क्या TrueCrypt वास्तव में सुरक्षित है?

मैं पिछले काफी समय से ट्रूकॉलर का इस्तेमाल कर रहा हूं। हालांकि, किसी ने मुझे एक लिंक की ओर इशारा किया जिसने लाइसेंस के साथ समस्याओं का वर्णन किया था ।

IANAL और इसलिए यह वास्तव में मेरे लिए बहुत मायने नहीं रखता था; हालाँकि, मैं चाहता हूं कि मेरा एन्क्रिप्शन सॉफ्टवेयर खुला स्रोत हो - इसलिए नहीं कि मैं इसमें हैक कर सकता हूं, बल्कि इसलिए कि मैं इस पर भरोसा करता हूं।

इसके साथ कुछ मुद्दों पर मैंने गौर किया है:

• स्रोत कोड के लिए कोई VCS नहीं है।
• कोई परिवर्तन लॉग नहीं हैं।
• मंचों के लिए एक बुरा स्थान है। यदि आप एक वास्तविक प्रश्न पूछते हैं तो भी वे आपको प्रतिबंधित करते हैं।
• कौन वास्तव में TrueCrypt का मालिक है?
• एमडी 5 चेकसम के साथ छेड़छाड़ की कुछ रिपोर्टें थीं।

सच कहूं, तो मैंने ट्रू क्रिप्ट का उपयोग करने का एकमात्र कारण यह था कि यह खुला स्रोत था। लेकिन हालांकि, कुछ चीजें सिर्फ सही नहीं हैं।

क्या किसी ने कभी भी TrueCrypt की सुरक्षा को मान्य किया है? क्या मुझे वास्तव में चिंतित होना चाहिए? हाँ मैं पागल हूँ; यदि मैं एक एन्क्रिप्शन सॉफ्टवेयर का उपयोग करता हूं, तो मुझे अपने पूरे जीवन पर भरोसा है।

अगर मेरी सभी चिंताएं वास्तविक हैं, तो क्या ट्रू क्रिप्ट के लिए कोई अन्य खुला स्रोत है?

मैं बिंदु से लेख बिंदु के माध्यम से जाऊँगा:

कोई नहीं जानता कि TrueCrypt किसने लिखा है। कोई नहीं जानता कि टीसी कौन रखता है।

चेक गणराज्य में रहने वाले टेसारिक द्वारा ट्रेडमार्क के कहने के ठीक बाद एक उद्धरण है। यह मानना ​​बहुत सुरक्षित है कि जो भी ट्रेडमार्क का मालिक है वह उत्पाद बनाए रखता है।

टीसी फ़ोरम पर मॉडरेटर प्रश्न पूछने वाले उपयोगकर्ताओं पर प्रतिबंध लगाते हैं।

क्या इसका कोई प्रमाण है, या यह सिर्फ किस्सा है? और सबूत से, मेरा मतलब है कि प्रथम-व्यक्ति प्रमाण, स्क्रीन शॉट्स, एट सीटेरा।

टीसी का दावा है कि एनक्रिप्शन इन द मास (ई 4 एम) पर आधारित होगा। वे खुले स्रोत होने का दावा भी करते हैं, लेकिन सार्वजनिक CVS / SVN रिपॉजिटरी को बनाए नहीं रखते हैं

स्रोत नियंत्रण निश्चित रूप से एक समूह प्रोग्रामिंग परियोजना का एक महत्वपूर्ण हिस्सा है, लेकिन यह निश्चित रूप से अनुपस्थित है इस तरह की परियोजना की विश्वसनीयता में कमी नहीं होती है।

और परिवर्तन लॉग जारी न करें।

हाँ, वो करते हैं। http://www.truecrypt.org/docs/?s=version-history । सभी ओएसएस अत्यंत स्पष्ट परिवर्तन लॉग प्रकाशित नहीं करते हैं, क्योंकि यह कभी-कभी बहुत अधिक समय होता है।

