web-dev-qa-db-fra.com

TrueCrypt est-il vraiment sûr?

J'utilise TrueCrypt depuis longtemps maintenant. Cependant, quelqu'un m'a indiqué un lien décrivant les problèmes liés à la licence .

IANAL et cela n’a donc vraiment aucun sens pour moi; Cependant, je veux que mon logiciel de cryptage soit open source - non pas parce que je peux le pirater, mais parce que je peux lui faire confiance.

J'ai remarqué certains problèmes avec:

  • Il n'y a pas de VCS pour le code source.
  • Il n'y a pas de journaux de modifications.
  • Les forums sont un mauvais endroit pour être. Ils vous interdisent même si vous posez une vraie question.
  • À qui appartient vraiment TrueCrypt?
  • Il y a eu des rapports de bricolage avec les sommes de contrôle MD5.

Pour être honnête, la seule raison pour laquelle j'ai utilisé TrueCrypt était parce qu'il était open source. Cependant, certaines choses ne sont tout simplement pas bonnes.

Quelqu'un a-t-il déjà validé la sécurité de TrueCrypt? Devrais-je vraiment m'inquiéter? Oui je suis paranoïaque; Si j'utilise un logiciel de chiffrement, je le fais confiance toute ma vie.

Si toutes mes préoccupations sont réelles, existe-t-il une autre alternative open source à TrueCrypt?

70
Alfred

Je vais parcourir l'article point par point:

Personne ne sait qui a écrit TrueCrypt. Personne ne sait qui entretient TC.

Il y a une citation juste après qui dit que la marque est détenue par Tesarik, qui vit en République tchèque. Il est assez prudent de supposer que le détenteur de la marque conserve le produit.

Les modérateurs du forum TC interdisent les utilisateurs qui posent des questions.

Y a-t-il une preuve de cela ou est-ce simplement anecdotique? Et par preuve, je veux dire preuve à la première personne, captures d'écran, etc.

TC prétend être basé sur le cryptage pour les masses (E4M). Ils prétendent également être open source, mais ne gèrent pas de référentiels CVS/SVN publics

Le contrôle à la source est certainement un élément important d’un projet de programmation de groupe, mais son absence ne diminue certainement pas la crédibilité de ce projet.

et n'émettez pas de journaux de modifications.

Oui ils le font. http://www.truecrypt.org/docs/?s=version-history . Tous les logiciels libres ne publient pas de journaux de modifications extrêmement clairs, car il leur faut parfois trop de temps.

Ils bannissent les gens des forums qui demandent des journaux de modifications ou un ancien code source.

Parce que c'est une question stupide, étant donné qu'il existe un journal des modifications et que les anciennes versions sont déjà disponibles. http://www.truecrypt.org/downloads2

Ils modifient également silencieusement les fichiers binaires (changement de hachage md5) sans explication ... zéro.

De quelle version est-ce? Y a-t-il une autre preuve? Anciennes versions téléchargeables et signées?

La marque est détenue par un homme en République tchèque ((ENREGISTREMENT) Tesarik, David RÉPUBLIQUE TCHÈQUE INDIVIDUELLE Taussigova 1170/5 Praha RÉPUBLIQUE TCHÈQUE 18200.)

Et alors? Une personne en République tchèque possède une marque de commerce pour une technologie de cryptage majeure. Pourquoi est-ce important?

Les domaines sont enregistrés par proxy privé. Certaines personnes prétendent qu'il a une porte dérobée.

Qui? Où? Quoi?

Qui sait? Ces gars disent qu'ils peuvent trouver des volumes TC: http://16systems.com/TCHunt/index.html

Duh, les volumes de TC dans la capture d’écran sont tous marqués FIN AVEC .tc.

Et quiconque a vu cette image sur la page de contact?

TrueCrypt Foundation address

29
Hello71

Lisez ces articles, le FBI n'a pas réussi à décrypter 5 disques durs protégés avec TrueCrypt

http://www.net-security.org/secworld.php?id=9506

http://techie-buzz.com/foss/fbi-fail-decrypt-hard-drive-truecrypt.html

18
Moab

Je pense que TrueCrypt pourrait être fourni par la NSA, la CIA ou l'un de ces grands organismes fédéraux dans le but de promouvoir le cryptage pour lequel ils ont la porte arrière, afin de réduire l'utilisation d'autres cryptages qu'ils ne peuvent pas craquer. C’est la raison pour laquelle ils ont gardé le secret, et c’est pourquoi il s’agit d’un produit aussi bien poli, avec une bonne documentation, bien qu’il ne s’agisse ni d’un produit commercial ni de la participation généralisée de développeurs open source.

Voir ce document, qui explique que l'objectif du gouvernement est d'encourager l'utilisation généralisée du cryptage pour lequel il peut récupérer les clés: http://www.justice.gov/criminal/cybercrime/cryptfaq .htm

En fait, l’Administration encourage la conception, la fabrication et l’utilisation de produits et services de chiffrement permettant de récupérer le texte en clair des données chiffrées, y compris la mise au point de systèmes de récupération de texte en clair permettant, grâce à diverses approches techniques, un accès rapide au texte en clair, soit les propriétaires de données ou par les autorités répressives agissant sous l'autorité légale. Seule l'utilisation généralisée de tels systèmes permettra à la fois de mieux protéger les données et de protéger la sécurité publique.

