TrueCrypt安全审计认定NSA没有后门
相关标签: # 漏洞# 研究# 攻击# 软件# 缺陷
磁盘加密软件--数百万隐私和安全爱好者使用的世界上最常用的开源文件加密软件之一,在过去两年里,正在接受一个安全研究团队的审核,以评估它是否容易被利用和破解。希望它已经完成了第二阶段的审计。
TrueCrypt是一个免费、开源和跨平台的加密程序,适用于Windows、OSX和Linux,可用于加密单个文件夹或加密整个硬盘驱动器分区,包括系统分区。
没有NSA的后门
爱德华·斯诺登(Edward Snowden)泄露的一份机密文件显示,出于对国家安全局(NSA)可能篡改TrueCrypt的担忧,NCC的安全审计员和密码学专家主动对TrueCrypt进行了公共信息安全审计。
"TrueCrypt似乎是一款设计相对完善的加密软件“密码专家马修·格林在周四的一篇博客文章中写道。”NCC的审计没有发现蓄意后门的证据,也没有发现在大多数情况下会导致软件不安全的任何严重设计缺陷。"
TrueCrypt在大约一年前完成了第一阶段的审核,审核了软件的蓝图,并给出了一份相对干净的健康清单。在第一阶段,审计人员在软件中发现了11个中度和轻度问题。
现在,NCC集团密码和安全审计服务的审计人员已经完成并发布了与第二阶段审计相关的21页开放式密码报告,该报告审查了TrueCrypt对随机数生成器和关键密钥算法以及各种加密密码套件的实施情况。
发现四个漏洞
该报告在最新的原始版本的软件中发现了四个漏洞,但没有一个漏洞可能导致绕过机密性,或让黑客使用变形的输入来颠覆TrueCrypt。漏洞如下所示:
- 密钥文件混合不是加密的声音——严重性低
- 卷头中未经验证的密文--未确定
- CryptAcquireContext可能会在异常情况下悄无声息地失败——严重性很高
- AES实现易受缓存定时攻击——严重性高
这四个漏洞中最关键的一个涉及使用Windows API生成主密钥使用的随机数。
卷头解密的另一个严重性检查未确定的漏洞容易被篡改。此外,用于混合密钥文件熵的方法的一个严重性较低的缺陷在加密方面并不可靠。
确定的另一个高严重性缺陷涉及“几个包含的AES实现,可能容易受到缓存定时攻击。”
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
