Versleuteling voor de paranoïde: TrueCrypt-broncode en binaire bestanden verifiëren

TrueCrypt is gemakkelijk het populairste en meest gewaardeerde coderingsprogramma dat er is. TrueCrypt kan complete schijven, partities, mappen of individuele bestanden coderen. Enigszins ironisch, staat TrueCrypt ook bekend om zijn vermogen om gegevens in het zicht te verbergen.

In die zin is het interessant op te merken dat alle TrueCrypt-ontwikkelaars anoniem zijn gebleven, waarbij alle communicatie via de TrueCrypt Foundation verloopt. Ik vond een interview uit 2005, zogenaamd met een van de ontwikkelaars, met de codenaam Ennead.


Meer van TechRepublic over codering :

  • Maakt het gebruik van codering u een groter doelwit voor de NSA?
  • Ontsnappen aan het dragnet van surveillance: wat de experts zeggen over codering
  • Wat NSA spioneren op Google betekent voor uw bedrijf
  • Wat kan IT doen in de strijd tegen toezichtstactieken van de overheid?
  • Gaan we op weg naar een 'cryptopocalyps'?

Aanbevolen door experts

De bereidheid van cryptografie-experts om TrueCrypt aan te bevelen, is deels te wijten aan het feit dat TrueCrypt-software open source is, wat betekent dat het kan worden beoordeeld. Dit gebeurt altijd volgens de TrueCrypt FAQ-webpagina:

"In feite wordt de broncode voortdurend beoordeeld door veel onafhankelijke onderzoekers en gebruikers. We weten dit omdat veel bugs en verschillende beveiligingsproblemen zijn ontdekt door onafhankelijke onderzoekers tijdens het controleren van de broncode."

Maar de meeste mensen downloaden de broncode niet en compileren deze vervolgens. Ze installeren TrueCrypt met behulp van een van de uitvoerbare bestanden. En dat is wanneer de geldigheid van de software twijfelachtig wordt. De webpagina met veelgestelde vragen vermeldt een manier om te controleren of de gedownloade bestanden zijn samengesteld uit de geadverteerde broncode:

"Naast het herzien van de broncode, kunnen onafhankelijke onderzoekers de broncode compileren en de resulterende uitvoerbare bestanden vergelijken met de officiële. Ze kunnen enkele verschillen vinden (bijvoorbeeld tijdstempels of ingebedde digitale handtekeningen) maar ze kunnen de verschillen analyseren en controleren of ze geen schadelijke code vormen. "

Helaas kan ik geen gedocumenteerd bewijs vinden dat dit is gebeurd. Na het downloaden van de broncode kan ik zien waarom. Het was bijna twee MB aan gegevens. Een reverse engineering van een programma dat niet eenvoudig kan zijn.

Tot voor kort was dit geen al te urgente kwestie bij encryptie-experts. Maar dat veranderde toen Mr. Snowden informatie over het NSA Bullrun-programma publiceerde:

"Documenten tonen aan dat de NSA een oorlog tegen codering heeft gevoerd met behulp van een reeks methoden, waaronder samenwerking met de industrie om coderingsstandaarden te verzwakken, ontwerpwijzigingen in cryptografische software aan te brengen en internationale coderingsstandaarden te pushen waarvan het weet dat die kunnen breken."

Bruce Schneier bevestigt in deze blog de bewering van de New York Times:

“Verdedigen tegen deze aanvallen is moeilijk. We weten uit onderzoek van subliminale kanalen en kleptografie dat het vrijwel onmogelijk is te garanderen dat een complex stuk software geen geheime informatie lekt. We weten uit het beroemde verhaal van Ken Thompson over 'vertrouwen vertrouwen' dat je nooit helemaal zeker kunt zijn of er een beveiligingsfout zit in je software. "

Cryptografen, een zenuwachtig stel om mee te beginnen, hadden eindelijk genoeg. Matthew Green, cryptograaf en onderzoeksprofessor aan de Johns Hopkins University, en Kenneth White, hoofdwetenschapper bij Social & Scientific Systems, besloten de uitvoerbare bestanden te controleren die zijn afgeleid van de huidige versie (7.1a) van de TrueCrypt-broncode en het volgende te voltooien:

  • Maak een geverifieerde onafhankelijke versiebeheergeschiedenis van de TrueCrypt-bron en de uitvoerbare code.
  • Documenteer de bouw van uitvoerbare bestanden van de broncode voor de verschillende geadverteerde besturingssystemen.
  • Voer een audit (beveiliging en cryptanalyse) van de programma's uit.

Op hun website istruecryptauditedyet.com vermelden de heren: "Veel van onze zorgen over TrueCrypt zouden kunnen verdwijnen als we wisten dat de binaire bestanden (uitvoerbare bestanden) uit de bron waren samengesteld." Ze willen ook de bezorgdheid wegnemen dat TrueCrypt is gecompromitteerd, met name met een achterdeur.

"De echte droom van dit project is om te zien dat de volledige codebasis een professionele audit ontvangt van een van de weinige beveiligingsevaluatiebedrijven die gekwalificeerd zijn om crypto-software te beoordelen."

Zoals u zich goed kunt voorstellen, is dit soort onderneming niet goedkoop. Groen en Wit kwamen met een nieuw idee: gebruik crowd sourcing om het project te financieren. Het lijkt te werken en heeft sinds 14 oktober 50.000 dollar ingezameld. Donaties worden nog steeds geaccepteerd bij FundFill en IndieGoGo.

Laatste gedachten

Ik heb gelezen dat Groen en Wit hun financiële doel hebben bereikt, dus TrueCrypt zou zijn dag voor de rechtbank moeten krijgen. Het hele verhaal achter TrueCrypt is voor mij een bron van fascinatie geweest, en ik hoop dat TrueCrypt voorbij komt. Als ik een gokman was ...

Cybersecurity Insider Nieuwsbrief

Versterk de IT-beveiliging van uw organisatie door op de hoogte te blijven van het laatste nieuws, oplossingen en best practices voor cybersecurity. Bezorgd op dinsdag en donderdag

Schrijf je vandaag in

© Copyright 2020 | mobilegn.com