zprávy nejméně v jednom nanejvýš vzácném případě selže. Pracuje na principu neuspořádanosti a sbírá hodnoty napříč systémem, včetně API s názvem Windows Crypto. Pokud se stane, že toto API selže, TrueCrypt vás nevaruje, stav přijme a klíč stejně vygeneruje.
Matthew Green, odborník na kryptografii, je nicméně toho názoru, že to zase tak vážným problém není. Program sbírá kontextová data pro kontejner pro klíče i z jiných zdrojů a je i tak schopen data ochránit. Snižuje se tím náhodnost, s čímž se ovšem zvyšuje potenciální riziko prolomení klíče.
Dalším bodem je implementace AES, které by mohlo podlehnout načasovanému útoku na mezipaměť. Ani to podle výzkumníků není příliš pravděpodobné. Více ve zprávě. TrueCrypt tedy zůstává docela dobře napsaným programem, který i v poslední vydané verzi lze používat bez vysokého rizika, pokud ovšem nepřejdete na nějakou alternativu.
Do budoucna bude stejně nutné nějakou najít, používat nepodporovaný a dále nerozvíjený program nemá smysl. Aspoň pokud existuje přijatelná alternativa. K oblíbeným alternativám patří například VeraCrypt, jenž vlastně platí za fork TC. Měli bychom zmínit, že jeden z (údajných) vývojářů TC doporučil, aby případní zájemci raději postavili nové řešení na zelené louce.
Zdroj: Open Crypto Audit Project | Matthew Green via Neowin