¿Cuál es el problema con TrueCrypt? [duplicar]

17

Desde hace unos días, la página del proyecto Sourceforge de TrueCrypt muestra un mensaje que dice:

  

ADVERTENCIA : el uso de TrueCrypt no es seguro ya que puede contener problemas de seguridad no solucionados

Y, los autores incluso animan a los usuarios a cambiar para el programa Microsoft BitLocker. La prensa hizo muchos comentarios sobre este cambio:

Incluso apareció una bifurcación del proyecto en un sitio web suizo .

Entonces, ¿qué está pasando realmente? ¿Cuáles son estos problemas de seguridad en TrueCrypt? ¿Qué tipo de riesgos de seguridad se pueden esperar si seguimos usándola?

    
pregunta perror 30.05.2014 - 17:20
fuente

1 respuesta

10

A partir de la última información , el principal problema con Truecrypt en este momento es que ya no es Soportado y mantenido. Esto es de gran importancia ya que esperamos el informe de auditoría de la fase 2 de iSec porque significa que se encuentran fallas graves en el cifrado utilizado o la implementación de eso, entonces esos defectos no serán resueltos por los desarrolladores. Se crean más problemas porque TC está desarrollado por dos desarrolladores semi-anonymous (fuente en ruso) y su exclusiva licencia impide De ser de código abierto. Sin embargo, hasta que el informe muestre que existen fallas en el programa, se puede argumentar que es "lo suficientemente seguro" para usar dependiendo de las amenazas a las que se enfrenta en su situación. Esencialmente, no es menos seguro hoy que hace dos o tres días para la mayoría de los usuarios, aunque no debería confiar en mi palabra ya que no soy un profesional de seguridad.

Ayer, cuando se publicó la noticia, inicialmente hubo muchas especulaciones sobre las posibilidades de lo que sucedió. Las teorías van desde que los desarrolladores simplemente se rindieron, hasta que TC recibió un NSL . El anonimato combinado con la falta de aclaración de los desarrolladores y el método amateur de informar a sus usuarios crearon muchas especulaciones innecesarias.

El sitio web suizo parece ser un esfuerzo genuino para eventualmente crear una bifurcación del código Truecrypt y crear un nuevo proyecto con un nuevo nombre .

Así que para hacer un resumen de tus preguntas:

  

Entonces, ¿qué está pasando realmente?

Los desarrolladores parecen haber perdido interés en el proyecto y parecen creer que solo ellos tienen el conocimiento requerido y la familiaridad con el código, cualquier bifurcación derivada del código base de TC será potencialmente dañina.

  

¿Cuáles son estos problemas de seguridad en TrueCrypt?

A partir de este momento, el informe de la fase 1 del iSec audito en la zona de código de la ciudad. y documentación. El más serio de ellos es un algoritmo de derivación de clave de encabezado de volumen débil. Para citar el informe oficial:

  

Exploit Scenario: un atacante captura un volumen TrueCrypt cifrado y realiza un ataque de fuerza bruta y / o diccionario fuera de línea para   identificar la clave utilizada para cifrar el encabezado de volumen. Usan el   Clave recuperada para descifrar el volumen.

  

¿Qué tipo de riesgos de seguridad se pueden esperar si seguimos usándolo?

Si continúa usándolo, debe tener en cuenta que el software ya no es compatible. Esto es importante si se tiene programado completar el informe de iSec sobre la fase 2 de la auditoría de CT. Por supuesto, no está claro si ese informe se publicará o incluso se terminará ahora que TC se ha cerrado esencialmente. Al igual que con cualquier pieza de software que ya no es compatible, si surgen nuevos problemas, no se solucionarán. Mi sugerencia para un usuario doméstico (como yo) que enfrenta amenazas muy débiles sería continuar usando la versión 7.1 de TC hasta que alguien retire el proyecto o aparezca un sucesor claro. Tomar decisiones apresuradas debido al sentido de urgencia creado con la situación reciente es poco probable que produzca buenos resultados.

Espero que esto dé una visión decente de lo que sucedió. Podría actualizar esto a medida que surja nueva información.

    
respondido por el Cbeppe 30.05.2014 - 22:40
fuente

Lea otras preguntas en las etiquetas