حسابرسی منتشر نشده BSI و 2010 TrueCrypt IT متولد می شود

نرم افزار رمزگذاری TrueCrypt که متوقف شده است به نمایندگی از دفتر فدرال امنیت اطلاعات (BSI) حسابرسی شده است. با این حال ، گزارش عملکرد به مدت 9 سال در کشوهای BSI منتشر نشده است.

اطلاعات کلی کوتاه

TrueCrypt یک نرم افزار رمزنگاری منبع باز است که می تواند در ویندوز نیز برای رمزگذاری داده های محرمانه مورد استفاده قرار گیرد و بنابراین با خیال راحت آن را در برابر دسترسی غیرمجاز ذخیره کند. اما رمزگذاری TrueCrypt چقدر ایمن است؟ متیو گرین ، یک متخصص رمزنگاری و استاد تحقیقات در دانشگاه جان هاپکینز ، و کنت وایت ، محقق اصلی سیستم های اجتماعی و علمی ، ابتکار عمل جمع آوری کمک را در سال 2013 آغاز کردند (رجوع کنید به جمع آوری کمک های حسابرسی امنیتی TrueCrypt را امکان پذیر می کند). هدف باید جمع آوری پول کافی برای آزمایش امنیت TrueCrypt در طی ممیزی و اثبات در صورت لزوم باشد. سپس تحقیقات در سال 2014 در دسترس بود – نتیجه این بود "اساساً همه چیز بی خطر بود (به TrueCrypt مراجعه کنید: اول ممیزی iSEC به پایان رسید – اکنون امن است).

سپس در ماه مه 2014 ، یک حباب وجود داشت ، که من در مقاله درباره آن هشدار دادم: TrueCrypt نامشخص است – رشد متوقف شده است؟ گزارش شده است. به طور ناگهانی هشداری وجود داشت مبنی بر اینکه نرم افزار رمزنگاری منبع باز TrueCrypt باید ناامن باشد. اخطار رسمی در وب سایت TrueCrypt SourceForge ارائه شده است. در نتیجه ، کد منبع در دسترس عموم قرار گرفت. از آنجا ، شرکت فرانسوی Idrix برنامه ای به نام VeraCrypt را توسعه داد. در Spiegel Online ، هنوز می توانید متوجه شوید که کد منبع اصلی احتمالاً توسط یک فروشنده مواد مخدر تهیه شده است.

ممیزی BSI و TrueCrypt

دفتر فدرال امنیت اطلاعات (BSI) در سال 2010 TrueCrypt را مورد تجزیه و تحلیل قرار داد ، اما این نتایج هرگز منتشر نشد و به پروژه VeraCrypt نرسید. اینکه تجزیه و تحلیل TrueCrpt انجام شده است و گزارش از یک درخواست کلی ناشی می شود ، "از دولت بپرسید. اسناد ارسال شده توسط BSI عمومی نیستند (دلیل: حق چاپ). محقق امنیتی هانو باک همه این موارد را در Golem و SPON کشف کرد.

نسخه کوتاه: TrueCrypt قبلاً در سال 2010 مورد تحلیل امنیتی BSI قرار گرفته است. گزارش TrueCrypt 400 صفحه ای از لحاظ کارایی و امنیت کاملاً مورد تجزیه و تحلیل قرار گرفته است. نتیجه گیری از ارائه هانو بوک: بسیاری از مسائل امنیتی جزئی وجود دارد ، اما هیچ چیز جدی نیست. اگر آنها را علنی می کردند ، ممیزی فوق الذکر فوق العاده بود. توسعه دهندگان VeraCrypt همچنین می توانند از این اطلاعات برای توسعه جانشین استفاده کنند. بوک در مورد Golem می نویسد:

توجه داشته باشید " اطلاعات طبقه بندی شده – فقط برای استفاده رسمی " را می توان در اسناد Truecrypt مطالعه کرد ، اما حذف شده است. محتوا انفجاری است زیرا نشان می دهد که BSI مدت هاست اطلاعات زیادی در مورد امنیت Truecrypt و همچنین موضوعات امنیتی بسیار خاص دارد. براساس BSI ، سازندگان Truecrypt نتایج را گزارش کردند ، اما ظاهرا تصمیم گرفتند اسناد را منتشر نکنند یا به گزارش خود درباره پروژه Veracrypt ادامه دهند.

هرکسی که علاقه مند به جزئیات باشد ، باید مقاله Golem را که ذکر شده در آن آویزان شده است ، بخواند. بودجه زیادی برای "BSI از شهروندان خود محافظت می کند" ، و آن را کاملاً شفاف می کند.

مقالات مرتبط:
TrueCrypt و امنیت رمزگذاری
TrueCrypt: اولین ممیزی iSEC به پایان رسید – در حال حاضر امن است
آسیب پذیری های امنیتی TrueCrypt در VeraCrypt بسته شد
راه حل های جایگزین TrueCrypt
تغییر مجوز امتناع کرد
آیا هنوز امید TrueCrypt وجود دارد؟
بدافزار "StrongPity" از نصب WinRAR و TrueCrypt می آید
هشدار: Dangerous TrueCrypt – توسعه قطع شد؟

آیا با آلمان ممکن است آیا کلونینگ TrueCrypt در دسترس باشد؟