वे फ़ोरम से लोगों पर प्रतिबंध लगाते हैं जो परिवर्तन लॉग या पुराने स्रोत कोड के लिए पूछते हैं।

क्योंकि यह एक बेवकूफ सवाल है, यह देखते हुए कि एक परिवर्तन लॉग है और पुराने संस्करण पहले से ही उपलब्ध हैं। http://www.truecrypt.org/downloads2

वे चुपचाप बायनेरिज़ (md5 हैश परिवर्तन) को बिना किसी स्पष्टीकरण के बदलते हैं ... शून्य।

यह किस संस्करण का है? क्या कोई और सबूत है? डाउनलोड करने योग्य, पुराने संस्करणों पर हस्ताक्षर किए?

ट्रेडमार्क चेक गणराज्य ((REGISTRANT) टेस्रिक, डेविड इंडिविजुअल चेक रिपब्लिक तौसिगोवा 1170/5 प्राह चेक चेक रिपब्लिक 18200. में एक व्यक्ति के पास है।

तो क्या? चेक गणराज्य में किसी के पास एक प्रमुख एन्क्रिप्शन तकनीक का ट्रेडमार्क है। इससे क्या फर्क पड़ता है?

डोमेन प्रॉक्सी द्वारा निजी पंजीकृत हैं। कुछ लोगों का दावा है कि यह एक पिछले दरवाजे है।

कौन? कहाँ पे? क्या?

कौन जानता है? ये लोग कहते हैं कि वे टीसी वॉल्यूम पा सकते हैं: http://16systems.com/TCHunt/index.html

Duh, सभी के साथ स्क्रीनशॉट में TC वॉल्यूम .tc।

और किसी ने संपर्क पृष्ठ पर इस छवि को देखा?

इन लेखों को पढ़ें, एफबीआई ट्रुक्रिप्ट के साथ संरक्षित 5 हार्ड ड्राइव को डिक्रिप्ट करने में विफल रहा है

http://www.net-security.org/secworld.php?id=9506

http://techie-buzz.com/foss/fbi-fail-decrypt-hard-drive-truecrypt.html

मेरा मानना ​​है कि ट्रूकॉलरशिप एनएसए, सीआईए या उन बड़ी संघीय एजेंसियों में से एक को एन्क्रिप्शन को बढ़ावा देने के उद्देश्य से प्रदान किया जा सकता है, जिसके लिए उनके पास पिछला दरवाजा है, ताकि वे अन्य एन्क्रिप्शन के उपयोग को कम कर सकें जो वे दरार नहीं कर सकते। यही कारण है कि इसके चारों ओर उनकी गोपनीयता का कारण है, और यही कारण है कि यह भी एक अच्छा उत्पाद है जिसमें अच्छे दस्तावेज हैं, इसके बावजूद न तो एक वाणिज्यिक उत्पाद है और न ही खुले स्रोत डेवलपर्स की व्यापक भागीदारी है।

इस दस्तावेज़ को देखें, जो बताता है कि सरकार का लक्ष्य एन्क्रिप्शन के व्यापक उपयोग को प्रोत्साहित करना है जिसके लिए वे चाबियों को पुनर्प्राप्त कर सकते हैं: http://www.justice.gov/criminal/cybercrime/cryptfaq.htm

दरअसल, प्रशासन एन्क्रिप्शन उत्पादों और सेवाओं के डिजाइन, निर्माण, और उपयोग को प्रोत्साहित करता है जो एन्क्रिप्टेड डेटा के प्लेनटेक्स्ट की वसूली के लिए अनुमति देता है, जिसमें प्लेनटेक्स्ट रिकवरी सिस्टम का विकास भी शामिल है, जो कई प्रकार के तकनीकी दृष्टिकोणों के माध्यम से समय पर प्लेटेक्स्ट तक पहुंचने की अनुमति देता है। डेटा के मालिकों या कानून प्रवर्तन अधिकारियों द्वारा कानूनी प्राधिकारी के तहत कार्य करना। केवल इस तरह के सिस्टम का व्यापक उपयोग दोनों ही डेटा के लिए अधिक सुरक्षा प्रदान करेगा और सार्वजनिक सुरक्षा की रक्षा करेगा।

....