....

L’objectif du Département - et la politique de l’Administration - est de promouvoir le développement et l’utilisation d’un cryptage puissant qui renforce la confidentialité des communications et des données stockées, tout en préservant la capacité actuelle des services répressifs d’obtenir l'accès aux preuves dans le cadre d'une recherche légalement autorisée. surveillance.

...

À cet égard, nous espérons que la disponibilité d’un chiffrement hautement fiable fournissant des systèmes de récupération réduira la demande pour d’autres types de chiffrement et augmentera la probabilité que des criminels utilisent un chiffrement récupérable.

12
Mike Rowave

Je pense que le point qui manque à tout le monde, c'est que si quelqu'un envisage d'utiliser Truecrypt, il doit être sûr à 100% qu'il est sécurisé. Sinon, sa vie peut être en danger, ce n'est pas Flash Player ou une application Fart pour votre iPhone, c'est une application où Si cela échoue, cela peut signifier que quelqu'un est tué pour l'information découverte.

Si l'intégrité de Truecrypt est incertaine, pourquoi utiliser cette application?

btw no question est une question idiote à propos de Truecrypt ou quoi que ce soit.

4
dghughes

Eh bien, le projet TrueCrypt pourrait bien être exécuté de manière inhospitalière/hostile aux étrangers (développeurs anonymes, pas de Changelog), mais je ne vois pas en quoi cela serait lié à sa sécurité ou non.

Regardez comme ça: si les développeurs voulaient vraiment visser les gens en mettant des backdoors dans TrueCrypt, il serait logique qu’ils soient Nice, afin que les gens soient moins méfiants.

En d'autres termes, le fait que le logiciel soit digne de confiance est assez indépendant du fait que les développeurs soient des personnes sociables ou non. Si vous pensez que la disponibilité du code source n'est pas suffisante pour assurer la sécurité, vous devrez organiser un audit du code. En dehors du projet TrueCrypt, certaines personnes consultent le code source. Il est donc probablement difficile de masquer une porte dérobée délibérée, mais il peut y avoir des bogues cachés. Ce bogue dans le paquet OpenSSL de Debian est passé inaperçu pendant un bon moment.

4
sleske

J'utilise truecrypt depuis quelques années maintenant, et lorsque vous jetez un coup d'œil à leur schéma de chiffrement , les autres petits problèmes que vous avez signalés ont été gagnés. ne rien faire pour sa sécurité. Même un ingénieur en informatique/Cryptanalyst de 15 ans en a été impressionné.

Et ce n’est pas parce qu’il n’a pas de référentiel qu’il n’est pas open source. Je peux me diriger vers la section de téléchargement et obtenir tout le code source, ce qui en réalité correspond à ce que vous recherchez.

Les forums sont le seul point faible. Je n'ai vu aucune interdiction cependant, seulement des guerres à la flamme. Avez-vous des preuves d'interdiction?

3
TheLQ

Jusqu'à présent, les réponses ont porté sur le degré de confiance pouvant être accordé au chiffrement de TrueCrypt. Selon la documentation, TrueCrypt utilise de bons algorithmes de cryptage; Toutefois, il ne s'agit que d'une partie de l'histoire, car les algorithmes de cryptographie ne constituent pas la partie la plus difficile des programmes à sécurité intensive. Le code source de TrueCrypt est disponible pour révision, ce qui est un avantage en sa faveur.

Il y a d'autres points à considérer lors de l'évaluation d'un programme de protection de données confidentielles.

  • Le programme fournit-il également l'intégrité des données ? TrueCrypt n'a pas. L'intégrité des données signifie qu'une personne ayant un accès temporaire à votre ordinateur ne peut pas remplacer vos données par des données modifiées. Il est particulièrement important de protéger votre système d’exploitation: si une personne utilise vos données, elle peut installer un enregistreur de frappe pour capturer votre mot de passe lors de la prochaine frappe, ou un autre programme malveillant qui ne leur donne pas indirectement accès à vos données. Donc si vous ne pouvez pas détecter une telle falsification, ne laissez pas votre ordinateur sans surveillance .

  • Dans quelle mesure est disponible le programme? TrueCrypt affiche un taux assez élevé: il est disponible sur tous les principaux systèmes d’exploitation de bureau (Windows, Mac, Linux); c'est gratuit, vous n'avez donc pas à vous soucier du coût des licences; il est open source pour que d'autres puissent se lancer dans le développement si l'équipe de développement actuelle disparaît soudainement; il est largement utilisé, de sorte que quelqu'un est susceptible d'intensifier si l'équipe actuelle disparaît. L’absence d’accès public au système de contrôle de la source (correctifs individuels avec leurs messages de modification) est cependant un problème.

2
Gilles

Attaque de démarrage à froid mise à part, Truecrypt n’est pas sûr à 100% . Il a des traces médico-légales dans son chargeur de démarrage qui obligeront votre ennemi (s'il connaît l'informatique judiciaire) à vous forcer à donner un mot de passe.

1
desperado