TrueCrypt est-il vraiment sûr?

J'utilise TrueCrypt depuis longtemps maintenant. Cependant, quelqu'un m'a indiqué un lien décrivant les problèmes liés à la licence .

IANAL et cela n’a donc vraiment aucun sens pour moi; Cependant, je veux que mon logiciel de cryptage soit open source - non pas parce que je peux le pirater, mais parce que je peux lui faire confiance.

J'ai remarqué certains problèmes avec:

• Il n'y a pas de VCS pour le code source.
• Il n'y a pas de journaux de modifications.
• Les forums sont un mauvais endroit pour être. Ils vous interdisent même si vous posez une vraie question.
• À qui appartient vraiment TrueCrypt?
• Il y a eu des rapports de bricolage avec les sommes de contrôle MD5.

Pour être honnête, la seule raison pour laquelle j'ai utilisé TrueCrypt était parce qu'il était open source. Cependant, certaines choses ne sont tout simplement pas bonnes.

Quelqu'un a-t-il déjà validé la sécurité de TrueCrypt? Devrais-je vraiment m'inquiéter? Oui je suis paranoïaque; Si j'utilise un logiciel de chiffrement, je le fais confiance toute ma vie.

Si toutes mes préoccupations sont réelles, existe-t-il une autre alternative open source à TrueCrypt?

Je vais parcourir l'article point par point:

Personne ne sait qui a écrit TrueCrypt. Personne ne sait qui entretient TC.

Il y a une citation juste après qui dit que la marque est détenue par Tesarik, qui vit en République tchèque. Il est assez prudent de supposer que le détenteur de la marque conserve le produit.

Les modérateurs du forum TC interdisent les utilisateurs qui posent des questions.

Y a-t-il une preuve de cela ou est-ce simplement anecdotique? Et par preuve, je veux dire preuve à la première personne, captures d'écran, etc.

TC prétend être basé sur le cryptage pour les masses (E4M). Ils prétendent également être open source, mais ne gèrent pas de référentiels CVS / SVN publics

Le contrôle à la source est certainement un élément important d’un projet de programmation de groupe, mais son absence ne diminue certainement pas la crédibilité de ce projet.

et n'émettez pas de journaux de modifications.

Oui ils le font. http://www.truecrypt.org/docs/?s=version-history . Tous les logiciels libres ne publient pas de journaux de modifications extrêmement clairs, car il leur faut parfois trop de temps.

Ils bannissent les gens des forums qui demandent des journaux de modifications ou un ancien code source.

Parce que c'est une question stupide, étant donné qu'il existe un journal des modifications et que les anciennes versions sont déjà disponibles. http://www.truecrypt.org/downloads2

Ils modifient également silencieusement les fichiers binaires (changement de hachage md5) sans explication ... zéro.

De quelle version est-ce? Y a-t-il une autre preuve? Anciennes versions téléchargeables et signées?

La marque est détenue par un homme en République tchèque ((ENREGISTREMENT) Tesarik, David RÉPUBLIQUE TCHÈQUE INDIVIDUELLE Taussigova 1170/5 Praha RÉPUBLIQUE TCHÈQUE 18200.)

Et alors? Une personne en République tchèque possède une marque de commerce pour une technologie de cryptage majeure. En quoi est-ce important?

Les domaines sont enregistrés par proxy privé. Certaines personnes prétendent qu'il a une porte dérobée.

Qui? Où? Quelle?

Qui sait? Ces gars disent qu'ils peuvent trouver des volumes TC: http://16systems.com/TCHunt/index.html

Duh, les volumes de TC dans la capture d’écran sont tous FIN AVEC .tc.

Et quiconque a vu cette image sur la page de contact?

Lisez ces articles, le FBI n'a pas réussi à décrypter 5 disques durs protégés avec TrueCrypt

http://www.net-security.org/secworld.php?id=9506

http://techie-buzz.com/foss/fbi-fail-decrypt-hard-drive-truecrypt.html

Je pense que TrueCrypt pourrait être fourni par la NSA, la CIA ou l’un de ces grands organismes fédéraux dans le but de promouvoir le cryptage pour lequel ils ont la porte arrière, afin de réduire l’utilisation d’autres cryptages qu’ils ne peuvent pas déchiffrer. C’est la raison pour laquelle ils ont gardé le secret, et c’est pourquoi il s’agit également d’un produit aussi bien poli, avec une bonne documentation, bien qu’il ne s’agisse ni d’un produit commercial ni de la participation généralisée de développeurs open source.

Voir ce document, qui explique que l'objectif du gouvernement est d'encourager l'utilisation généralisée du cryptage pour lequel il peut récupérer les clés: http://www.justice.gov/criminal/cybercrime/cryptfaq.htm

En fait, l’Administration encourage la conception, la fabrication et l’utilisation de produits et de services de chiffrement permettant de récupérer le texte en clair des données chiffrées, y compris la mise au point de systèmes de récupération de texte en clair permettant un accès rapide au texte en clair grâce à diverses approches techniques les propriétaires de données ou par les autorités répressives agissant sous l'autorité légale. Seule l'utilisation généralisée de tels systèmes permettra à la fois de mieux protéger les données et de protéger la sécurité publique.