विभाग का लक्ष्य - और प्रशासन की नीति - मजबूत एन्क्रिप्शन के विकास और उपयोग को बढ़ावा देना है जो संचार और संग्रहीत डेटा की गोपनीयता को बढ़ाता है, जबकि कानूनी रूप से अधिकृत खोज के भाग के रूप में सबूतों तक पहुंच प्राप्त करने के लिए कानून प्रवर्तन की वर्तमान क्षमता को संरक्षित करता है। निगरानी।

...

इस संबंध में, हम आशा करते हैं कि अत्यधिक विश्वसनीय एन्क्रिप्शन की उपलब्धता जो पुनर्प्राप्ति सिस्टम प्रदान करती है, अन्य प्रकार के एन्क्रिप्शन की मांग को कम कर देगी, और इस संभावना को बढ़ा देगी कि अपराधी पुनर्प्राप्त करने योग्य एन्क्रिप्शन का उपयोग करेंगे।

ठीक है, ट्रू क्रिप्टेक प्रोजेक्ट अच्छी तरह से एक फैशन में चलाया जा सकता है जो बाहरी लोगों के लिए अमानवीय / शत्रुतापूर्ण है (अनाम देव, कोई चैंज नहीं), लेकिन मैं नहीं देखता कि यह कैसे सुरक्षित होने या न होने से संबंधित है।

इसे इस तरह से देखें: यदि देव वास्तव में ट्रू-क्रिप्टेक में बैकडोर डालकर लोगों को पेंच करना चाहते थे, तो यह उनके लिए अच्छा होगा, इसलिए लोगों को कम संदेह है।

दूसरे शब्दों में, चाहे सॉफ्टवेयर विश्वसनीय हो या न हो, देवता समाज के लोग हैं या नहीं, इससे काफी स्वतंत्र हैं। यदि आपको लगता है कि सुरक्षा सुनिश्चित करने के लिए स्रोत कोड की उपलब्धता पर्याप्त नहीं है, तो आपको एक कोड ऑडिट आयोजित करना होगा। ट्रू-क्रिप्ट प्रोजेक्ट के बाहर निश्चित रूप से ऐसे लोग हैं जो स्रोत कोड को देखते हैं, इसलिए एक जानबूझकर पिछले दरवाजे को छिपाना मुश्किल है, लेकिन छिपे हुए कीड़े हो सकते हैं। डेबियन के ओपनएसएसएल पैकेज में यह बग काफी समय तक किसी का ध्यान नहीं गया।

मुझे लगता है कि हर कोई गायब है, अगर कोई व्यक्ति Truecrypt का उपयोग करने पर विचार कर रहा है, तो उस व्यक्ति को 100% निश्चित होना चाहिए यह सुरक्षित है, यदि उनका जीवन खतरे में नहीं है, तो यह आपके iPhone के लिए फ़्लैश प्लेयर या फ़ार्ट ऐप नहीं है, यह एक आवेदन है जहां अगर यह विफल रहता है तो इसका मतलब यह हो सकता है कि खोजे गए जानकारी के आधार पर किसी को मार दिया गया हो।

यदि Truecrypt की अखंडता संदेह में है तो इस एप्लिकेशन का उपयोग क्यों करें?

btw कोई सवाल नहीं Truecrypt या कुछ के बारे में एक गूंगा सवाल है।

मैंने अभी कुछ वर्षों के लिए truecrypt का उपयोग किया है, और जब आप उनकी एन्क्रिप्शन स्कीम पर एक नज़र डालते हैं , तो अन्य छोटे मुद्दे जिन्हें आपने इंगित किया था, वे इसकी सुरक्षा के लिए कुछ भी नहीं करेंगे। यहां तक ​​कि एक 15 साल का कंप्यूटर इंजीनियर / क्रिप्टानालिस्ट इससे प्रभावित थे।

