¿Software de cifrado confiable?

Navega tus respuestas
1

Si está descargando y utilizando un software de cifrado, e. sol. Veracrypt o Diskcryptor, ¿cómo saber si este software no es falso? Backdoored u otros agujeros de seguridad? Suponiendo que tales programas no estén codificados en una tarde lluviosa de domingo por un imbécil, se requiere mano de obra, ¡pero son gratis! Incluso si es de código abierto, la mayoría de los usuarios no tienen conocimiento ni tiempo para verificar el código. ¿Cuál es su manera de estar seguro de estar en el camino correcto? ¡Muchas gracias por sus consejos y sugerencias!

    
pregunta Joe 15.10.2015 - 12:42
fuente

2 respuestas

5

Cuando el software es popular, relevante para la seguridad y de código abierto (como Veracrypt), a menudo habrá personas que lo auditarán y reportarán vulnerabilidades. VeraCrypt se basa en TrueCrypt 7.1, que obtuvo una auditoría integral hace un tiempo . Muchos proyectos de código abierto también obtuvieron rastreadores de errores públicos donde se reportan errores conocidos.

Pero cuando descarga su copia del programa desde un espejo no confiable, no puede estar seguro de que esté compilado desde el código fuente original. Es por eso que muchos proyectos publican sumas de comprobación criptográficas o firmas PGP para verificar que los archivos servidos por los espejos son idénticos a las compilaciones oficiales. Cuando observa el sitio de descarga de VeraCrypt , por ejemplo, notará que tienen una clave PGP pública y Una firma PGP para cada una de sus descargas. Puede usar GnuPG para verificar estos archivos.

Pero cuando el código fuente de un software no está disponible, todas las pruebas que tenga de que no tiene vulnerabilidades (ya sean intencionales o no intencionales) es la palabra del desarrollador (y quizás la de cualquier Terceros partidos a los que dieron el código fuente para su revisión). Es por eso que algunos profesionales de la seguridad no recomiendan el uso de productos de seguridad de código cerrado.

    
respondido por el Philipp 15.10.2015 - 13:12
fuente
0

No confías en el software, confías en la gente. ¿Qué sistema usas? Windows? Entonces, si Microsoft quisiera, ellos podrían controlar tu PC fácilmente. Tal vez aún no tengan una puerta trasera directa en el sistema, pero es solo una cuestión de la "actualización de seguridad" que instalaría.

¿Tienes un teléfono móvil? ¿Androide? Entonces Google puede hacer lo mismo con su teléfono móvil. ¿Usas Linux? Ubuntu? Canonical es la empresa en la que debes confiar. Con Debian, tendría que confiar en una asociación de personas que se preocupan por Debian.

¿Confías en las personas que mantienen Vearacrypt? Puede descargar Veracrypt desde sus páginas, puede verificar el certificado SSL que está firmado por una autoridad. Entonces, además, tienes que confiar en la autoridad.

Puedes descargar el código fuente. Bueno, es mucho más fácil verificar el código fuente que el binario. Sin embargo, tiene miles de líneas de código y le llevará años verificarlo correctamente. E incluso si revisa el código, ¿comprobó el compilador? Además, el sistema (Windows) debe tener acceso a su clave de cifrado cuando su disco está montado. ¿Y qué pasa con la CPU (hecha por Intel)? ¿Lo comprobaste?

Lo único que puedes hacer es reducir el número de sujetos en los que puedes confiar. Por ejemplo, solo puede utilizar los productos fabricados por Apple. Tu vida estaría en manos de Apple, pero lo importante es que estaría solo en manos de Apple ... No lo recomiendo :-).

    
respondido por el smrt28 15.10.2015 - 13:55
fuente

Lea otras preguntas en las etiquetas

¿Podemos confiar un momento en secreto? ¿Es realmente Windows (instalación nueva) 7 realmente seguro contra NMAP o me estoy perdiendo algo?