....

L'objectif du Département - et la politique de l'Administration - est de promouvoir le développement et l'utilisation d'un cryptage puissant qui renforce la confidentialité des communications et des données stockées tout en préservant la capacité actuelle des services répressifs à accéder aux preuves dans le cadre d'une recherche légalement autorisée. surveillance.

...

À cet égard, nous espérons que la disponibilité d’un chiffrement hautement fiable fournissant des systèmes de récupération réduira la demande pour d’autres types de chiffrement et augmentera la probabilité que les criminels utilisent un chiffrement récupérable.

Eh bien, le projet TrueCrypt pourrait bien être exécuté de manière inhospitalière / hostile aux étrangers (développeurs anonymes, pas de Changelog), mais je ne vois pas en quoi cela serait lié à sa sécurité ou non.

Regardez cela comme ceci: si les développeurs voulaient vraiment vexer les gens en mettant des portes dérobées dans TrueCrypt, il serait logique qu'ils soient gentils, afin que les gens soient moins méfiants.

En d'autres termes, le fait que le logiciel soit digne de confiance est assez indépendant du fait que les développeurs soient des personnes sociables ou non. Si vous pensez que la disponibilité du code source n'est pas suffisante pour assurer la sécurité, vous devrez organiser un audit du code. En dehors du projet TrueCrypt, il y a certainement des personnes qui examinent le code source. Il est donc probablement difficile de masquer une porte dérobée délibérée, mais il peut y avoir des bogues cachés. Ce bogue dans le paquet OpenSSL de Debian est passé inaperçu pendant un bon bout de temps.

Je pense que le point qui manque à tout le monde, c'est que si quelqu'un envisage d'utiliser Truecrypt, il doit être sûr à 100% qu'il est sécurisé. Sinon, sa vie peut être en danger, ce n'est pas Flash Player ou une application Fart pour votre iPhone, c'est une application où Si cela échoue, cela peut signifier que quelqu'un est tué pour l'information découverte.

Si l'intégrité de Truecrypt est mise en doute, pourquoi utiliser cette application?

btw no question est une question idiote sur Truecrypt ou quoi que ce soit.

J'utilise truecrypt depuis quelques années maintenant, et lorsque vous examinez leur schéma de cryptage , les autres petits problèmes que vous avez signalés ne compromettent en rien sa sécurité. Même un ingénieur en informatique / Cryptanalyst de 15 ans en a été impressionné.

Et ce n’est pas parce qu’il n’a pas de référentiel qu’il n’est pas open source. Je peux me rendre dans la section de téléchargement et obtenir tout le code source, ce qui en réalité correspond à ce que vous recherchez.

Les forums sont le seul point faible. Je n'ai cependant vu aucune interdiction, seulement des guerres à la flamme. Avez-vous des preuves d'interdiction?

Jusqu'à présent, les réponses ont porté sur le degré de confiance pouvant être accordé au chiffrement de TrueCrypt. Selon la documentation, TrueCrypt utilise de bons algorithmes de chiffrement; Cependant, il ne s'agit que d'une partie de l'histoire, car les algorithmes de cryptographie ne sont pas la partie la plus difficile des programmes à sécurité intensive. Le code source de TrueCrypt est disponible pour révision, ce qui est un avantage en sa faveur.

Il y a d'autres points à considérer lors de l'évaluation d'un programme de protection de données confidentielles.

• Le programme assure-t-il également l'intégrité des données ? TrueCrypt n'a pas. L'intégrité des données signifie qu'une personne ayant un accès temporaire à votre ordinateur ne peut pas remplacer vos données par des données modifiées. Il est particulièrement important de protéger votre système d’exploitation: si une personne utilise vos données, elle peut installer un enregistreur de frappe pour capturer votre mot de passe la prochaine fois que vous la saisissez, ou un autre programme malveillant qui ne leur donne pas indirectement accès à vos données. Donc, si vous n'avez pas le moyen de détecter une telle falsification, ne laissez pas votre ordinateur sans surveillance .

• Dans quelle mesure le programme est-il disponible ? TrueCrypt affiche un taux assez élevé: il est disponible sur tous les principaux systèmes d’exploitation de bureau (Windows, Mac, Linux); c'est gratuit, vous n'avez donc pas à vous soucier du coût des licences; il est open source pour que d'autres puissent se lancer dans le développement si l'équipe de développement actuelle disparaît soudainement; il est largement utilisé, de sorte que quelqu'un est susceptible d'intensifier si l'équipe actuelle disparaît. L’absence d’accès public au système de contrôle de la source (correctifs individuels avec leurs messages de modification) est cependant un problème.

Attaque de démarrage à froid mise à part, Truecrypt n’est pas sûr à 100% . Il a des traces médico-légales dans son chargeur de démarrage qui obligeront votre ennemi (s'il connaît l'informatique judiciaire) à vous forcer à donner un mot de passe.