और सिर्फ इसलिए कि इसका भंडार नहीं है इसका मतलब यह नहीं है कि इसका खुला स्रोत नहीं है। मैं डाउनलोड सेक्शन पर जा सकता हूं और सभी सोर्स कोड प्राप्त कर सकता हूं , जो वास्तव में आपकी तलाश है।

फ़ोरम एकमात्र कमजोर स्थान हैं। मैं किसी भी प्रतिबंध नहीं देखा है, केवल लौ युद्धों। क्या आपके पास प्रतिबंध का कोई सबूत है?

अब तक के उत्तरों ने चर्चा की है कि ट्रू-क्रिप्ट के एन्क्रिप्शन में कितना भरोसा किया जा सकता है। प्रलेखन के अनुसार, TrueCrypt अच्छे एन्क्रिप्शन एल्गोरिदम का उपयोग करता है; हालाँकि यह कहानी का केवल एक हिस्सा है, क्योंकि क्रिप्टोग्राफिक एल्गोरिदम सुरक्षा-गहन कार्यक्रमों का सबसे कठिन हिस्सा नहीं हैं। TrueCrypt का स्रोत कोड समीक्षा के लिए उपलब्ध है, जो इसके पक्ष में एक बिंदु है।

गोपनीय डेटा की सुरक्षा के लिए एक कार्यक्रम का मूल्यांकन करते समय विचार करने के लिए अन्य बिंदु हैं।

• क्या कार्यक्रम डेटा अखंडता भी प्रदान करता है ? TrueCrypt नहीं करता है। डेटा अखंडता का अर्थ है कि आपके कंप्यूटर पर अस्थायी पहुंच रखने वाला कोई व्यक्ति आपके डेटा को संशोधित डेटा द्वारा प्रतिस्थापित नहीं कर सकता है। आपके ऑपरेटिंग सिस्टम की सुरक्षा के लिए यह विशेष रूप से महत्वपूर्ण है: यदि कोई आपके डेटा के बाद है, तो वे अगली बार जब आप इसे टाइप करते हैं, तो आप इसे पास करने के लिए एक keylogger स्थापित कर सकते हैं, या कुछ अन्य मैलवेयर अप्रत्यक्ष रूप से आपके डेटा तक पहुंच प्रदान करते हैं। इसलिए यदि आपके पास इस तरह की छेड़छाड़ का पता लगाने का कोई तरीका नहीं है, तो अपने कंप्यूटर को अप्राप्य न रखें ।

• कार्यक्रम कितने व्यापक रूप से उपलब्ध है? ट्रू-क्रिप्ट दरें उस गणना पर काफी अधिक हैं: यह सभी प्रमुख डेस्कटॉप ऑपरेटिंग सिस्टम (विंडोज, मैक, लिनक्स) पर उपलब्ध है; यह मुफ़्त है, इसलिए आपको लाइसेंस लागत के बारे में चिंता करने की ज़रूरत नहीं है; यह खुला स्रोत है तो अन्य विकास पर ले जा सकते हैं यदि वर्तमान विकास टीम अचानक गायब हो जाती है; यदि वर्तमान टीम गायब हो जाती है तो इसका व्यापक रूप से उपयोग करने की संभावना है। स्रोत नियंत्रण प्रणाली (उनके परिवर्तन संदेशों के साथ व्यक्तिगत पैच) के लिए सार्वजनिक पहुंच की कमी हालांकि इसके खिलाफ एक बिंदु है।

कोल्ड बूट हमला एक तरफ, Truecrypt 100% सुरक्षित नहीं है । इसके बूट लोडर में फोरेंसिक निशान हैं जो आपके दुश्मन (यदि वह कंप्यूटर फोरेंसिक जानता है) को पासवर्ड देने के लिए मजबूर करेगा।